החבר' ה הטובים מביאים למטה בוטניקה מגה D

במשך שנתיים כחוקר בחברת FireEye, עטיף מושטק עבד על מנת לשמור על תוכנות זדוניות של מגה-D מפני הדבקת רשתות של לקוחות. תוך כדי כך הוא למד כיצד פעלו בו. ביוני האחרון הוא החל לפרסם את ממצאיו באינטרנט. בחודש נובמבר הוא עבר פתאום מעבירה לעבירה. ו Mega-D - botnet עוצמה, גמיש שהכריח 250,000 מחשבים לעשות את ההצעה שלה - ירד.

בקרי מיקוד

Mushtaq ושני עמיתים FireEye הלך אחרי התשתית פיקוד מגה. גל ההתקפה הראשון של botnet משתמש בקבצים מצורפים לדואר אלקטרוני, בהתקפות מבוססות-אינטרנט ובשיטות הפצה אחרות כדי להדביק מספר עצום של מחשבים עם תוכניות בוט זדוניות.

הרובוטים מקבלים הזמנות צועדים משרתי פקודה ושליטה מקוונים (C & C) אבל שרתים אלה הם העקב של אכילס של הבוטנט: לבודד אותם, ואת הרובוטים מנותב יישב בטל. בקרי ה- Mega-D השתמשו במערך מרוחק של שרתי C & C, אך לכל רובוט בצבא שלה הוקצה רשימה של יעדים נוספים, אם לא יכלה להגיע לשרת השרת הראשי שלה. לכן, הורדת מגה-D תחייב התקפה מתואמת בקפידה. [

] [לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

תקיפה מסונכרנת

צוות של מושטק יצר קשר ראשון עם ספקי אינטרנט אשר איחלו את Mega-D שרתי בקרה; המחקר הראה כי רוב השרתים התבססו בארה"ב, עם אחד בטורקיה והשני בישראל.

קבוצת FireEye קיבלה תשובות חיוביות, למעט ספקי שירותי אינטרנט בחו"ל. שרתי C & C המקומיים ירדו.

לאחר מכן, Mushtaq והחברה פנו לרשמי שמות תחום המחזיקים ברשומות עבור שמות התחומים שבהם השתמשו מגה-D עבור שרתי הבקרה שלה. הרשמים שיתפו פעולה עם FireEye להצביע על שמות התחום הקיימים של Mega-D ללא שם. על ידי ניתוק מאגר הבוטנטים של שמות התחומים, פעילי ה- antibotnet הבטיחו שהרובוטים לא יוכלו להגיע לשרתי Mega-D המזוהים עם ספקי שירותי האינטרנט בחו"ל.

לבסוף, FireEye והרשמים פעלו לתבוע שמות דומיין חלופיים כי בקרי מגה-D המפורטים בתכנות הבוטים. הבקרים התכוונו לרשום ולהשתמש באחד או יותר מהחומרים הפנויים, אם התחומים הקיימים ירדו - כך ש FireEye הרים אותם והצביע עליהם ל"סינקולס "(שרתים שהקימה כדי לשבת בשקט ולהיכנס למאמצים על ידי מגה D-bots כדי לבדוק עבור הזמנות). באמצעות היומנים הללו, FireEye העריך כי הבוטנט כלל כ -250,000 מחשבים נגועים מסוג Mega-D.

Down Goes Mega-D

MessageLabs, חברה בת של סימנטק, מדווחת כי מגה-D " ב 10 הרובוטים דואר זבל "בשנה הקודמת (find.pcworld.com/64165). התפוקה של הבוטנט נעה מיום ליום, אך ב -1 בנובמבר מגה-D היוו 11.8% מכלל הודעות ה- Spam שמראה MessageLabs.

שלושה ימים לאחר מכן, הפעולה של FireEye הפחיתה את נתח השוק של מגה-ד 'של דואר זבל באינטרנט ל -0.1, אומר MessageLabs.

FireEye מתכננת למסור את המאמץ נגד Mega-D ל- ShadowServer.org, קבוצת מתנדבים שתעקוב אחר כתובות ה- IP של מכונות נגועות ויצירת קשר עם ספקי שירותי אינטרנט ועסקים. מנהלי רשת או מנהלי ISP יכולים להירשם לשירות ההודעות החופשי.

המשך הקרב

מושטק מכיר בכך שהתקפה המוצלחת של FireEye נגד מגה-D הייתה רק מאבק אחד במלחמה על תוכנות זדוניות. הפושעים שמאחורי מגה-ד 'ינסו להחיות את הבוטנט שלהם, הוא אומר, או שהם עלולים לנטוש אותו וליצור אחד חדש. עם זאת, "יש לנו ניצחון גדול", אומר ג'ו סטיוארט, מנהל מחקר תוכנה זדונית עם SecureWorks. "השאלה היא, האם תהיה לכך השפעה ארוכת טווח?"

כמו FireEye, חברת האבטחה של סטיוארט מגינה על רשתות לקוחות מפני רשתות botnets ואיומים אחרים; וכמו מושטק, סטיוארט בילה שנים במאבק במפעלים פליליים. בשנת 2009, סטיוארט מתווה הצעה ליצור קבוצות התנדבות ייעודי לעשות בוטנטים רווחי לרוץ. אבל כמה אנשי מקצוע בתחום הביטחון יכלו להתחייב לפעילות התנדבותית כה ארוכה"זה לוקח זמן ומשאבים וכסף לעשות את זה יום אחרי יום," סטיוארט אומר. אחרים, תחת שביתות מכ"ם במפעלים שונים ובארגונים פליליים, הוא אומר, אך המאמצים הראויים לציון הללו "לא יפסיקו את המודל העסקי של מפיצי דואר הזבל".

מוסטק, סטיוארט, ומומחים ביטחוניים אחרים מסכימים כי אכיפת החוק הפדראלי צריך לשלב עם מאמצי תיאום במשרה מלאה. לדברי סטיוארט, הרגולטורים לא החלו להכין תוכניות רציניות כדי שזה יקרה, אבל מושטאק אומר כי FireEye הוא שיתוף השיטה שלה עם אכיפת החוק המקומי והבינלאומי, והוא מקווה. עד שזה יקרה, "אנחנו בהחלט מחפש לעשות זאת שוב ", אומר מושטק. "אנחנו רוצים להראות את הרעים שאנחנו לא ישנים."