İYi Adamlar Mega-D Botnet'i Aşağı Taşı

Güvenlik şirketi FireEye ile araştırmacı olarak iki yıl boyunca, Atif Mushtaq, Mega-D bot kötü amaçlı yazılımlarının müşterilerin ağlarını etkilemesini engellemeye çalıştı.. Bu süreçte, kontrolörlerinin nasıl çalıştığını öğrendi. Geçen haziran, bulgularını çevrimiçi yayınlamaya başladı. Kasım ayında aniden, korkmadan hücuma geçmiştir. Ve Mega-D - 250.000 PC'yi ihalesini yapmak zorunda bırakan güçlü ve esnek bir botnet oldu.

Hedefleme Denetleyicileri

Mushtaq ve iki FireEye ekibi Mega-D'nin komuta altyapısının peşinden gitti. Botnet'in ilk saldırı dalgası, e-posta eklerini, Web tabanlı saldırıları ve kötü amaçlı bot programlarıyla çok sayıda PC'yi enfekte etmek için diğer dağıtım yöntemlerini kullanır.

Botlar, çevrimiçi komut ve kontrol (C & C) sunucularından gelen emirleri alır. ama bu sunucular botnet'in Aşil topuğu: Onları ayır ve doğrulanmamış botlar boş yere oturacaklar. Mega-D'nin denetleyicileri çok sayıda C & C sunucusu kullandı, ancak ordusundaki her bot, birincil komut sunucusuna erişemediğinde denemek için ek hedefler listesi tahsis edildi. Bu yüzden Mega-D aşağı çekmek, dikkatli bir şekilde koordine edilmiş bir saldırı gerektirir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Senkronize Saldırı

Mushtaq ekibi ilk olarak, Mega-D'yi barındırmayan Internet servis sağlayıcılarıyla bağlantı kurdu. kontrol sunucuları; Araştırmaları, sunucuların çoğunun Amerika Birleşik Devletleri'nde, biri Türkiye'de, diğeri de İsrail'de olduğunu gösterdi.

FireEye grubu, denizaşırı ISP'ler dışında olumlu yanıtlar aldı. Yerel C & C sunucuları düştü.

Daha sonra, Mushtaq ve şirket, Mega-D'nin kontrol sunucuları için kullandığı alan adları için kayıtları tutan alan adı kayıt şirketleri ile temasa geçti. Kayıt memurları, Mega-D'nin mevcut alan adlarını hiçbir yere götürmek için FireEye ile işbirliği yaptı. Botnet'in alan adları havuzunu keserek, robotlar, botların Mega-D'ye bağlı sunuculara ulaşamamasını sağladı ve denizaşırı İSS'lerin aşağı çekmek istemediğini belirtti.

Son olarak, FireEye ve kayıt şirketleri yedek alan adlarını talep etmek için çalıştılar. Mega-D'nin denetleyicilerinin botların programlanmasında listelenmesi. Denetçiler, varolan etki alanları azalırsa, bir veya daha fazla yedek birimi kullanacaktı. Bu yüzden, FireEye onları aldı ve "çukurlar" a işaret etti (sessizce oturması ve Mega tarafından günlüğe kaydetmesi için oluşturduğu sunucular) -d siparişleri kontrol etmek için botlar. Bu günlükleri kullanarak, FireEye, botnet'in yaklaşık 250.000 Mega-D bulaşmış bilgisayardan oluştuğunu tahmin ediyor.

Down Goes Mega-D

Symantec e-posta güvenlik iştiraki olan MessageLabs, Mega-D'nin "sürekli olarak" Bir önceki yıl için en iyi 10 spam botunda (find.pcworld.com/64165). Botnet'in çıkışı günden güne dalgalandı, ancak 1 Kasım'da Mega-D, MessageLabs'in gördüğü tüm spam'lerin yüzde 11,8'ini oluşturdu.

Üç gün sonra, FireEye'in eylemi Mega-D'nin İnternet spam'inin pazar payını 0.1'in altına düşürdü. yüzde, MessageLabs diyor.

FireEye, anti-Mega-D eforunu, enfekte makinelerin IP adreslerini izleyecek ve etkilenen ISS'lere ve işletmelere temas eden bir gönüllü grubu olan ShadowServer.org'a devretmeyi planlıyor. İş ağı veya ISP yöneticileri ücretsiz bildirim servisine kayıt olabilirler

Savaşın devamı

Mushtaq, FireEye'in Mega-D'ye karşı yaptığı başarılı saldırının, kötü amaçlı yazılımlardaki savaşta sadece bir savaş olduğunu kabul eder. Mega-D'nin arkasındaki suçlular botnetlerini canlandırmaya çalışabilirler, diyor ya da terk edebilir ve yeni bir tane yaratabilirler. Ancak diğer botnet'ler gelişmeye devam ediyor.

"FireEye büyük bir zafere sahipti," diyor SecureWorks ile kötü amaçlı yazılım araştırması yöneticisi Joe Stewart. "Soru, uzun vadeli bir etkisi olacak mı?"

FireEye gibi, Stewart'ın güvenlik şirketi müşteri ağlarını botnetlerden ve diğer tehditlerden koruyor; Mushtaq gibi, Stewart da yıllarca suçlularla mücadele ediyor. 2009 yılında Stewart, botnet'leri çalıştırmak için kârsız hale getirmeye adanmış gönüllü grupları oluşturmak için bir teklif hazırladı. Ancak az sayıda güvenlik uzmanı bu kadar zaman alan bir gönüllü faaliyete katılabilirdi.

Stewart, “Her geçen gün bunu yapmak için zaman ve kaynak ve para gerekiyor” diyor. Çeşitli botnet ve suç örgütlerindeki diğer radar saldırıları gerçekleşti, ancak bu takdire şayan çabalar "spamcının iş modelini durdurmayacak".

Mushtaq, Stewart ve diğer güvenlik uzmanları hemfikir. Federal yasa uygulamasının tam zamanlı koordinasyon çabalarına girmesi gerekiyor. Stewart'a göre, düzenleyiciler bunun gerçekleşmesi için ciddi planlar yapmaya başlamadılar, ancak Mushtaq, FireEye'in yöntemini yerli ve uluslararası yasa uygulamalarıyla paylaştığını söylüyor ve ümit ediyor.

Bu gerçekleşene kadar, kesinlikle Bunu tekrar yapmak, "Mushtaq diyor. "Kötü adamları, uyumadığımızı göstermek istiyoruz."