Хорошие парни приносят боттон Mega-D

В течение двух лет в качестве исследователя в компании FireEye, компания Atif Mushtaq работала над тем, чтобы вредоносное ПО Mega-D заражало сети клиентов, В ходе этого процесса он узнал, как его управляющие управляли им. В июне прошлого года он начал публиковать свои выводы в Интернете. В ноябре он внезапно перешел от страха к обиде. И Mega-D - мощный, устойчивый ботнет, который заставил 250 000 ПК выполнять свои торги.

Контроллеры таргетинга

Mushtaq и два коллектива FireEye пошли после командной инфраструктуры Mega-D. Первая волна атаки ботнета использует вложения электронной почты, наступательные действия в Интернете и другие методы распространения, чтобы заразить огромное количество ПК вредоносными бот-программами.

Боты получают маршевые заказы от онлайн-серверов управления (C & C) но эти серверы являются ахиллесовой пятой ботнета: изолируйте их, а неориентированные боты будут сидеть без дела. Однако контроллеры Mega-D использовали обширный массив серверов C & C, и каждому боту в его армии был назначен список дополнительных пунктов назначения, чтобы попытаться, если он не смог достичь своего основного командного сервера. Таким образом, для снятия Mega-D потребуется тщательно скоординированная атака.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Synchronized Assault

Команда Mushtaq сначала связалась с провайдерами интернет-услуг, которые невольно принимали Mega-D управляющие серверы; его исследование показало, что большинство серверов базируются в Соединенных Штатах, причем один в Турции и другой в Израиле.

Группа FireEye получила положительные отзывы, за исключением зарубежных интернет-провайдеров. Внутренние серверы C & C снизились.

Далее, Mushtaq и компания связались с регистраторами доменных имен, хранящими записи для доменных имен, которые Mega-D использовал для своих серверов управления. Регистраторы сотрудничали с FireEye, чтобы указать существующие доменные имена Mega-D на нет. Отрезав пул доменов доменов ботнета, операторы антиботтинга гарантировали, что боты не смогут дойти до серверов Mega-D-аффилированных лиц, которые заокеанские интернет-провайдеры отказались снимать.

Наконец, FireEye и регистраторы работали над получением резервных имен доменов что контроллеры Mega-D перечислены в программировании ботов. Контроллеры планировали регистрировать и использовать одну или несколько резервных магистральных сетей, если существующие домены опустились, - поэтому FireEye подняла их и указала на «провалы» (серверы, которые он настроил, чтобы спокойно сидеть и записывать усилия Мега -D ботов для регистрации заказов). Используя эти журналы, FireEye оценил, что ботнет состоял из примерно 250 000 компьютеров с медной D-защитой.

Down Goes Mega-D

MessageLabs, дочерняя компания по безопасности электронной почты Symantec, сообщает, что Mega-D «последовательно в топ-10 спам-ботов »за предыдущий год (find.pcworld.com/64165). Выпуск ботнета менялся изо дня в день, но 1 ноября на Mega-D приходилось 11,8 процента всего спама, который видел MessageLabs.

Через три дня действие FireEye уменьшило долю Mega-D в интернет-спаме до менее 0,1 процентов, сообщает MessageLabs.

FireEye планирует передать усилия по борьбе с Mega-D ShadowServer.org, волонтерской группе, которая будет отслеживать IP-адреса зараженных машин и связываться с затронутыми интернет-провайдерами и предприятиями. Бизнес-сеть или администраторы интернет-провайдера могут зарегистрироваться для бесплатного уведомления.

Продолжение битвы

Mushtaq признает, что успешное наступление FireEye против Mega-D было всего лишь одной битвой в войне с вредоносными программами. По его словам, преступники, стоящие за Mega-D, могут попытаться возродить свой ботнет, или они могут отказаться от него и создать новый. Но другие ботнеты продолжают процветать.

«У FireEye действительно была большая победа», - говорит Джо Стюарт, директор по исследованиям вредоносных программ с помощью SecureWorks. «Вопрос в том, будет ли это иметь долгосрочные последствия?»

Как и FireEye, компания безопасности Stewart защищает сети клиентов от бот-сетей и других угроз; и, подобно Муштаку, Стюарт провел годы в борьбе с преступными предприятиями. В 2009 году Стюарт изложил предложение о создании волонтерских групп, посвященных созданию бот-сетей, нерентабельных для запуска. Но немногие специалисты по безопасности могут взять на себя такую ​​трудоемкую волонтерскую деятельность.

«Для этого требуется время, ресурсы и деньги, чтобы делать это день за днем», - говорит Стюарт. Другие, под радарными ударами по различным бот-сетям и преступным организациям произошли, говорит он, но эти похвальные усилия «не остановят бизнес-модель спамера».

Муштаг, Стюарт и другие профессионалы в области безопасности соглашаются что федеральным правоохранительным органам необходимо вмешаться с постоянными усилиями по координации. По словам Стюарта, регуляторы не приступили к разработке серьезных планов, чтобы это произошло, но Муштак говорит, что FireEye делится своим методом с внутренними и международными правоохранительными органами, и он надеется.

Пока это не произойдет, «мы определенно надеясь сделать это снова », - говорит Муштаг. «Мы хотим показать плохим парням, что мы не спим».