Battling Botnets: Can the Good Guys Win? Part 1
Mục lục:
- Bộ điều khiển nhắm mục tiêu
- Nhóm của Mushtaq liên lạc lần đầu với các nhà cung cấp dịch vụ Internet vô tình lưu trữ Mega-D máy chủ điều khiển; nghiên cứu của ông cho thấy hầu hết các máy chủ được đặt tại Hoa Kỳ, một ở Thổ Nhĩ Kỳ và một ở Israel.
- MessageLabs, một công ty bảo mật thư điện tử Symantec, báo cáo rằng Mega-D đã "liên tục trong 10 chương trình spam hàng đầu "cho năm trước (find.pcworld.com/64165). Sản lượng của botnet dao động từ ngày này sang ngày khác, nhưng vào ngày 1 tháng 11, Mega-D chiếm 11,8% tổng số thư rác mà MessageLabs đã thấy.
- Mushtaq nhận ra rằng cuộc tấn công thành công của FireEye chống lại Mega-D chỉ là một trận chiến trong cuộc chiến về phần mềm độc hại. Những tên tội phạm đằng sau Mega-D có thể cố gắng hồi sinh botnet của họ, anh ta nói, hoặc họ có thể từ bỏ nó và tạo ra một cái mới. Nhưng các botnet khác tiếp tục phát triển mạnh.
Bộ điều khiển nhắm mục tiêu
Mushtaq và hai đồng nghiệp của FireEye đi theo cơ sở hạ tầng lệnh của Mega-D. Làn sóng tấn công đầu tiên của botnet sử dụng các file đính kèm e-mail, các phần mềm dựa trên web và các phương thức phân phối khác để lây nhiễm nhiều máy tính với các chương trình bot độc hại. nhưng những máy chủ đó là gót chân Achilles 'của botnet: Cô lập chúng, và các chương trình không người lái sẽ không hoạt động. Các bộ điều khiển của Mega-D sử dụng một loạt các máy chủ C & C, và mọi bot trong quân đội của nó đã được gán một danh sách các đích bổ sung để thử nếu nó không thể đến được máy chủ lệnh chính của nó.
[Đọc thêm: Cách gỡ phần mềm độc hại khỏi PC Windows của bạn]
Nhóm của Mushtaq liên lạc lần đầu với các nhà cung cấp dịch vụ Internet vô tình lưu trữ Mega-D máy chủ điều khiển; nghiên cứu của ông cho thấy hầu hết các máy chủ được đặt tại Hoa Kỳ, một ở Thổ Nhĩ Kỳ và một ở Israel.
Nhóm FireEye nhận được phản hồi tích cực ngoại trừ các ISP ở nước ngoài. Các máy chủ C & C trong nước đã đi xuống.
Tiếp theo, Mushtaq và công ty liên hệ với nhà đăng ký tên miền đang lưu trữ các bản ghi tên miền mà Mega-D sử dụng cho các máy chủ điều khiển của nó. Các nhà đăng ký đã cộng tác với FireEye để chỉ các tên miền hiện có của Mega-D thành không có ở đâu. Bằng cách cắt bỏ nhóm tên miền của botnet, các tác nhân kháng thuốc bảo đảm rằng các bot không thể tiếp cận các máy chủ có liên quan đến Mega-D mà các ISP ở nước ngoài đã từ chối.
Cuối cùng, FireEye và các nhà đăng ký làm việc rằng các bộ điều khiển của Mega-D được liệt kê trong chương trình của chương trình. Các bộ điều khiển dự định đăng ký và sử dụng một hoặc nhiều phụ tùng thay thế nếu các tên miền hiện tại bị hỏng - vì vậy FireEye đã chọn chúng và chỉ chúng vào "hố chìm" (các máy chủ được thiết lập để ngồi yên lặng và nỗ lực đăng nhập bằng Mega -D chương trình để kiểm tra đơn đặt hàng). Sử dụng các bản ghi đó, FireEye ước tính rằng botnet bao gồm khoảng 250.000 máy tính bị nhiễm Mega-D.
Down Goes Mega-D
MessageLabs, một công ty bảo mật thư điện tử Symantec, báo cáo rằng Mega-D đã "liên tục trong 10 chương trình spam hàng đầu "cho năm trước (find.pcworld.com/64165). Sản lượng của botnet dao động từ ngày này sang ngày khác, nhưng vào ngày 1 tháng 11, Mega-D chiếm 11,8% tổng số thư rác mà MessageLabs đã thấy.
Ba ngày sau, hành động của FireEye đã giảm thị phần thư rác của Mega-D xuống dưới 0,1 phần trăm, MessageLabs nói.
FireEye có kế hoạch bàn giao nỗ lực chống Mega-D cho ShadowServer.org, một nhóm tình nguyện sẽ theo dõi địa chỉ IP của các máy bị nhiễm và liên hệ với các ISP và doanh nghiệp bị ảnh hưởng. Mạng doanh nghiệp hoặc quản trị viên ISP có thể đăng ký dịch vụ thông báo miễn phí.
