Gute Kerle bringen das Mega-D-Botnet

Zwei Jahre lang arbeitete Atif Mushtaq als Forscher beim Sicherheitsunternehmen FireEye daran, dass Mega-D-Bot-Malware die Kundennetzwerke nicht infizierte. Dabei erfuhr er, wie seine Controller es betrieben. Im vergangenen Juni veröffentlichte er seine Ergebnisse online. Im November wechselte er plötzlich von Defense zu Offensive. Und Mega-D - ein leistungsfähiges, stabiles Botnet, das 250.000 PCs gezwungenermaßen gezwungen hatte - ging zu Boden.

Targeting-Controller

Mushtaq und zwei FireEye-Kollegen gingen der Befehlsinfrastruktur von Mega-D nach. Die erste Angriffswelle eines Botnets verwendet E-Mail-Anhänge, webbasierte Offensiven und andere Verbreitungsmethoden, um eine große Anzahl von PCs mit bösartigen Bot-Programmen zu infizieren.

Die Bots erhalten Marschbefehle von Online-Kommando- und Kontrollservern (C & C). aber diese Server sind die Achillesferse des Botnets: Isoliere sie, und die ungerichteten Bots sitzen untätig. Die Controller von Mega-D verwendeten jedoch eine Vielzahl von C & C-Servern, und jedem Bot seiner Armee wurde eine Liste mit zusätzlichen Zielen zugewiesen, die er ausprobieren sollte, wenn er seinen primären Befehlsserver nicht erreichen konnte. Für einen Mega-D-Angriff wäre also ein sorgfältig koordinierter Angriff erforderlich.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Synchronized Assault

Mushtaqs Team wandte sich zuerst an Internetdienstanbieter, die Mega-D unwissentlich hosten Kontrollserver; Seine Untersuchungen zeigten, dass die meisten Server in den USA stationiert waren, einer in der Türkei und der andere in Israel.

Die FireEye-Gruppe erhielt positive Antworten, mit Ausnahme der ISPs in Übersee. Die heimischen C & C-Server gingen aus.

Als nächstes meldeten sich Mushtaq und die Firma mit Domain-Registraren in Verbindung, die Datensätze für die Domain-Namen enthielten, die Mega-D für seine Kontrollserver verwendete. Die Registrare haben mit FireEye zusammengearbeitet, um die bestehenden Domain-Namen von Mega-D auf No-Where zu verweisen. Indem die Anti-Botnet-Agenten den Botnet-Pool von Domainnamen abschnitten, stellten sie sicher, dass Bots Mega-D-verbundene Server nicht erreichen konnten, die die ISPs in Übersee abgelehnt hatten.

Schließlich arbeiteten FireEye und die Registrare daran, weitere Domainnamen zu beanspruchen dass die Controller von Mega-D in der Programmierung der Bots aufgelistet sind. Die Controller wollten sich registrieren und eines oder mehrere der Reservedienste nutzen, wenn die bestehenden Domains ausfielen - also nahm FireEye sie auf und zeigte sie auf "Dolphins" (Server, die sie eingerichtet hatte, um still zu sitzen und die Bemühungen von Mega zu protokollieren) -D Bots für Bestellungen einchecken). Bei der Verwendung dieser Protokolle schätzte FireEye, dass das Botnet aus etwa 250.000 Mega-D-infizierten Computern bestand.

Nach unten Mega-D

MessageLabs, eine E-Mail-Sicherheitstochter von Symantec, berichtet, dass Mega-D "durchweg" gewesen sei in den Top-10-Spam-Bots "für das Vorjahr (find.pcworld.com/64165). Die Leistung des Botnets schwankte von Tag zu Tag, aber am 1. November machte Mega-D 11,8 Prozent aller Spam-Mails von MessageLabs aus.

Drei Tage später hatte die Aktion von FireEye den Marktanteil von Mega-D auf weniger als 0,1 reduziert Prozent, sagt MessageLabs.

FireEye plant, den Anti-Mega-D-Aufwand an ShadowServer.org zu übergeben, eine Freiwilligengruppe, die die IP-Adressen von infizierten Maschinen verfolgt und betroffene ISPs und Unternehmen kontaktiert. Geschäftsnetzwerk- oder ISP-Administratoren können sich für den kostenlosen Benachrichtigungsdienst anmelden.

Fortsetzung der Schlacht

Mushtaq erkennt an, dass FireEyes erfolgreiche Offensive gegen Mega-D nur eine einzige Schlacht im Kampf gegen Malware war. Die Kriminellen hinter Mega-D könnten versuchen, ihr Botnetz wiederzubeleben, sagt er, oder sie könnten es aufgeben und ein neues erstellen. Aber andere Botnets gedeihen weiterhin.

"FireEye hat einen großen Sieg errungen", sagt Joe Stewart, Direktor der Malware-Forschung bei SecureWorks. "Die Frage ist, wird es eine langfristige Wirkung haben?"

Wie FireEye schützt Stewarts Sicherheitsunternehmen Client-Netzwerke vor Botnets und anderen Bedrohungen; und wie Mushtaq hat Stewart Jahre damit verbracht, kriminelle Unternehmen zu bekämpfen. Im Jahr 2009 skizzierte Stewart einen Vorschlag zur Schaffung von Freiwilligengruppen, die Botnets unrentabel machen sollen. Aber nur wenige Sicherheitsexperten konnten sich zu solch einer zeitaufwendigen Freiwilligenaktivität verpflichten.

"Es braucht Zeit und Ressourcen und Geld, um dies Tag für Tag zu tun", sagt Stewart. Andere, unter dem Radar stattfindende Streiks bei verschiedenen Botnetzen und kriminellen Organisationen seien aufgetreten, aber diese lobenswerten Bemühungen würden "das Geschäftsmodell des Spammers nicht aufhalten".

Mushtaq, Stewart und andere Sicherheitsprofis sind sich einig dass die Bundespolizei mit den Koordinierungsbemühungen in Vollzeit Schritt halten muss. Laut Stewart haben die Aufsichtsbehörden nicht begonnen, ernsthafte Pläne auszuarbeiten, aber Mushtaq sagt, dass FireEye seine Methode mit der nationalen und internationalen Strafverfolgung teilt, und er hofft.

Bis das passiert, "sind wir definitiv Ich möchte es noch einmal machen ", sagt Mushtaq. "Wir wollen den bösen Jungs zeigen, dass wir nicht schlafen."