FireEye Inililipat Mabilis sa Quash Mega-D Botnet

Ang isang kompanya ng seguridad sa kompyuter na kilala para sa mga botnets na nakikipaglaban ay lumipat noong nakaraang linggo upang subukang i-shut down ang isang persistent spam player.

FireEye, isang kumpanya ng California na gumagawa ng mga security appliances, ay nagsusubaybay ng isang botnet na tinatawag na Mega -D o Ozdok. Ang Mega-D, na isang network ng mga na-hack na computer, ay naging responsable sa pagpapadala ng higit sa 4 na porsiyento ng spam sa mundo, ayon sa M86 Security. Ang maraming mga computer na bumubuo sa Mega-D ay nahawaan ng mga PC sa bahay.

Mega-D ay isa sa ilang mga botnet na nagpatupad ng mga advanced na teknikal na hakbang upang matiyak na ang mga may-ari nito ay hindi mawalan ng kontrol sa mga na-hack na PC. Ang mga hacker ay gumagamit ng command-and-control server upang mag-isyu ng mga tagubilin sa mga PC ng zombie, tulad ng kung kailan magpatakbo ng spam campaign.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Sa kaso ng Mega -D, ang mga na-hack na PC ay maghanap ng ilang mga pangalan ng domain upang mag-download ng mga tagubilin, isinulat ni Atiq Mushtaq ng FireEye sa blog ng kumpanya. Kung ang mga domain na ito ay hindi aktibo - madalas itong isinara ng mga ISP kung sila ay nauugnay sa pang-aabuso - Ang mga makina ng Mega-D ay maghanap ng mga server ng pasadyang DNS (Domain Name System) upang makahanap ng mga live na domain.

Kung Nabigo rin, ang Mega-D ay na-program upang bumuo ng isang random na pangalan ng domain batay sa kasalukuyang petsa at oras, isinulat ni Mushtaq. Kapag ang mga hacker ay nagrerehistro ng pangalan ng domain, ang mga nahawaang makina ay maaaring dumalaw doon upang makakuha ng mga bagong tagubilin.

Ang mga mekanismo ng Mega-D upang matiyak na nananatili itong buhay ay nahirapan para sa mga kompanya ng seguridad. "Maliban kung ang isang tao ay sapat na nakatuon sa pre-register ang mga domain na iyon, ang mga bot herders ay maaaring laging darating at magrehistro ng mga domain na iyon at kunin ang kontrol ng botnet," sumulat si Mushtaq.

Huling Huwebes ng gabi, sinimulan ng FireEye ang pag-atake nito, na makipag-ugnay sa mga ISP na nagkaroon ng mga machine na kumikilos bilang mga command-and-control server para sa Mega-D. Ang lahat maliban sa apat na service provider ay nagsara ng mga koneksyon para sa mga IP address na ginamit ng Mega-D, isinulat ni Mushtaq. Nakipag-ugnay din ang FireEye sa mga registrar na kontrolin ang mga pangalan ng domain na ginamit para sa Mega-D.

Bilang isang pangwakas na panukalang-batas, na-rehistro ng FireEye ang mga pangalan ng domain na nai-auto-generated na nahahadlangan ng mga computer ng Mega-D kung nabigo ang mga machine na maabot ang iba pang command-

Sinabi ni Mushtaq noong Biyernes na ang ilang mga 264,784 natatanging IP (Internet Protocol) na mga address ay nakipag-ugnay sa server ng "sinkhole" ng FireEye, o isang server na naka-set up upang makilala ang mga nahawaang PC.

"Ang data na nakolekta mula sa sinkhole server Ang mga log ay gagamitin upang makilala ang mga makina ng biktima, "sumulat si Mushtaq.

Inaasahan na ang mga ISP ay makipag-ugnay sa mga tagasuskribi na ito at ipaalam sa kanila na kailangan nilang magpatakbo ng antivirus scan.

Mga pagsisikap ng FireEye, kasama ang kooperasyon ng mga ISP at mga registrar, lumilitaw na matagumpay na hinawakan ang Mega-D, pansamantalang pansamantala.

Noong Lunes, ipinakita ng mga istatistika mula sa M86 Security na halos tumigil ang spam ng Mega-D. Sa isang naunang punto, nakita ng M86 ang isang Mega-D na nahawaang computer na nagpapadala ng hanggang 15,000 na mensahe ng spam bawat oras.

"Maliwanag na nagpapakita ito na mahirap ngunit hindi imposibleng alisin ang ilan sa mga nastiest botnets ng mundo, "Sumulat si Mushtaq.

Ngunit ang kaparusahan ay maaaring hindi magtatagal. Ang FireEye ay nag-pre-empting ng Mega-D sa pamamagitan ng pagrehistro ng mga domain na hinahanap ng mga bot, ngunit ang prosesong iyon ay maaaring hindi kailanman magtatapos at magastos. Kung ang FireEye ay hihinto sa pagrehistro ng mga domain at ang mga naulilang bot ay tumawag sa bahay, ang mga hacker ay maaaring mag-upload ng bagong code sa kanila upang mas mahirap i-shut down.

"Hindi kami sigurado kung gaano katagal namin mapapanatili ang mga panghinaharap na domain na ito," sumulat si Mushtaq.