FireEye beveger seg raskt til Quash Mega-D Botnet

Et datasikkerhetsfirma kjent for å slå botnets flyttet i forrige uke for å prøve å stenge en vedvarende spam-spiller.

FireEye, et California-selskap som lager sikkerhetsutstyr, hadde sporet en botnet som heter Mega -D eller Ozdok. Mega-D, som er et nettverk av hacked-datamaskiner, har ansvaret for å sende mer enn 4 prosent av verdens spam, ifølge M86 Security. Mega-D er en av flere botnets som har implementert avanserte tekniske tiltak for å sikre at eiere ikke mister kontrollen over hacked-PCene. Hackerne bruker kommando- og kontrollservere til å utstede instruksjoner til zombie-PCene, for eksempel når du skal kjøre en spam-kampanje.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

I tilfelle av Mega -D, de hakkede PCene vil se etter bestemte domenenavn for å laste ned instruksjoner, skrev Atiq Mushtaq fra FireEye på selskapets blogg. Hvis disse domenene ikke er aktive - de blir ofte slått av av Internett-leverandører hvis de er assosiert med misbruk. Mega-D-maskiner vil se etter egendefinerte DNS-domene (Domain Name System) -servere for å finne levende domener.

Hvis det Mislykkes også, Mega-D er programmert til å generere et tilfeldig domenenavn basert på dagens dato og klokkeslett, skrev Mushtaq. Når hackerne registrerer domenenavnet, kan de infiserte maskinene besøke det for å få nye instruksjoner.

Mega-Ds mekanismer for å sikre at den forblir i live har gjort det vanskelig for sikkerhetsselskaper. "Med mindre noen er forpliktet til å forhåndsregistrere disse domenene, kan bothagførerne alltid komme frem og registrere disse domenene og ta botnetkontrollen tilbake," skrev Mushtaq.

FireEye startet sitt angrep på torsdag kveld, kontaktet Internett-leverandører som hadde maskiner som fungerte som kommando-og-kontroll servere for mega-d. Alle sammen med fire tjenesteleverandører slår av forbindelser for IP-adresser som brukes av Mega-D, skrev Mushtaq. FireEye har også kontaktet registratorer som kontrollerer domenenavn som brukes til Mega-D. Som et endelig mål registrerte FireEye de automatisk genererte domenenavnene som infiserte Mega-D-datamaskiner ville kontakte hvis maskinene ikke klarte å nå andre kommando-og- kontroll nodene.

Mushtaq skrev på fredag ​​at noen 264.784 unike IP-adresser (Internet Protocol) hadde kontaktet FireEye's "sinkhole" -server eller en server satt opp for å identifisere infiserte PCer.

"Data samlet fra sinkhole-serveren logger vil bli brukt til å identifisere offermaskene, "skrev Mushtaq.

Det er håpet at ISP vil kontakte disse abonnentene og informere dem om at de trenger å kjøre en antivirusskanning.

FireEyes innsats, sammen med ISPs samarbeid og registrarer, synes å ha tømt Mega-D, minst midlertidig.

På mandag viste statistikk fra M86 Security at Mega-D spam nesten var stoppet. På et tidligere punkt hadde M86 sett en enkelt Mega-D-infisert datamaskin, sende så mange som 15.000 spammeldinger per time.

"Det viser tydelig at det er vanskelig, men ikke umulig å ta ned noen av verdens nestiest botneter, "Skrev Mushtaq.

Men utsagnet kan ikke vare lenge. FireEye førte til Mega-D ved å registrere domener som botsene ville se etter, men prosessen kan være uendelig og kostbar. Hvis FireEye slutter å registrere domener og de forældreløse botsamtalene, kan hackerne laste opp ny kode til dem for å gjøre dem vanskeligere å slå ned.

"Vi er usikre på hvor lenge vi kan holde tritt med disse fremtidige domenene," skrev Mushtaq.