Tiếp tục cuộc chiến
Mushtaq nhận ra rằng cuộc tấn công thành công của FireEye chống lại Mega-D chỉ là một trận chiến trong cuộc chiến về phần mềm độc hại. Những tên tội phạm đằng sau Mega-D có thể cố gắng hồi sinh botnet của họ, anh ta nói, hoặc họ có thể từ bỏ nó và tạo ra một cái mới. Nhưng các botnet khác tiếp tục phát triển mạnh.
"FireEye đã có một chiến thắng lớn", Joe Stewart, giám đốc nghiên cứu phần mềm độc hại với SecureWorks, nói. "Câu hỏi đặt ra là, nó có tác động lâu dài không?"
Giống như FireEye, công ty bảo mật của Stewart bảo vệ các mạng khách hàng khỏi các botnet và các mối đe dọa khác; và như Mushtaq, Stewart đã dành nhiều năm để chống lại các doanh nghiệp tội phạm. Trong năm 2009, Stewart đã vạch ra một đề xuất để tạo ra các nhóm tình nguyện dành riêng cho việc làm cho các botnet không có lợi nhuận để chạy. Nhưng ít chuyên gia bảo mật có thể cam kết với một hoạt động tình nguyện tốn thời gian như vậy.
"Phải mất thời gian và nguồn lực và tiền bạc để làm điều này ngày này qua ngày khác," Stewart nói. Các cuộc tấn công dưới radar khác tại nhiều botnet và tổ chức tội phạm khác nhau đã xảy ra, ông nói, nhưng những nỗ lực đáng khen ngợi này là "sẽ không ngăn chặn mô hình kinh doanh của người gửi spam."
Mushtaq, Stewart và các chuyên gia an ninh khác đồng ý rằng thực thi pháp luật liên bang cần phải bước vào với những nỗ lực phối hợp toàn thời gian. Theo Stewart, các nhà quản lý chưa bắt đầu xây dựng các kế hoạch nghiêm túc để thực hiện điều đó, nhưng Mushtaq nói rằng FireEye đang chia sẻ phương pháp của mình với thực thi pháp luật trong nước và quốc tế, và ông hy vọng. Mushtaq nói. "Chúng tôi muốn thể hiện những kẻ xấu mà chúng tôi không ngủ."
Theo Bộ Tư pháp Hoa Kỳ, theo báo cáo của Bộ Tư pháp Mỹ, hai người đàn ông Châu Âu đã bị truy tố về việc điều khiển các cuộc tấn công không gian mạng chống lại hai trang web, theo một cuộc điều tra thành công đầu tiên của Mỹ vào các vụ tấn công từ chối dịch vụ. Axel Gembe, 25 tuổi, người Đức, được cho là lập trình viên đằng sau Agobot, một chương trình phần mềm độc hại nổi tiếng được sử dụng để tạo ra một mạng botnet hoặc mạng máy tính bị xâm nhập. Gembe và Lee Graham Walker, 24 tuổi Bl
Hai người đàn ông bị buộc tội là Jay R. Echouafni, Orbit Truyền thông, một Công ty có trụ sở tại Massachusetts bán các hệ thống vệ tinh gia đình, để thực hiện các cuộc tấn công DDOS. Các cuộc tấn công đã được thực hiện tại các trang web công cộng của hai đối thủ cạnh tranh của Orbit, Rapid Satellite của Miami, Florida, và Weaknees of Los Angeles.
Ba gói chơi cáp, internet, và điện thoại đường dây là giá vé tiêu chuẩn cho bất kỳ công ty cáp, nhưng Cox đang tìm cách để bắt những thứ lên. Cox đang làm việc để xây dựng mạng lưới riêng cho việc sử dụng điện thoại di động, nhưng ban đầu mạng sẽ được dựa trên mối quan hệ hợp tác với Sprint. Điều đó có nghĩa là khách hàng của Cox sẽ có quyền truy cập vào mạng 3G của Sprint. Báo cáo của USA Today cũng chỉ ra rằng Cox cũng đang thử nghiệm các công nghệ mạng 4G, mặc dù không có bất kỳ thông tin nào
Về mặt tiện lợi, đây là một lợi thế lớn . Có tất cả các dịch vụ của bạn trên một hóa đơn giúp mọi thứ dễ dàng hơn trong việc quản lý. Cũng có một thực tế là Cox đang lên kế hoạch cho các tính năng như sử dụng điện thoại di động của bạn để ghi chương trình DVR của bạn trong khi bạn đang đi, điều này sẽ rất hữu ích. Tuy nhiên, có một số vấn đề có thể xảy ra khi có tất cả các dịch vụ của bạn trên một hóa đơn. Các dịch vụ nhiều hơn là trên một dự luật đơn giản, nó là dễ dàng hơn cho một công ty để s
Khi McColo trở lại trực tuyến, các hacker đã kiểm soát các máy chủ điều khiển và kiểm soát một mạng botnet được gọi là Rustock đã chuyển các điều khiển cho mạng botnet đó tới một trung tâm dữ liệu ở Nga, theo blog của hãng bảo mật FireEye
. "Chúng tôi tin rằng bộ điều khiển Rustock không mong đợi rằng McColo sẽ rất ổn định trong tương lai gần, vì vậy họ đang tự bảo vệ mình và chuyển C & C tới một nhà cung cấp khác ", theo FireEye