Gode drenge Bring ned Mega-D Botnet

I to år som forsker med sikkerhedsfirma FireEye arbejdede Atif Mushtaq for at holde Mega-D bot malware mod at inficere kunders netværk. I processen lærte han, hvordan dens controllere drev det. I juni begyndte han at offentliggøre sine resultater online. I november skiftede han pludselig fra de-fense til lovovertrædelse. Og Mega-D - et kraftfuldt, robust botnet, der havde tvunget 250.000 pc'er til at gøre budgivning - gik ned.

Målretningskontrollere

Mushtaq og to FireEye-kolleger gik efter Mega-Ds kommandobaseret infrastruktur. En botnet's første bølge af angreb bruger e-mail vedhæftede filer, web-baserede offensiver og andre distributionsmetoder til at inficere store antal pc'er med ondsindede bot-programmer.

Botsene modtager marcheringsordrer fra online kommando- og kontrol (C & C) men disse servere er botnets Achilles 'hæl: Isolere dem, og de ubestemte bots vil sidde tomgang. Mega-D's controllere brugte imidlertid et langt udbredt udvalg af C & C-servere, og hver bot i sin hær var blevet tildelt en liste over yderligere destinationer for at prøve, om den ikke kunne nå sin primære kommandoserver. Således skal man tage Mega-D op, hvis der kræves et omhyggeligt koordineret angreb.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Synkroniseret overfald

Mushtaqs team kontaktede først internetudbydere, der uheldigvis var vært for Mega-D kontrol servere; hans forskning viste, at de fleste servere var baseret i USA, med en i Tyrkiet og en anden i Israel. FireEye-koncernen modtog positive svar undtagen fra de oversøiske internetudbydere. De indenlandske C & C-servere faldt.

Derefter kontaktede Mushtaq og firmaet domænenavnregistratorer med registreringer for de domænenavne, som Mega-D blev brugt til sine kontrolservere. Registrarna samarbejdede med FireEye for at pege Mega-Ds eksisterende domænenavne til ingen steder. Ved at afskære botnetens pool af domænenavne sikrede antibotnetoperatørerne, at robotter ikke kunne nå Mega-D-tilknyttede servere, som de udenlandske internetudbydere havde afvist at tage ned.

Endelig arbejdede FireEye og registrarna for at kræve ekstra domænenavne at Mega-D's controllere angivet i bots 'programmering. Kontrollerne havde til hensigt at registrere og bruge en eller flere af de ekstra ledninger, hvis de eksisterende domæner gik ned - så FireEye plukket dem op og pegede dem på "sinkholes" (servere det havde sat sig for at sidde stille og logge indsats fra Mega -D bots at checke ind for ordrer). Ved brug af disse logfiler vurderede FireEye at botnet bestod af omkring 250.000 Mega-D-inficerede computere.

Down Goes Mega-D

MessageLabs, et Symantec-e-mail-sikkerhedsdatterselskab, rapporterer, at Mega-D havde "konsekvent været i de 10 bedste spam-bots "for det foregående år (find.pcworld.com/64165). Botnetens produktion svingede fra dag til dag, men den 1. november udgjorde Mega-D 11,8 procent af al spam, MessageLabs så.

FireEye's handling havde reduceret Mega-Ds markedsandel af internet spam til mindre end 0,1 procent, siger MessageLabs.

FireEye planlægger at aflevere anti-Mega-D-indsatsen til ShadowServer.org, en frivillig gruppe, der vil spore IP-adresserne på inficerede maskiner og kontakte berørte internetudbydere og virksomheder. Virksomhedsnetværk eller internetudbyderadministratorer kan registrere sig for gratis underretningstjenesten.

Fortsættelse af slaget

Mushtaq erkender, at FireEye's succesfulde offensiv mod Mega-D var kun et slag i krigen mod malware. De kriminelle bag Mega-D kan forsøge at genoplive deres botnet, siger han, eller de kan opgive det og oprette en ny. Men andre botnets fortsætter med at trives.

"FireEye havde en stor sejr," siger Joe Stewart, direktør for malwareforskning med SecureWorks. "Spørgsmålet er, vil det have en langsigtet indvirkning?"

Som FireEye beskytter Stewarts sikkerhedsfirma klientnettene mod botnets og andre trusler; og ligesom mushtaq har stewart brugt år til at bekæmpe kriminelle virksomheder. I 2009 skitserede Stewart et forslag om at skabe frivillige grupper dedikeret til at gøre botnets urentable til at løbe. Men få sikkerhedspersonale kunne forpligte sig til en så tidskrævende frivillig aktivitet.

"Det tager tid og ressourcer og penge at gøre det dag efter dag," siger Stewart. Andre, radarangreb på forskellige botnets og kriminelle organisationer har fundet sted, siger han, men disse lovværdige bestræbelser er "ikke at stoppe spammers forretningsmodel."

Mushtaq, Stewart og andre sikkerhedsproffer er enige at den føderale retshåndhævelse skal træde i gang med koordineringen af ​​fuldtidsarbejde. Ifølge Stewart er reguleringsmyndighederne ikke begyndt at udarbejde seriøse planer om at få det til at ske, men Mushtaq siger, at FireEye deler sin metode med indenlandsk og international retshåndhævelse, og han er håbende.

Indtil det sker "er vi helt sikkert søger at gøre det igen, "siger Mushtaq. "Vi vil vise de onde, at vi ikke sover."