Καλοί Γυναίκες Φέρνουν το Mega-D Botnet

Για δύο χρόνια ως ερευνητής με την εταιρεία ασφαλείας FireEye, ο Atif Mushtaq εργάστηκε για να κρατήσει το λογισμικό malware Mega-D να μολύνει τα δίκτυα των πελατών. Κατά τη διαδικασία, έμαθε πώς τα χειριστήρια του λειτουργούσαν. Τον περασμένο Ιούνιο ξεκίνησε να δημοσιεύει τα ευρήματά του στο διαδίκτυο. Τον Νοέμβριο, ξαφνικά μεταπήδησε από το αμέριστο σε αδίκημα. Και ο Mega-D - ένα ισχυρό, ανθεκτικό botnet που είχε εξαναγκάσει 250.000 υπολογιστές να κάνουν την προσφορά του - έπεσε κάτω.

Ο στόχος των ελεγκτών

Mushtaq και δύο συναδέλφους του FireEye πήγαν μετά από την υποδομή εντολών του Mega-D. Το πρώτο κύμα επίθεσης του botnet χρησιμοποιεί συνημμένα μηνύματα ηλεκτρονικού ταχυδρομείου, επιθέσεις που βασίζονται στο Web και άλλες μεθόδους διανομής για να μολύνουν τεράστιους αριθμούς υπολογιστών με κακόβουλα προγράμματα bot

Τα bots λαμβάνουν εντολές από διαδικτυακούς διακομιστές εντολών και ελέγχου (C & C) αλλά αυτοί οι εξυπηρετητές είναι η φτέρνα του Αχιλλέα του botnet: Απομονώστε τα και οι μη κατευθυνόμενοι βόμβοι θα παραμείνουν αδρανείς. Ωστόσο, οι ελεγκτές της Mega-D χρησιμοποίησαν μια μεγάλη σειρά διακομιστών C & C και κάθε bot στο στρατό του είχε λάβει μια λίστα πρόσθετων προορισμών για να προσπαθήσει αν δεν μπορούσε να φτάσει στον κεντρικό εξυπηρετητή εντολών. Έτσι, η λήψη του Mega-D θα απαιτούσε μια προσεκτικά συντονισμένη επίθεση.

Η ομάδα του Mushtaq επικοινώνησε πρώτα με τους παρόχους υπηρεσιών Διαδικτύου που φιλοξένησαν άθελά το Mega-D διακομιστές ελέγχου. η έρευνά του έδειξε ότι οι περισσότεροι από τους διακομιστές ήταν εγκατεστημένοι στις Ηνωμένες Πολιτείες, με έναν στην Τουρκία και έναν άλλο στο Ισραήλ.

Ο όμιλος FireEye έλαβε θετικές απαντήσεις εκτός από τους ISPs στο εξωτερικό. Οι εγχώριοι διακομιστές C & C μειώθηκαν.

Στη συνέχεια, η Mushtaq και η εταιρεία επικοινώνησαν με καταχωρητές ονομάτων τομέα που κατέχουν αρχεία για τα ονόματα τομέα που χρησιμοποίησε για τους διακομιστές ελέγχου. Οι καταχωρητές συνεργάστηκαν με το FireEye για να επισημάνουν τα υφιστάμενα ονόματα τομέων του Mega-D στο μηδενικό σημείο. Με την αποκοπή της ομάδας botnet των ονομάτων τομέα, οι αντιπρόσωποι αντιμονοπωλητών διασφάλισαν ότι οι bots δεν μπορούσαν να φτάσουν στους διακομιστές που συνδέονται με το Mega-D που οι ISPs στο εξωτερικό είχαν αρνηθεί να καταλάβουν. Τέλος, η FireEye και οι καταχωρητές εργάστηκαν για να διεκδικήσουν ελεύθερα ονόματα περιοχών ότι οι ελεγκτές της Mega-D αναφέρονται στον προγραμματισμό των bots. Οι ελεγκτές σκόπευαν να καταχωρήσουν και να χρησιμοποιήσουν ένα ή περισσότερα από τα εφεδρικά δομοστοιχεία, αν οι υπάρχοντες τομείς κατέβαιναν - έτσι η FireEye τις πήρε και τους έδειξε σε «βυθίσματα» (servers που είχαν εγκατασταθεί για να κάθονται ήσυχα και να καταγράφουν τις προσπάθειες της Mega -D bots για check in για παραγγελίες). Χρησιμοποιώντας αυτά τα αρχεία καταγραφής, η FireEye εκτιμά ότι το botnet αποτελείται από περίπου 250.000 υπολογιστές που έχουν μολυνθεί από Mega-D.

