Jak dobre chłopaki botnet rozwaliły

Atif Mushtaq, pracownik zajmującej się kwestiami bezpieczeństwa firmy FireEye, pracował przez dwa lata nad ochroną przed atakami złośliwego oprogramowania tworzącego sieć botnet Mega-D. W tym czasie poznał on sposób pracy botnetu. W czerwcu tego roku postanowił opublikować swoje odkrycia online.

W listopadzie natomiast przeszedł z obrony do ataku. Ataku, który zakończył się sukcesem - potężny botnet, który do pracy pod „swoimi skrzydłami” zmusił 250 tysięcy pecetów, został pokonany.

Mushtaq oraz jego dwaj koledzy z FireEye dokładnie przeanalizowali strukturę poleceń Mega-D. Pierwsza fala ataku botnetu wykorzystywała załączniki listów elektronicznych – w ten sposób zarażano komputery, które stawały się częścią botnetu.

Boty otrzymywały instrukcje od serwerów sterujących C&C (Command and Control). Aby pokonać botnet, należało odizolować centrum sterowania od swoich podwładnych. Mega-D korzystał z bardzo rozległej matrycy serwerów sterujących, zaś każdy bot miał przypisanych kilka serwerów z których mógł otrzymywać polecenia. Jeśli nie udawało mu się połączyć z główną maszyną, próbował komunikować się z pozostałymi na liście.

Dlatego też atak na botnet musiał być uderzeniem skoordynowanym.

Zespół Mustaqa skontaktował się więc z dostarczycielami usług internetowych, którzy nieświadomie hostowali serwery sterujące botnetu. Jak się okazało, większość z nich zlokalizowanych było w Stanach Zjednoczonych, oraz po jednym w Turcji i Izraelu.

FireEye otrzymało pozytywne odpowiedzi od wszystkich amerykańskich ISP.

Następnym krokiem było skontaktowanie się z firmami rejestrującymi domeny z których korzystały serwery Mega-D. W wyniku współpracy istniejące domeny serwerów przestały wskazywać jakiekolwiek niebezpieczne maszyny w Sieci. Odcinając w ten sposób domeny, specjaliści ds. bezpieczeństwa upewnili się, że zainfekowane komputery nie będą w stanie połączyć się z pozostałymi serwerami, których nazwy wymieniono na liście.

MessageLabs, oddział Symanteca, informował wcześniej, że Mega-D nieustannie plasuje się w pierwszej 10-tce wysyłających spam botnetów. Pierwszego listopada udział Mega-D w światowej wysyłce niechcianych wiadomości wynosił 11,8 procent. Trzy dni później, po akcji FireEye liczby te drastycznie spadły do 0,1 procenta – poinformowało MessageLabs.

Mushtaq zdaje sobie sprawę, że historia Mega-D to jedynie wygrana bitwa w toczącej się wojnie, a cyberprzestępcy stojący za tym botnetem prawdopodobnie będą chcieli go odzyskać, lub też stworzyć udoskonalonego następcę.

Źródło: ww.pcworld.com