Hyvät kaverit päästävät Mega-D Botnet

Atif Mushtaq työskenteli kahden vuoden ajan tutkijana FireEye-tietoturva-alan yrityksen kanssa pitääkseen Mega-D botin haittaohjelmia tarttumasta asiakkaiden verkkoihin. Prosessissa hän oppi, miten sen ohjaimet käyttivät sitä. Viime kesäkuussa hän alkoi julkaista havaintojaan verkossa. Marraskuussa hän yhtäkkiä siirtyi fensiinistä rikoksiin. Ja Mega-D - voimakas, joustava botnet, joka oli pakottanut 250 000 tietokonetta tekemään tarjousta - laski.

Kohdistusohjaimet

Mushtaq ja kaksi FireEye-kollegaa menivät Mega-D: n komentoinfrastruktuurin jälkeen. Botnetin ensimmäinen hyökkäystapa käyttää sähköpostin liitetiedostoja, verkkopohjaisia ​​hyökkäyksiä ja muita jakelumenetelmiä, jotka saastuttavat suuria määriä tietokoneita, joilla on haitallisia bot-ohjelmia.

Botit saavat komentojärjestelmiä verkko-komento- ja hallintapalvelimilta (C & C) mutta nämä palvelimet ovat botnetin Achilles-kantapää: eristä ne, ja suoriutumattomat robotit istuvat joutokäynnillä. Mega-D: n ohjaimet käyttivät kuitenkin paljon C & C-palvelimia, ja jokaisella armeijan botilla oli lisätietokohteita, jos se ei voinut päästä ensisijaiseen komentopalvelimeensa.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Synchronized Assault

Mushtaqin ryhmä otti ensin yhteyttä sellaisiin Internet-palveluntarjoajiin, jotka tietämättään ylläpitivät Mega-D: tä valvonta-palvelimet; hänen tutkimustyönsä osoittivat, että suurin osa palvelimista sijaitsi Yhdysvalloissa, yksi Turkissa ja toinen Israelissa.

FireEye-ryhmä sai myönteisiä vastauksia paitsi ulkomailla olevista ISP: stä. Kotimaiset C & C-palvelimet menivät alas.

Seuraavaksi Mushtaq ja yritys otti yhteyttä verkkotunnuksen rekisterinpitäjiin, jotka pitivät rekistereitä verkkotunnuksista, joita Mega-D käytti valvontapalvelimissaan. Rekisterinpitäjät ovat tehneet yhteistyötä FireEyen kanssa Mega-D: n nykyisten verkkotunnusten kohdistamisesta ei-paikkaan. Kun katkaisimme botnetin verkkotunnusten joukon, antibotnet-toimijat varmistuivat, että botit eivät voineet tavoittaa Mega-D-liitännäispalvelimia, joita merentakaiset Internet-palveluntarjoajat eivät enää halunneet ottaa.

Lopuksi, FireEye ja rekisterinpitäjät työskentelivät vaatimaan vara-verkkotunnuksia että Mega-D: n ohjaimet on lueteltu robottien ohjelmoinnissa. Ohjaimet halusivat rekisteröidä ja käyttää yhtä tai useampaa varaajaa, jos nykyiset verkkotunnukset laskivat - joten FireEye otti ne ylös ja viittasi ne "sinkholes" (palvelimet, jotka se oli asettanut hiljaa ja kirjaavat Mega -D robottien sisäänkirjautumista tilauksille).

Down Goes Mega-D

Symantecin sähköposti-tietoturvan tytäryhtiö MessageLabs kertoo, että Mega-D oli "johdonmukaisesti ollut Top 10 roskapostia "edellisvuodesta (find.pcworld.com/64165). Botnetin tuotos vaihteli päivittäin, mutta 1. marraskuuta Mega-D oli 11,8 prosenttia kaikista roskapostista, jonka MessageLabs näki.

Kolme päivää myöhemmin FireEyen toiminta oli vähentänyt Mega-D: n Internet-roskapostin markkinaosuutta alle 0,1 prosenttia, MessageLabs sanoo.

FireEye aikoo siirtää Anti-Mega-D-vaivaa ShadowServer.org-palveluun, vapaaehtoisryhmään, joka seuraa tartunnan saaneiden koneiden IP-osoitteita ja ottaa yhteyttä Internet-palveluntarjoajiin ja yrityksiin.

Taistelun jatkaminen

Mushtaq tunnustaa, että FireEyen onnistunut hyökkäys Mega-D: ää vastaan ​​oli vain yksi taistelu haittaohjelmien sodassa. Mega-D: n takana olevat rikolliset voivat yrittää elvyttää botnettiaan, hän sanoo, tai he voivat hylätä sen ja luoda uuden. Mutta muut botnetit menestyvät edelleen.

"FireEyellä oli suuri voitto", sanoo SecureWorksin haittaohjelmatutkimuksen johtaja Joe Stewart. "Kysymys on, aikooko se vaikuttaa pitkällä aikavälillä?"

Kuten FireEye, Stewartin turvallisuusyhtiö suojelee asiakkaiden verkkoja botnetilta ja muilta uhilta; ja kuten Mushtaq, Stewart on viettänyt vuosien ajan rikollisten yritysten torjuntaa. Stewart esitteli vuonna 2009 ehdotuksen luoda vapaaehtoisryhmiä, jotka ovat sitoutuneet tekemään botnet-verkkoja kannattamattomiksi. Mutta harvat turvallisuusalan ammattilaiset voisivat sitoutua tällaiseen, aikaa vievään vapaaehtoistyöhön.

"Se vie aikaa ja resursseja ja rahaa tehdä tämä päivä päivältä", Stewart sanoo. Muut, ei-radar-iskuja eri botnet- ja rikollisjärjestöissä on tapahtunut, hän sanoo, mutta nämä kiitolliset ponnistelut eivät "pysäytä roskapostin liiketoimintamallia."

Mushtaq, Stewart ja muut tietoturva-asiat ovat samaa mieltä että liittovaltion lainvalvonnan on ryhdyttävä kokopäivätyön koordinointiin. Stewartin mukaan sääntelyviranomaiset eivät ole aloittaneet vakavien suunnitelmien laatimista, mutta Mushtaq sanoo, että FireEye jakaa menetelmänsä kotimaisen ja kansainvälisen lainvalvonnan kanssa ja hän on toiveikas.

Siihen saakka " haluavat tehdä tämän uudestaan ​​", Mushtaq sanoo. "Haluamme näyttää pahikset, että emme nuku."