FireEye κινείται γρήγορα για να καταργήσει το Mega-D Botnet

Μια εταιρία ασφάλειας ηλεκτρονικών υπολογιστών γνωστή για την μάχη με τα botnets κινήθηκε την περασμένη εβδομάδα για να προσπαθήσει να κλείσει έναν επίμονο παίκτη ανεπιθύμητης αλληλογραφίας.

Η FireEye, μια εταιρεία της Καλιφόρνια που κατασκευάζει συσκευές ασφαλείας, παρακολουθούσε ένα botnet που ονομάζεται Mega -D ή Ozdok. Το Mega-D, το οποίο είναι ένα δίκτυο υπολογιστών με πειρατεία, είναι υπεύθυνο για την αποστολή περισσότερων από το 4% των ανεπιθύμητων μηνυμάτων παγκοσμίως, σύμφωνα με το M86 Security. Πολλοί από τους υπολογιστές που απαρτίζουν το Mega-D είναι μολυσμένοι οικιακοί υπολογιστές.

Το Mega-D είναι ένα από τα πολλά botnets που έχουν εφαρμόσει προηγμένα τεχνικά μέτρα για να εξασφαλίσουν ότι οι ιδιοκτήτες τους δεν θα χάσουν τον έλεγχο των hacked PCs. Οι χάκερ χρησιμοποιούν διακομιστές εντολών και ελέγχου για να εκδώσουν οδηγίες στους υπολογιστές ζόμπι, όπως πότε θα τρέξει μια καμπάνια spam.

[Περαιτέρω ανάγνωση: Τρόπος κατάργησης κακόβουλου λογισμικού από τον υπολογιστή σας Windows]

Στην περίπτωση του Mega -D, οι hacked PCs θα αναζητήσουν ορισμένα ονόματα τομέα για να κατεβάσουν οδηγίες, έγραψε ο Atiq Mushtaq της FireEye στο blog της εταιρείας. Εάν αυτοί οι τομείς δεν είναι ενεργοί - συχνά κλείνουν από παρόχους υπηρεσιών διαδικτύου εάν συσχετίζονται με κατάχρηση - Οι μηχανές Mega-D θα αναζητήσουν προσαρμοσμένους διακομιστές DNS (Domain Name System) για να βρουν ζωντανούς τομείς.

Αν αυτό επίσης αποτυγχάνει, το Mega-D είναι προγραμματισμένο να παράγει ένα τυχαίο όνομα τομέα με βάση την τρέχουσα ημερομηνία και ώρα, γράφει ο Mushtaq. Όταν οι χάκερ καταχωρούν το όνομα τομέα, οι μολυσμένες μηχανές μπορούν να επισκεφτούν εκεί για να λάβουν νέες οδηγίες.

Οι μηχανισμοί των Mega-D για να εξασφαλίσουν ότι παραμένουν ζωντανοί δυσκολεύουν τις εταιρείες ασφαλείας. "Εκτός αν κάποιος είναι αρκετά δεσμευμένος να προκαταχωρίσει αυτούς τους τομείς, οι βοσκότοποι μπορούν πάντα να εμφανίζονται και να καταγράφουν αυτούς τους τομείς και να παίρνουν πίσω τον έλεγχο του botnet", ανέφερε ο Mushtaq.

Τετάρτη το βράδυ, η FireEye άρχισε την επίθεση, είχαν μηχανές που λειτουργούσαν ως διακομιστές εντολών και ελέγχου για το Mega-D. Όλοι οι τέσσερις παρόχους υπηρεσιών έκλεισαν τις συνδέσεις για διευθύνσεις IP που χρησιμοποίησε η Mega-D, γράφει ο Mushtaq. Το FireEye κατέγραψε επίσης τα ονόματα τομέων που δημιούργησαν αυτομάτως οι μολυσμένοι υπολογιστές Mega-D, αν τα μηχανήματα δεν κατάφεραν να προσεγγίσουν άλλα συστήματα εντολών και εντολών, Η Mushtaq έγραψε την Παρασκευή ότι περίπου 264.784 μοναδικές διευθύνσεις IP (Internet Protocol) είχαν έρθει σε επαφή με το διακομιστή "sinkhole" της FireEye ή με ένα διακομιστή που δημιουργήθηκε για να εντοπίσει μολυσμένα Η / Υ

"Τα δεδομένα που συλλέχθηκαν από το διακομιστή sinkhole θα πρέπει να χρησιμοποιηθούν για την ταυτοποίηση των μηχανών θύματος ", δήλωσε ο Mushtaq

Ελπίζεται ότι οι ISPs θα έλθουν σε επαφή με αυτούς τους συνδρομητές και θα τους ενημερώσουν ότι πρέπει να εκτελέσουν μια ανίχνευση ιών

Οι προσπάθειες της FireEye μαζί με τη συνεργασία των ISPs και οι υπεύθυνοι καταχώρησης φαίνεται να έχουν εξευρεθεί με επιτυχία Mega-D, τουλάχιστον προσωρινά.

Τη Δευτέρα, τα στατιστικά στοιχεία από το M86 Security έδειξαν ότι το spam Mega-D είχε σχεδόν σταματήσει. Σε ένα προηγούμενο σημείο, ο M86 είχε δει ένα μόνο υπολογιστή με Mega-D να στείλει μέχρι και 15.000 μηνύματα ανεπιθύμητης αλληλογραφίας ανά ώρα.

"Δείχνει σαφώς ότι είναι δύσκολο, αλλά δεν είναι αδύνατο να βγάλουμε μερικά από τα πιο bottiets του κόσμου, "Ο Mushtaq έγραψε.

Αλλά η αναβολή δεν μπορεί να διαρκέσει πολύ. Το FireEye προκάλεσε το Mega-D καταγράφοντας τους τομείς που θα αναζητούσαν τα bots, αλλά αυτή η διαδικασία μπορεί να είναι ατελείωτη και δαπανηρή. Αν ο FireEye σταματήσει να καταγράφει domains και τα ορφανά βοτσάκια να καλέσουν στο σπίτι, οι hackers θα μπορούσαν να φορτώσουν νέο κωδικό σε αυτούς για να κάνουν πιο δύσκολο να κλείσουν.

"Δεν είμαστε σίγουροι πόσο καιρό μπορούμε να συμβαδίσουμε με αυτούς τους μελλοντικούς τομείς", γράφει ο Mushtaq