Les bons gars font tomber le botnet Mega-D

Pendant deux ans en tant que chercheur de la société de sécurité FireEye, Atif Mushtaq a travaillé pour empêcher les logiciels malveillants. Au cours du processus, il a appris comment ses contrôleurs l'utilisaient. En juin dernier, il a commencé à publier ses résultats en ligne. En novembre, il est soudainement passé de défense à l'attaque. Et Mega-D - un botnet puissant et résilient qui avait forcé 250 000 PC à faire ses enchères - est tombé.

Contrôleurs de ciblage

Mushtaq et deux collègues de FireEye se sont attaqués à l'infrastructure de commande de Mega-D. La première vague d'attaque d'un botnet utilise des pièces jointes, des offensives basées sur le Web et d'autres méthodes de distribution pour infecter un grand nombre de PC avec des programmes malveillants.

Les robots reçoivent des ordres de marche des serveurs de commande et de contrôle en ligne. mais ces serveurs sont le talon d'Achille du botnet: Isolez-les, et les bots non dirigés resteront inactifs. Les contrôleurs de Mega-D utilisaient cependant un vaste éventail de serveurs C & C, et chaque bot de son armée s'était vu attribuer une liste de destinations supplémentaires à essayer s'il ne pouvait pas atteindre son serveur de commande principal.

[En savoir plus: Comment supprimer les logiciels malveillants de votre PC Windows]

Synchronized Assault

L'équipe de Mushtaq a contacté pour la première fois des fournisseurs de services Internet qui ont involontairement hébergé Mega-D. serveurs de contrôle; ses recherches ont montré que la plupart des serveurs étaient basés aux États-Unis, un en Turquie et un autre en Israël.

Le groupe FireEye a reçu des réponses positives, sauf de la part des fournisseurs d'accès à l'étranger. Les serveurs domestiques C & C ont baissé.

Ensuite, Mushtaq et la société ont contacté les bureaux d'enregistrement de noms de domaine détenant des enregistrements pour les noms de domaine utilisés par Mega-D pour ses serveurs de contrôle. Les bureaux d'enregistrement ont collaboré avec FireEye pour orienter les noms de domaine existants de Mega-D vers des destinations privées. En coupant le pool de noms de domaine du botnet, les opérateurs antibotnet ont empêché les bots d'atteindre les serveurs affiliés à Mega-D que les FAI d'outre-mer avaient refusé de supprimer.

Enfin, FireEye et les bureaux d'enregistrement ont réclamé des noms de domaine que les contrôleurs de Mega-D répertoriés dans la programmation des bots. Les contrôleurs avaient l'intention d'enregistrer et d'utiliser un ou plusieurs do-mains de secours si les domaines existants étaient coupés - ainsi FireEye les a ramassés et les a pointés vers des "sinkholes" (serveurs qu'il avait installés pour s'asseoir tranquillement et enregistrer les efforts par Mega -D bots pour vérifier les commandes). En utilisant ces journaux, FireEye a estimé que le botnet se composait d'environ 250 000 ordinateurs infectés par Mega-D.

Down Goes Mega-D

MessageLabs, une filiale de sécurité e-mail de Symantec, rapporte que Mega-D dans le top 10 des robots collecteurs de mails "pour l'année précédente (find.pcworld.com/64165). La production du botnet a fluctué au jour le jour, mais le 1er novembre, Mega-D représentait 11,8% de tous les spams détectés par MessageLabs.

Trois jours plus tard, l'action de FireEye réduisait à moins de 0,1 la part de marché de Mega-D. Pourcentage, indique MessageLabs.

FireEye prévoit de transférer l'effort anti-Mega-D à ShadowServer.org, un groupe de volontaires qui suivra les adresses IP des machines infectées et contactera les FAI et les entreprises concernés. Les administrateurs de réseaux professionnels ou de FAI peuvent s'inscrire au service de notification gratuit

Poursuivre la bataille

Mushtaq reconnaît que l'offensive réussie de FireEye contre Mega-D n'était qu'une bataille dans la guerre contre les logiciels malveillants. Les criminels derrière Mega-D peuvent essayer de relancer leur botnet, dit-il, ou ils peuvent l'abandonner et en créer un nouveau. Mais d'autres botnets continuent de prospérer.

«FireEye a remporté une victoire majeure», déclare Joe Stewart, directeur de la recherche sur les logiciels malveillants chez SecureWorks. "La question est, aura-t-elle un impact à long terme?"

Comme FireEye, la société de sécurité de Stewart protège les réseaux de clients contre les réseaux de zombies et autres menaces; et comme Mushtaq, Stewart a passé des années à combattre les entreprises criminelles. En 2009, Stewart a présenté une proposition visant à créer des groupes de bénévoles dédiés à rendre les botnets non rentables. Mais peu de professionnels de la sécurité pourraient s'engager dans une activité bénévole aussi longue.

"Il faut du temps, des ressources et de l'argent pour le faire jour après jour", dit Stewart. D'autres frappes sous les radars dans divers réseaux de zombies et organisations criminelles ont eu lieu, dit-il, mais ces efforts louables n'arrêteront pas le modèle commercial du spammeur.

Mushtaq, Stewart et d'autres professionnels de la sécurité s'entendent que l'application de la loi fédérale doit intervenir avec des efforts de coordination à plein temps. Selon Stewart, les régulateurs n'ont pas commencé à élaborer des plans sérieux pour y arriver, mais Mushtaq dit que FireEye partage sa méthode avec les forces de l'ordre nationales et internationales, et il espère.

Jusqu'à ce que cela se produise, Je cherche à le faire à nouveau ", dit Mushtaq. "Nous voulons montrer aux méchants que nous ne dormons pas."