What is a Botnet?
Índice:
Controladores de Targeting
Mushtaq e dois colegas da FireEye foram atrás da infra-estrutura de comando da Mega-D. A primeira onda de ataque de uma botnet usa anexos de e-mail, ofensivas baseadas na Web e outros métodos de distribuição para infectar um grande número de PCs com programas bot maliciosos.
Os bots recebem ordens de servidores on-line de comando e controle (C & C) mas esses servidores são o calcanhar de Aquiles da botnet: isole-os e os bots não direcionados ficarão ociosos. Os controladores do Mega-D usaram uma grande variedade de servidores C & C, e cada bot em seu exército recebeu uma lista de destinos adicionais para tentar se não conseguisse chegar ao seu servidor de comando primário. Então, derrubar o Mega-D exigiria um ataque cuidadosamente coordenado
Assalto Sincronizado
A equipe de Mushtaq entrou em contato com provedores de Internet que hospedavam involuntariamente Mega-D servidores de controle; Sua pesquisa mostrou que a maioria dos servidores era baseada nos Estados Unidos, com um na Turquia e outro em Israel.
O grupo FireEye recebeu respostas positivas, exceto dos ISPs no exterior. Os servidores C & C domésticos foram desativados.
Em seguida, a Mushtaq e a empresa entraram em contato com registradores de nomes de domínio que tinham registros dos nomes de domínio que o Mega-D usava para seus servidores de controle. Os registradores colaboraram com a FireEye para apontar os nomes de domínio existentes da Mega-D para nenhum lugar. Cortando o pool de nomes de domínio da botnet, os operadores do antibotnet garantiram que os bots não pudessem acessar os servidores afiliados ao Mega-D que os provedores do exterior haviam recusado derrubar.
Finalmente, a FireEye e os registradores trabalharam para reivindicar nomes de domínio reserva que os controladores do Mega-D listados na programação dos bots. Os controladores pretendiam registrar e usar um ou mais dos recursos extras se os domínios existentes caíssem - então a FireEye os pegou e os apontou para "sumidouros" (servidores instalados para ficar quietos e registrar os esforços da Mega -D bots para check-in para pedidos). Usando esses registros, a FireEye estimou que o botnet consistia em cerca de 250.000 computadores infectados por Mega-D.
Down Goes Mega-D
A MessageLabs, uma subsidiária de segurança de e-mail da Symantec, relata que a Mega-D no top 10 spam bots "para o ano anterior (find.pcworld.com/64165). A saída do botnet flutuava no dia-a-dia, mas no dia 1 de novembro a Mega-D respondeu por 11,8% de todos os spams vistos pela MessageLabs.
Três dias depois, a ação da FireEye reduziu a participação de mercado da Mega-D do spam na internet para menos de 0,1 por cento, diz a MessageLabs.
A FireEye planeja entregar o esforço anti-Mega-D ao ShadowServer.org, um grupo de voluntários que rastreará os endereços IP de máquinas infectadas e contatará ISPs e empresas afetadas. Rede de negócios ou administradores de ISP podem se registrar para o serviço de notificação livre
Continuando a Batalha
A Mushtaq reconhece que a ofensiva bem sucedida da FireEye contra Mega-D foi apenas uma batalha na guerra contra malware. Os criminosos por trás da Mega-D podem tentar reviver sua botnet, ele diz, ou podem abandoná-la e criar uma nova. Mas outras botnets continuam a prosperar.
"A FireEye teve uma grande vitória", diz Joe Stewart, diretor de pesquisa de malware da SecureWorks. "A questão é, terá um impacto a longo prazo?"
Como a FireEye, a empresa de segurança da Stewart protege as redes de clientes contra botnets e outras ameaças; e como Mushtaq, Stewart passou anos combatendo empresas criminosas. Em 2009, Stewart esboçou uma proposta para criar grupos de voluntários dedicados a tornar os botnets não lucrativos para serem executados. Mas poucos profissionais de segurança podem se comprometer com uma atividade voluntária tão demorada.
"Leva tempo, recursos e dinheiro para fazer isso dia após dia", diz Stewart. Outras greves, sob o radar, de várias botnets e organizações criminosas ocorreram, diz ele, mas esses esforços louváveis "não vão parar o modelo de negócios do spammer".
Mushtaq, Stewart e outros profissionais de segurança concordam que a polícia federal precisa intervir com esforços de coordenação em tempo integral. De acordo com Stewart, os reguladores não começaram a elaborar planos sérios para que isso aconteça, mas Mushtaq diz que a FireEye está compartilhando seu método com as autoridades domésticas e internacionais, e ele está esperançoso.
Até que isso aconteça, "estamos definitivamente procurando fazer isso de novo ", diz Mushtaq. "Queremos mostrar aos bandidos que não estamos dormindo".
Os bons incentivos aumentam a eficiência energética dos centros de dados
A Microsoft e outras técnicas compartilhadas para melhorar a eficiência energética dos data centers em uma pequena conferência na terça-feira. > Um executivo da Microsoft compartilhou técnicas que a empresa usou, incluindo novos tipos de programas de incentivo a funcionários e ferramentas de automação criadas internamente, para reduzir o consumo de energia de seus centros de dados em crescimento.
FireEye se move rapidamente para anular botnet Mega-D
Uma empresa de segurança de computadores conhecida por combater botnets mudou na semana passada para tentar fechar uma que A empresa de segurança informática conhecida por combater botnets mudou na semana passada para tentar desligar um persistente spam player.
Shadowserver para assumir o controle do Botnet Mega-D
Está sendo feito um esforço para limpar dezenas de milhares de computadores infectados com software malicioso conhecido para produzir spam prolífico.