FireEye bewegt sich schnell, um Mega-D Botnet zu löschen

Ein Computer-Sicherheitsunternehmen, das für den Kampf gegen Botnets bekannt ist, zog letzte Woche um, um einen hartnäckigen Spam-Player auszuschalten.

FireEye, ein kalifornisches Unternehmen, das Sicherheitsapparate herstellt, hatte ein Botnet namens Mega verfolgt -D oder Ozdok. Mega-D, ein Netzwerk gehackter Computer, war laut M86 Security dafür verantwortlich, mehr als 4 Prozent der weltweiten Spam-Mails zu versenden. Viele der Computer, aus denen Mega-D besteht, sind infizierte Heim-PCs.

Mega-D ist eines von mehreren Botnetzen, die fortgeschrittene technische Maßnahmen implementiert haben, um sicherzustellen, dass ihre Besitzer die Kontrolle über die gehackten PCs nicht verlieren. Die Hacker verwenden Command-and-Control-Server, um den Zombie-PCs Anweisungen zu erteilen, beispielsweise wann eine Spam-Kampagne ausgeführt wird.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Im Fall von Mega -D, die gehackten PCs werden nach bestimmten Domain-Namen suchen, um Anweisungen herunterzuladen, schrieb Atiq Mushtaq von FireEye auf dem Blog des Unternehmens. Wenn diese Domänen nicht aktiv sind - sie werden oft von ISPs heruntergefahren, wenn sie mit Missbrauch in Verbindung stehen - suchen Mega-D-Rechner nach benutzerdefinierten DNS-Servern (Domain Name System), um Live-Domänen zu finden.

Wenn das der Fall ist auch fehlschlägt, Mega-D ist programmiert, um eine zufällige Domain-Namen basierend auf dem aktuellen Datum und Uhrzeit zu generieren, schrieb Mushtaq. Wenn die Hacker den Domainnamen registrieren, können die infizierten Maschinen dorthin gehen, um neue Anweisungen zu erhalten.

Die Mechanismen von Mega-D, die sicherstellen, dass sie am Leben bleiben, haben es für Sicherheitsunternehmen schwierig gemacht. "Wenn sich jemand nicht genügend dazu verpflichtet, diese Domains vorzuregistrieren, können die Bothirten immer diese Domänen registrieren und die Kontrolle über das Botnetz zurücknehmen", schrieb Mushtaq.

Am vergangenen Donnerstag begann FireEye mit dem Angriff auf ISPs hatte Maschinen als Kommando- und Kontrollserver für Mega-D. Alle bis auf vier Serviceanbieter haben Verbindungen für IP-Adressen heruntergefahren, die von Mega-D verwendet werden, schrieb Mushtaq. FireEye kontaktierte auch die Registrare, die Domain-Namen für Mega-D kontrollieren.

Als letzte Maßnahme registrierte FireEye die automatisch generierten Domainnamen, die infizierte Mega-D-Computer kontaktieren würden, wenn die Maschinen andere Befehle nicht erreichten. Kontrollknoten.

Mushtaq schrieb am Freitag, dass etwa 264.784 eindeutige IP (Internet Protocol) -Adressen den "Sinkhole" -Server von FireEye oder einen Server kontaktiert haben, der infizierte PCs identifiziert.

"Daten vom Sinkhole-Server Protokolle werden verwendet, um die Maschinen des Opfers zu identifizieren ", schrieb Mushtaq.

Es besteht die Hoffnung, dass ISPs dann diese Abonnenten kontaktieren und ihnen mitteilen, dass sie einen Antivirus-Scan durchführen müssen.

FireEyes Bemühungen und die Zusammenarbeit mit ISPs und Registrare scheinen Mega-D zumindest vorübergehend gezähmt zu haben.

Am Montag zeigten Statistiken von M86 Security, dass Mega-D-Spam fast zum Stillstand gekommen war. Zu einem früheren Zeitpunkt hatte M86 einen einzigen Mega-D-infizierten Computer gesehen, der pro Stunde bis zu 15.000 Spam-Nachrichten verschickte.

"Es zeigt deutlich, dass es schwierig, aber nicht unmöglich ist, einige der bösartigsten Botnets der Welt auszuschalten, "Mushtaq schrieb.

Aber die Begnadigung kann nicht lange dauern. FireEye hat Mega-D vorweggenommen, indem es Domains registriert hat, nach denen die Bots suchen würden, aber dieser Prozess kann niemals enden und teuer sein. Wenn FireEye die Registrierung von Domains stoppt und die verwaisten Bots zu Hause anrufen, können die Hacker neuen Code hochladen, um das Herunterfahren zu erschweren.

"Wir sind unsicher, wie lange wir mit diesen zukünftigen Domains Schritt halten können", schrieb Mushtaq.