Down Goes Mega-D

Η MessageLabs, θυγατρική της Symantec για την ασφάλεια ηλεκτρονικού ταχυδρομείου, αναφέρει ότι η Mega-D στα top 10 spam bots "για το προηγούμενο έτος (find.pcworld.com/64165). Η παραγωγή του botnet διαφέρει από μέρα σε μέρα, αλλά την 1η Νοεμβρίου η Mega-D αντιπροσώπευε το 11,8% του συνόλου των μηνυμάτων spam που είδαν το MessageLabs.

Τρεις μέρες αργότερα, η ενέργεια της FireEye είχε μειώσει το μερίδιο αγοράς του Mega-D στο Internet spam σε λιγότερο από 0,1

Το FireEye σχεδιάζει να παραδώσει την προσπάθεια αντι-Mega-D στο ShadowServer.org, μια ομάδα εθελοντών που θα παρακολουθήσει τις διευθύνσεις IP μολυσμένων μηχανών και θα επικοινωνήσει με τους πάσχοντες ISPs και επιχειρήσεις. Το εταιρικό δίκτυο ή οι διαχειριστές του ISP μπορούν να εγγραφούν για την υπηρεσία δωρεάν ειδοποίησης.

Συνεχίζοντας τη μάχη

Η Mushtaq αναγνωρίζει ότι η επιτυχημένη επίθεση της FireEye κατά της Mega-D ήταν μια μάχη στον πόλεμο για κακόβουλο λογισμικό. Οι εγκληματίες που βρίσκονται πίσω από το Mega-D μπορούν να προσπαθήσουν να αναβιώσουν το botnet τους, λέει, ή να το εγκαταλείψουν και να δημιουργήσουν ένα νέο. Αλλά τα υπόλοιπα botnets συνεχίζουν να ευδοκιμούν.

Η FireEye είχε μια σημαντική νίκη, λέει ο Joe Stewart, διευθυντής έρευνας κακόβουλου λογισμικού με την SecureWorks. "Το ερώτημα είναι, θα έχει μακροπρόθεσμο αντίκτυπο;"

Όπως και το FireEye, η εταιρεία ασφάλειας της Stewart προστατεύει τα δίκτυα πελατών από τα botnets και άλλες απειλές. και όπως ο Mushtaq, ο Stewart έχει περάσει χρόνια καταπολέμησης εγκληματικών επιχειρήσεων. Το 2009, ο Stewart περιέγραψε μια πρόταση για τη δημιουργία εθελοντικών ομάδων αφιερωμένων στην αποφυγή κέρδους για botnets. Αλλά λίγοι επαγγελματίες στον τομέα της ασφάλειας θα μπορούσαν να δεσμευτούν για μια τόσο χρονοβόρα εθελοντική δραστηριότητα.

"Χρειάζεται χρόνος, πόροι και χρήματα για να γίνει αυτή η μέρα με τη μέρα", λέει ο Stewart. Άλλες, οι απεργίες κάτω από το ραντάρ σε διάφορα botnets και εγκληματικές οργανώσεις έχουν συμβεί, λέει, αλλά αυτές οι αξιέπαινες προσπάθειες "δεν πρόκειται να σταματήσουν το επιχειρηματικό μοντέλο του spammer."

Οι Mushtaq, Stewart και άλλοι επαγγελματίες ασφαλείας συμφωνούν ότι η ομοσπονδιακή επιβολή του νόμου πρέπει να ενταχθεί με τις προσπάθειες συντονισμού πλήρους απασχόλησης. Σύμφωνα με τον Stewart, οι ρυθμιστικές αρχές δεν έχουν αρχίσει να καταρτίζουν σοβαρά σχέδια για να συμβούν κάτι τέτοιο, αλλά ο Mushtaq λέει ότι η FireEye μοιράζεται τη μέθοδο της με την εσωτερική και διεθνή επιβολή του νόμου και είναι ελπιδοφόρα.

Μέχρι να συμβεί αυτό, θέλοντας να το κάνουμε και πάλι ", λέει ο Mushtaq. "Θέλουμε να δείξουμε στους κακούς ότι δεν κοιμάμαστε."