Nettsteder

Gode gutter bringer ned Mega-D Botnet

Bots and Botnets - CompTIA Security+ SY0-501 - 1.1

Bots and Botnets - CompTIA Security+ SY0-501 - 1.1

Innholdsfortegnelse:

Anonim

I to år som forsker med sikkerhetsfirma FireEye, jobbet Atif Mushtaq for å holde Mega-D bot skadelig programvare fra å smitte klientens nettverk. I prosessen lærte han hvordan styrerne drev den. I juni begynte han å publisere sine funn online. I november byttet han plutselig fra de-fense til lovbrudd. Og Mega-D - en kraftig, robust botnet som hadde tvunget 250 000 PCer til å by på sin bud - gikk ned.

Målstyringskontrollere

Mushtaq og to FireEye-kolleger gikk etter Mega-Ds kommandobasert infrastruktur. En botnets første angrepsvåpe bruker e-postvedlegg, nettbaserte offensiver og andre distribusjonsmetoder for å infisere store antall PCer med ondsinnede botprogrammer.

Botsene mottar marsjeringsordre fra online kommandoer og kontroll (C & C) men disse serverne er botnets Achilles 'hæl: Isoler dem, og de ubestemte botsene vil sitte i tomgang. Mega-Ds kontrollere brukte imidlertid et langt flertall av C & C-servere, og hver bot i sin hær hadde blitt tildelt en liste over flere destinasjoner for å prøve om den ikke kunne nå sin primære kommandoserver.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Synkronisert overfall

Mushtaqs team kontaktet først Internett-tjenesteleverandører som uheldigvis var vert for Mega-D kontroll servere; hans forskning viste at de fleste serverne var basert i USA, med en i Tyrkia og en annen i Israel. FireEye-gruppen mottok positive svar bortsett fra de utenlandske ISPene. De innenlandske C & C-serverne gikk ned.

Derefter kontaktet Mushtaq og firmaet domenenavnregistratorer med registreringer for domenenavnene som Mega-D brukes til sine kontrollservere. Registrarene samarbeidet med FireEye for å peke Mega-Ds eksisterende domenenavn til ingen steder. Ved å kutte botnetbassenget av domenenavn, sikret antibotnetoperatørene at bots ikke kunne nå Mega-D-tilknyttede servere som de utenlandske Internett-leverandørene hadde nektet å ta ned.

Endelig arbeidet FireEye og registratorer for å kreve ekstra domenenavn at Mega-Ds kontrollere er oppført i bots programmering. Kontrollerne hadde til hensikt å registrere og bruke en eller flere av de ekstra strømnettet hvis de eksisterende domenene gikk ned - så FireEye plukket dem opp og pekte dem på "sinkholes" (servere det hadde satt seg stille og logg innsats av Mega -D bots å sjekke inn for ordre). Ved å bruke disse loggene, anslår FireEye at botnet besto av om lag 250 000 Mega-D-infiserte datamaskiner.

Down Goes Mega-D

MessageLabs, et Symantec-e-postsikkerhetsselskap, rapporterer at Mega-D hadde "konsekvent vært i topp 10 spambots "for det foregående året (find.pcworld.com/64165). Botnet-produksjonen svingte fra dag til dag, men den 1. november utgjorde Mega-D 11,8 prosent av all spam som MessageLabs så.

FireEye-handlingen hadde redusert Mega-Ds markedsandel på Internett-spam til mindre enn 0,1 prosent, sier MessageLabs.

FireEye planlegger å overføre anti-Mega-D-innsatsen til ShadowServer.org, en frivillig gruppe som vil spore IP-adressene til infiserte maskiner og kontakte berørte Internett-leverandører og bedrifter. Bedriftsnettverk eller ISP-administratorer kan registrere seg for gratis varslingstjenesten.

Fortsetter kampen

Mushtaq innser at FireEyes vellykkede offensiv mot Mega-D var bare ett slag i krigen mot skadelig programvare. Kriminelle bak Mega-D kan prøve å gjenopplive sin botnet, sier han, eller de kan forlate det og skape en ny. Men andre botnetter fortsetter å trives.

"FireEye hadde en stor seier," sier Joe Stewart, direktør for malwareforskning med SecureWorks. "Spørsmålet er, vil det få en langsiktig effekt?"

Som FireEye beskytter Stewarts sikkerhetsselskap klientnettverk fra botnets og andre trusler; og som Mushtaq har Stewart tilbrakt mange år med å bekjempe kriminelle bedrifter. I 2009 skisserte Stewart et forslag om å skape frivillige grupper dedikert til å gjøre botnets ulønnsomme til å løpe. Men få sikkerhetspersonell kan forplikte seg til en så tidkrevende frivillig aktivitet.

"Det tar tid og ressurser og penger å gjøre dette dag etter dag," sier Stewart. Andre, radarangrep på ulike botneter og kriminelle organisasjoner har skjedd, sier han, men disse lovverdige innsatsene er "ikke å stoppe spammers forretningsmodell."

Mushtaq, Stewart og andre sikkerhetsprofiler er enige den føderale politimyndigheten trenger å gå inn i full tid koordinering innsats. Ifølge Stewart har regulatorer ikke begynt å utarbeide seriøse planer om å få det til å skje, men Mushtaq sier at FireEye deler sin metode med innenriks og internasjonal rettshåndhevelse, og han er håpløs.

Inntil det skjer, "er vi definitivt ser ut til å gjøre dette igjen, sier Mushtaq. "Vi vil vise de onde at vi ikke sover."