Mga Magandang Lalaki Dalhin ang Mega-D Botnet

Sa loob ng dalawang taon bilang isang tagapagpananaliksik sa kumpanya ng seguridad na FireEye, si Atif Mushtaq ay nagtrabaho upang mapanatili ang Mega-D bot malware mula sa pagkalat ng mga network ng mga kliyente. Sa proseso, nalaman niya kung paano ito pinatatakbo ng mga tagapangasiwa nito. Noong Hunyo, sinimulan niyang i-publish ang kanyang mga natuklasan sa online. Noong Nobyembre, bigla siyang lumipat mula sa pagkakasira sa pagkakasala. At Mega-D - isang malakas, nababanat na botnet na pumipilit sa 250,000 PCs na gawin ang pag-bid nito - bumaba.

Mga Pag-target sa Controllers

Mushtaq at dalawang mga kasamahan sa FireEye ay sumunod sa imprastraktura ng utos ng Mega-D. Ang unang alon ng pag-atake ng botnet ay gumagamit ng mga attachment ng e-mail, mga opensibang batay sa Web, at iba pang mga paraan ng pamamahagi upang makahawa ang malaking bilang ng mga PC gamit ang malisyosong mga programang bot.

Ang mga bot ay tumatanggap ng mga order sa pagmamartsa mula sa mga online na command at control (C & C) ngunit ang mga server na iyon ay ang takong Achilles 'botnet: Ihiwalay ang mga ito, at ang mga bot na hindi nauubusan ay umupo nang walang ginagawa. Ginamit ng mga controllers ng Mega-D ang isang malawak na hanay ng mga server ng C & C, gayunpaman, at ang bawat bot sa kanyang hukbo ay naitalaga ng isang listahan ng mga karagdagang patutunguhan upang subukan kung hindi ito maaaring maabot ang pangunahing command server. Ang pagkuha ng Mega-D ay nangangailangan ng isang maingat na coordinated na atake.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Naka-sync na Assault

Koponan ng Mushtaq unang nakontak sa mga tagapagkaloob ng serbisyo sa Internet na hindi sinang-ayos ang Mega-D mga kontrol ng mga server; ang kanyang pananaliksik ay nagpakita na ang karamihan sa mga server ay nakabase sa Estados Unidos, kasama ang isa sa Turkey at isa pa sa Israel.

Ang grupo ng FireEye ay nakatanggap ng mga positibong tugon maliban sa mga ibang bansa na ISP. Ang mga domestic C & C server ay bumaba.

Susunod, si Mushtaq at kumpanya ay nakipag-ugnay sa mga registrar ng domain name na may hawak na mga rekord para sa mga pangalan ng domain na ginamit ng Mega-D para sa mga kontrol ng mga server nito. Ang mga registrar ay nakipagtulungan sa FireEye upang ituro ang mga umiiral na mga pangalan ng Mega-D sa mga walang-saan. Sa pamamagitan ng pagputol sa pool ng mga pangalan ng domain ng botnet, natiyak ng mga operatiba ng antibotnet na hindi maabot ng mga bot ang mga server ng Mega-D na tinanggihan ng mga ISP sa ibang bansa.

Sa wakas, nagtrabaho ang FireEye at ang mga registrar upang mag-claim ng mga pangalan ng ekstrang domain na ang mga controllers ng Mega-D ay nakalista sa programming ng mga bot. Ang mga tagapangasiwa ay naglalayong magparehistro at gumamit ng isa o higit pa sa mga spare-mains kung ang mga umiiral na domain ay bumaba - kaya kinuha ito ng FireEye at itinuturo ang mga ito sa "sinkholes" (mga server na naitakda nito upang umupo nang tahimik at mag-log pagsusumikap ng Mega -D bot upang mag-check in para sa mga order). Tinitingnan ng FireEye na ang botnet ay binubuo ng mga 250,000 Mega-D na mga computer.

Down Goes Mega-D

MessageLabs, isang Symantec e-mail security subsidiary, ay nag-ulat na ang Mega-D ay " sa top 10 spam bots "sa nakaraang taon (find.pcworld.com/64165). Ang output ng botnet ay nagbago sa araw-araw, ngunit noong Nobyembre 1 Mega-D ay nagkaloob ng 11.8 porsiyento ng lahat ng spam na nakita ng MessageLabs.

Pagkalipas ng tatlong araw, ang pagkilos ng FireEye ay nagbawas ng Mega-D market share ng Internet spam sa mas mababa sa 0.1 porsyento, sabi ng MessageLabs.

Ang FireEye ay nagnanais na ibalik ang pagsisikap ng anti-Mega-D sa ShadowServer.org, isang grupong boluntaryo na susubaybayan ang mga IP address ng mga nahawaang machine at makipag-ugnay sa mga apektadong ISP at mga negosyo. Maaaring magparehistro ang network ng negosyo o ang mga administrator ng ISP para sa libreng serbisyo sa pag-abiso.

Nagpapatuloy sa Labanan

Kinikilala ni Mushtaq na ang matagumpay na opensiba ng FireEye laban sa Mega-D ay isa lamang labanan sa digmaan sa malware. Ang mga kriminal sa likod ng Mega-D ay maaaring subukan upang muling buhayin ang kanilang botnet, sabi niya, o maaari nilang abandunahin ito at lumikha ng bago. Ngunit ang iba pang mga botnets ay patuloy na umunlad.

"Ang FireEye ay may malaking tagumpay," sabi ni Joe Stewart, direktor ng research ng malware sa SecureWorks. "Ang tanong ay, magkakaroon ba ito ng pangmatagalang epekto?"

Tulad ng FireEye, ang kumpanya ng seguridad ni Stewart ay pinoprotektahan ang mga network ng client mula sa botnet at iba pang pagbabanta; at tulad ng Mushtaq, si Stewart ay gumugol ng mga taon sa paglaban sa mga kriminal na negosyo. Noong 2009, binabalangkas ni Stewart ang isang panukala upang lumikha ng mga grupo ng boluntaryong nakatuon sa paggawa ng mga botnets na hindi mapapakinabangan upang tumakbo. Subalit kakaunti ang mga propesyonal sa seguridad na maaaring magkasala sa naturang aktibidad na boluntaryong matagal.

"Kailangan ng oras at mga mapagkukunan at pera upang gawin araw-araw," sabi ni Stewart. Ang iba pang mga strike sa ilalim ng radar sa iba't ibang botnets at kriminal na mga organisasyon ay naganap, sabi niya, ngunit ang mga kapuri-puri na pagsisikap ay "hindi mapipigil ang modelo ng negosyo ng spammer."

Mushtaq, Stewart, at iba pang mga security pros na kailangan ng pagpapatupad ng pederal na batas sa mga pagsisikap ng buong-panahong koordinasyon. Ayon kay Stewart, ang mga regulator ay hindi pa nagsimula na gumawa ng mga seryosong plano upang gawin iyon, ngunit sinabi ni Mushtaq na ibinabahagi ng FireEye ang paraan nito sa pagpapatupad ng batas sa domestic at internasyonal, at umaasa siya.

Hanggang sa mangyari iyon, "sigurado kami hinahanap na gawin ito muli, "sabi ni Mushtaq. "Gusto naming ipakita ang mga masamang tao na hindi kami natutulog."