Il boscaiolo del terzo millennio
Sommario:
Controllori di targeting
Mushtaq e due colleghi di FireEye hanno seguito l'infrastruttura di comando di Mega-D. La prima ondata di attacchi di una botnet utilizza allegati di posta elettronica, offensive Web e altri metodi di distribuzione per infettare un numero enorme di PC con programmi bot dannosi.
I robot ricevono ordini di marcia dai server di comando e controllo online (C & C), ma quei server sono il tallone d'Achille della botnet: isolali e i robot non orientati resteranno inattivi. I controller di Mega-D utilizzavano una vasta gamma di server C & C, tuttavia, e ad ogni bot della sua armata era stato assegnato un elenco di destinazioni aggiuntive da provare se non fosse riuscito a raggiungere il suo server di comando primario. Quindi prendere Mega-D richiederebbe un attacco attentamente coordinato.
Assalto sincronizzato
La squadra di Mushtaq contatta per prima cosa i fornitori di servizi Internet che involontariamente hanno ospitato Mega-D server di controllo; la sua ricerca ha mostrato che la maggior parte dei server erano basati negli Stati Uniti, uno in Turchia e un altro in Israele.
Il gruppo FireEye ha ricevuto risposte positive tranne che dagli ISP d'oltremare. I server domestici di C & C sono andati giù.
Successivamente, Mushtaq e la società hanno contattato registrar di nomi di dominio contenenti record per i nomi di dominio utilizzati da Mega-D per i suoi server di controllo. I registrar hanno collaborato con FireEye per indirizzare i nomi di dominio esistenti di Mega-D in nessun luogo. Eliminando il pool di nomi di dominio della botnet, gli operatori antibotnet hanno assicurato che i bot non potevano raggiungere server affiliati a Mega-D che gli ISP d'oltremare non avevano ritirato.
Infine, FireEye ei registrar hanno lavorato per rivendicare i nomi di dominio di riserva che i controller di Mega-D sono elencati nella programmazione dei robot. I controllori intendevano registrare e utilizzare uno o più dei do-mains di riserva se i domini esistenti andavano giù - così FireEye li raccolse e li indirizzò a "sinkholes" (i server che aveva impostato per sedersi tranquillamente e registrare gli sforzi di Mega -D bot per il check-in per gli ordini). Utilizzando questi registri, FireEye stimava che la botnet consistesse di circa 250.000 computer infettati da Mega-D.
Down Goes Mega-D
MessageLabs, una sussidiaria di sicurezza per e-mail di Symantec, riferisce che Mega-D era "costantemente presente" tra i primi 10 robot spam "per l'anno precedente (find.pcworld.com/64165). L'output della botnet oscillava di giorno in giorno, ma il 1 ° novembre il Mega-D rappresentava l'11,8% di tutto lo spam rilevato da MessageLabs.
Tre giorni dopo, l'azione di FireEye aveva ridotto la quota di mercato di spam Internet di Mega-D a meno di 0,1. Percentuale, afferma MessageLabs.
FireEye pianifica di trasferire lo sforzo anti-Mega-D a ShadowServer.org, un gruppo di volontari che monitorerà gli indirizzi IP delle macchine infette e contatterà gli ISP e le aziende interessate. Gli amministratori della rete aziendale o ISP possono registrarsi per il servizio di notifica gratuito.
Continuazione della battaglia
Mushtaq riconosce che l'efficace offensiva di FireEye contro Mega-D è stata solo una battaglia nella guerra contro il malware. I criminali dietro Mega-D potrebbero provare a far rivivere la loro botnet, dice, oppure potrebbero abbandonarlo e crearne uno nuovo. Ma altre botnet continuano a prosperare.
"FireEye ha avuto una grande vittoria", afferma Joe Stewart, direttore della ricerca sui malware con SecureWorks. "La domanda è, avrà un impatto a lungo termine?"
Come FireEye, la società di sicurezza di Stewart protegge le reti client da botnet e altre minacce; e come Mushtaq, Stewart ha passato anni a combattere le imprese criminali. Nel 2009, Stewart ha delineato una proposta per creare gruppi di volontari dedicati a rendere le botnet non redditizie da gestire. Ma pochi professionisti della sicurezza potrebbero impegnarsi in un'attività di volontariato così dispendiosa in termini di tempo.
"Ci vuole tempo, risorse e denaro per fare questo giorno dopo giorno", dice Stewart. Altri attacchi sotto il radar a botnet e organizzazioni criminali si sono verificati, dice, ma questi lodevoli sforzi non "fermeranno il modello di business dello spammer".
Mushtaq, Stewart e altri professionisti della sicurezza sono d'accordo che le forze dell'ordine federali devono intervenire con sforzi di coordinamento a tempo pieno. Secondo Stewart, le autorità di regolamentazione non hanno iniziato a elaborare piani seri per farlo, ma Mushtaq afferma che FireEye sta condividendo il suo metodo con le forze dell'ordine nazionali e internazionali, ed è fiducioso.
Finché ciò non accadrà, "siamo decisamente cercando di farlo di nuovo ", dice Mushtaq. "Vogliamo mostrare ai cattivi che non stiamo dormendo."
Studio Sexting Trova Pochi Ragazzi Partecipa
Quando si tratta di sexting, solo una piccola percentuale di adolescenti partecipa effettivamente scambiando messaggi sessualmente espliciti.
GeekTip: è un gioco da ragazzi aggiungere Snap Aero a Mac OS X
Perché gli utenti di Windows dovrebbero divertirsi con Snap? Una nuova utilità shareware porta questa utile funzionalità di Windows 7 a Mac OS X.
Rassegna: PhotoPeach rende le presentazioni online un gioco da ragazzi per gli utenti Picasa
Questo strumento di presentazione basato su Web facile da usare ti consente di condividere le tue foto e ti aiuta a scoprire quelle condivise da altri. Sfortunatamente, la sua mancanza di supporto funzionale per qualsiasi servizio fotografico, ma Picasa ne limita l'utilità.