FireEye si muove rapidamente per distruggere la botnet Mega-D

Una società di sicurezza informatica nota per la lotta contro le botnet si è trasferita la scorsa settimana per provare a chiudere un giocatore di spam persistente.

FireEye, una società californiana che produce dispositivi di sicurezza, stava monitorando una botnet chiamata Mega -D o Ozdok. Mega-D, che è una rete di computer hackerati, è responsabile dell'invio di oltre il 4% dello spam mondiale, secondo M86 Security. Molti dei computer che compongono Mega-D sono PC domestici infetti.

Mega-D è una delle numerose botnet che hanno implementato misure tecniche avanzate per garantire che i proprietari non perdano il controllo dei PC compromessi. Gli hacker utilizzano server command-and-control per inviare istruzioni ai PC zombie, ad esempio quando eseguire una campagna di spam.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Nel caso di Mega -D, i PC hacker cercheranno determinati nomi di dominio per scaricare le istruzioni, ha scritto Atiq Mushtaq di FireEye sul blog della compagnia. Se questi domini non sono attivi, spesso vengono chiusi dagli ISP se sono associati all'abuso - Le macchine Mega-D cercheranno server DNS (Domain Name System) personalizzati per trovare domini live.

Se quello anche fallito, Mega-D è programmato per generare un nome di dominio casuale basato sulla data e ora correnti, ha scritto Mushtaq. Quando gli hacker registrano il nome di dominio, le macchine infette possono visitarlo per ottenere nuove istruzioni.

I meccanismi di Mega-D per garantire che rimanga vivo hanno reso difficile per le aziende di sicurezza. "A meno che qualcuno non si impegni abbastanza per preregistrare quei domini, i pastori dei bot possono sempre farsi avanti e registrare quei domini e riprendere il controllo della botnet", scrisse Mushtaq.

Giovedì sera, FireEye ha iniziato il suo assalto, contattando gli ISP che aveva macchine che fungevano da server di comando e controllo per Mega-D. Tutti tranne quattro fornitori di servizi hanno interrotto le connessioni per gli indirizzi IP utilizzati da Mega-D, ha scritto Mushtaq. FireEye ha anche contattato i registrar che controllano i nomi di dominio utilizzati per Mega-D.

Come misura finale, FireEye ha registrato i nomi di dominio auto-generati che i computer Mega-D avrebbero contattato se le macchine non fossero riuscite a raggiungere altri comandi e nodi di controllo.

Mushtaq ha scritto venerdì che circa 264.784 indirizzi IP (Internet Protocol) unici hanno contattato il server "sinkhole" di FireEye o un server configurato per identificare i PC infetti.

"Dati raccolti dal server sinkhole i log saranno utilizzati per identificare le macchine della vittima ", scrisse Mushtaq.

Si spera che gli ISP contatteranno quegli abbonati e li informeranno che devono eseguire una scansione antivirus.

Gli sforzi di FireEye, insieme alla cooperazione degli ISP e registrar, sembrano aver domato con successo Mega-D, almeno temporaneamente.

Lunedì, le statistiche di M86 Security hanno mostrato che lo spam Mega-D si era quasi fermato. Ad un punto precedente, M86 aveva visto un singolo computer infetto da Mega-D inviare fino a 15.000 messaggi di spam all'ora.

"Dimostra chiaramente che è difficile ma non impossibile eliminare alcuni dei più cattivi botnet del mondo, "Mushtaq ha scritto.

Ma la tregua potrebbe non durare a lungo. FireEye stava anticipando Mega-D registrando i domini che i robot avrebbero cercato, ma quel processo può essere infinito e costoso. Se FireEye smette di registrare domini e i bot orfani chiamano home, gli hacker potrebbero caricare loro un nuovo codice per renderli più difficili da chiudere.

"Non siamo sicuri di quanto possiamo tenere il passo con questi domini futuri", scrisse Mushtaq.