FireEye flytter hurtigt til Quash Mega-D Botnet

Et computersikkerhedsfirma kendt for at kæmpe botnets flyttede i sidste uge for at forsøge at lukke en vedvarende spam-afspiller.

FireEye, et California-selskab, der producerer sikkerhedsudstyr, havde sporet en botnet kaldet Mega -D eller Ozdok. Mega-D, som er et netværk af hackede computere, har ansvaret for at sende mere end 4 procent af verdens spam, ifølge M86 Security. Mange af de computere, der udgør Mega-D, er inficerede hjemme-pc'er.

Mega-D er en af ​​flere botnets, der har implementeret avancerede tekniske foranstaltninger for at sikre, at ejere ikke mister kontrollen over de hackede pc'er. Hackerne bruger kommando- og kontrol-servere til at udstede instruktioner til zombie-pc'erne, f.eks. Hvornår du skal køre en spam-kampagne.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

I tilfælde af Mega -D, de hackede pc'er vil lede efter bestemte domænenavne for at downloade instruktioner, skrev Atiq Mushtaq fra FireEye på firmaets blog. Hvis disse domæner ikke er aktive - de lukkes ofte af internetudbydere, hvis de er forbundet med misbrug - Mega-D-maskiner vil lede efter brugerdefinerede DNS-domæner (Domain Name System) til at finde levende domæner.

Hvis det fejler også, Mega-D er programmeret til at generere et tilfældigt domænenavn baseret på den aktuelle dato og tid, skrev Mushtaq. Når hackerne registrerer domænenavnet, kan de inficerede maskiner besøge der for at få nye instruktioner.

Mega-D's mekanismer til at sikre, at det bliver i live har gjort det vanskeligt for sikkerhedsselskaber. "Medmindre nogen er forpligtet nok til at forhåndsregistrere disse domæner, kan bothærderne altid komme frem og registrere disse domæner og tage botnetkontrollen tilbage," skrev Mushtaq.

FireEye begyndte sit angreb, kontaktede internetudbydere, at havde maskiner, der fungerede som command-and-control servere til Mega-D. Alle undtagen fire tjenesteudbydere lukker forbindelserne til IP-adresser, der anvendes af Mega-D, skrev Mushtaq. FireEye har også kontaktet de registrarer, der kontrollerer domænenavne, der anvendes til Mega-D. Som en endelig foranstaltning registrerede FireEye de automatisk genererede domænenavne, som inficerede Mega-D-computere ville kontakte, hvis maskinerne ikke nåede andre kommando-og- Kontrolnoder.

Mushtaq skrev fredag, at nogle 264.784 unikke IP-adresser (Internet Protocol) havde kontaktet FireEye's "sinkhole" -server eller en server oprettet for at identificere inficerede pc'er.

"Data indsamlet fra sinkhole serveren logs vil blive brugt til at identificere ofre maskinerne, "Mushtaq skrev.

Det er håbet, at internetudbydere vil kontakte disse abonnenter og informere dem om, at de skal køre en antivirus scan.

FireEye's indsats sammen med ISP'ernes samarbejde og registrarer, synes at have tømt Mega-D, i hvert fald midlertidigt.

På mandag viste statistikker fra M86 Security, at Mega-D spam næsten var stoppet. På et tidligere punkt havde M86 set en enkelt Mega-D-inficeret computer, så send så mange som 15.000 spambeskeder pr. Time.

"Det viser tydeligt, at det er svært, men ikke umuligt at tage ned nogle af verdens nastiest botnets, "Skrev Mushtaq.

Men udsættelsen må ikke vare længe. FireEye foregav Mega-D ved at registrere domæner, hvor robotterne ville lede efter, men processen kan være uendelig og dyr. Hvis FireEye holder op med at registrere domæner, og de forældreløse bots ringer hjem, kan hackerne uploade nye kodeord for dem for at gøre dem sværere at lukke.

"Vi er usikker på, hvor længe vi kan holde trit med disse fremtidige domæner," skrev Mushtaq.