Dobrzy faceci Przynieś Mega-D Botnet

Przez dwa lata jako naukowiec z firmy ochroniarskiej FireEye, Atif Mushtaq pracował nad tym, aby szkodliwe oprogramowanie Mega-D nie infekowało sieci klientów. W trakcie tego procesu dowiedział się, jak działały jego kontrolery. W czerwcu zaczął publikować swoje odkrycia online. W listopadzie nagle zamienił się z de-fense na ofensywę. A Mega-D - potężny, odporny botnet, który zmusił 250 000 komputerów do wykonania licytacji - spadł.

Kontrolery kierowania

Mushtaq i dwaj koledzy z FireEye poszli za infrastrukturą dowodzenia Mega-D. Pierwsza fala ataków botnetu wykorzystuje załączniki do wiadomości e-mail, ofensywy internetowe i inne metody dystrybucji w celu zainfekowania ogromnej liczby komputerów PC złośliwymi programami typu bot.

Boty otrzymują rozkazy marszowe od serwerów dowodzenia i kontroli online (C & C), ale te serwery stanowią piętę achillesową botnetu: izoluj je, a nieukierunkowane boty będą pozostawać bezczynne. Kontrolery Mega-D korzystały jednak z wielu serwerów C & C, a każdemu botowi w armii przydzielono listę dodatkowych miejsc docelowych, aby spróbować, gdyby nie mógł osiągnąć swojego głównego serwera poleceń. Zatem usunięcie Mega-D wymagałoby starannie skoordynowanego ataku.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Zsynchronizowany atak

Zespół Mushtaq po raz pierwszy skontaktował się z dostawcami usług internetowych, którzy nieświadomie hostowali Mega-D serwery kontrolne; jego badania wykazały, że większość serwerów była zlokalizowana w Stanach Zjednoczonych, jedna w Turcji, a druga w Izraelu.

Grupa FireEye otrzymała pozytywne odpowiedzi, z wyjątkiem zagranicznych dostawców usług internetowych. Krajowe serwery kontroli poszły w dół.

Następnie Mushtaq i firma skontaktowały się z rejestratorami nazw domen przechowującymi rekordy dla nazw domen używanych przez Mega-D dla ich serwerów kontrolnych. Rejestratorzy współpracowali z FireEye, aby wskazać istniejące nazwy domen Mega-D na nie. Poprzez odcięcie puli nazw domen botnetów, operatorzy anty-nettów upewnili się, że boty nie mogą dotrzeć do serwerów stowarzyszonych z Mega-D, których zagraniczni dostawcy ISP odmówili.

Wreszcie, FireEye i rejestratorzy pracowali nad nazwami wolnych nazw domen że kontrolery Mega-D są wymienione w programowaniu botów. Kontrolery zamierzały zarejestrować i używać jednego lub więcej zapasowych gniazd, jeśli istniejące domeny uległy awarii - więc FireEye podniosło je i wskazało na "dziury" (serwery ustawione tak, by cicho siedzieć i logować wysiłki Mega -D boty do odprawy zamówień). Używając tych dzienników, FireEye oszacował, że botnet składał się z około 250 000 komputerów zainfekowanych Mega-D.

Down Goes Mega-D

MessageLabs, spółka zależna firmy Symantec zajmująca się bezpieczeństwem poczty e-mail, informuje, że Mega-D "konsekwentnie w 10 najlepszych botach spamowych "w zeszłym roku (find.pcworld.com/64165). Wydajność botnetu zmieniała się z dnia na dzień, ale 1 listopada Mega-D stanowiło 11,8 procent wszystkich spamu, które zauważyła MessageLabs.

Trzy dni później akcja FireEye zmniejszyła udział spamu internetowego Mega-D do mniej niż 0.1 procent, jak mówi MessageLabs.

FireEye planuje przekazać wysiłki przeciwko Mega-D ShadowServer.org, grupie wolontariuszy, która będzie śledzić adresy IP zainfekowanych maszyn i kontaktować się z poszkodowanymi dostawcami usług internetowych i firmami. Administratorzy sieci biznesowych lub ISP mogą zarejestrować się w bezpłatnej usłudze powiadamiania.

Kontynuując bitwę

Mushtaq uznaje, że udana ofensywa FireEye przeciwko Mega-D była tylko jedną bitwą w wojnie ze szkodliwym oprogramowaniem. Przestępcy stojący za Mega-D mogą próbować ożywić swój botnet, mówi, albo mogą go porzucić i stworzyć nowy. Ale inne botnety nadal się rozwijają.

"FireEye odniósł wielkie zwycięstwo", mówi Joe Stewart, dyrektor ds. Badań nad złośliwym oprogramowaniem w SecureWorks. "Pytanie brzmi, czy będzie miało długoterminowy wpływ?"

Podobnie jak FireEye, firma ochroniarska Stewart chroni sieci klientów przed botnetami i innymi zagrożeniami; i podobnie jak Mushtaq, Stewart spędził lata walcząc z przestępczymi przedsiębiorstwami. W 2009 r. Stewart przedstawił propozycję utworzenia grup wolontariuszy, których celem jest uczynienie botnetów nieopłacalnymi. Ale niewielu specjalistów od zabezpieczeń może poświęcić się tak czasochłonnej działalności wolontariuszy.

"Potrzeba czasu, środków i pieniędzy, aby robić to dzień po dniu" - mówi Stewart. Zdarzają się inne strajki pod radarem w różnych botnetach i organizacjach przestępczych, ale te godne pochwały wysiłki "nie zatrzymają modelu biznesowego spamera".

Mushtaq, Stewart i inni specjaliści od bezpieczeństwa zgadzają się że federalne organy ścigania muszą wkroczyć w działania koordynacyjne w pełnym wymiarze godzin. Według Stewarta, regulatorzy nie zaczęli poczynić poważnych planów, aby to się stało, ale Mushtaq twierdzi, że FireEye dzieli swoją metodę z krajowymi i międzynarodowymi organami ścigania i ma nadzieję.

Do tego czasu, "jesteśmy zdecydowanie chce to zrobić ponownie ", mówi Mushtaq. "Chcemy pokazać złym ludziom, że nie śpimy."