目录:
瞄准控制器
Mushtaq和两名FireEye同事追随Mega-D的指挥基础设施。僵尸网络的第一波攻击使用电子邮件附件,基于Web的攻击和其他分发方法来感染大量具有恶意bot程序的PC。
僵尸程序接收来自在线命令和控制(C&C)服务器的进站命令,但这些服务器是僵尸网络的致命弱点:隔离它们,无向的僵尸将闲置。然而,Mega-D的控制器使用了一大堆C&C服务器,并且其军队中的每一个机器人都被分配了一个额外的目标列表,以便在无法到达其主要命令服务器时尝试。因此,拆除Mega-D需要仔细协调攻击。
同步攻击
Mushtaq的团队首先联系了无意托管Mega-D的Internet服务提供商控制服务器;他的研究表明,大部分服务器都设在美国,其中一个在土耳其,另一个在以色列。
除了海外的ISP,FireEye小组收到了积极的回应。国内C&C服务器出现故障
接下来,Mushtaq和公司联系了域名注册机构,这些域名注册机构持有Mega-D用于其控制服务器的域名记录。注册服务商与FireEye合作将Mega-D的现有域名指向不在哪里。通过切断僵尸网络的域名池,抗网络运营商确保漫游器无法到达海外ISP拒绝关闭的Mega-D关联服务器。
最后,FireEye和注册服务商努力要求备用域名Mega-D的控制器在机器人编程中列出。如果现有的域名失效,控制器打算注册并使用一个或多个备用域名,所以FireEye将它们提取出来并指向它们的“sinkhole”(它设置的安静服务器并记录Mega -D机器人检查订单)。 FireEye使用这些日志估计该僵尸网络包含约250,000台受Mega-D感染的计算机。
Down Go Mega-D
赛门铁克电子邮件安全子公司MessageLabs报告称,Mega-D“始终如一在去年的前10位垃圾邮件机器人中(find.pcworld.com/64165)。僵尸网络的输出每天都在波动,但在11月1日,Mega-D占MessageLabs看到的所有垃圾邮件的11.8%。
三天后,FireEye的行动将Mega-D的Internet垃圾邮件市场份额降低到0.1 MessageLabs说,
FireEye计划将反Mega-D工作交给ShadowServer.org,这是一个志愿者组织,它将追踪被感染机器的IP地址,并联系受影响的ISP和企业。商业网络或ISP管理员可以注册免费通知服务。
继续战斗
Mushtaq认识到FireEye对Mega-D的成功攻击仅仅是一场针对恶意软件的战争。 Mega-D背后的罪犯可能试图恢复他们的僵尸网络,他说,或者他们可能放弃它并创建一个新的僵尸网络。但是其他僵尸网络仍然蓬勃发展。“FireEye确实取得了重大胜利,”SecureWorks恶意软件研究总监Joe Stewart说。 “问题是,它是否会产生长期影响?”
与FireEye一样,斯图尔特的安全公司保护客户端网络免受僵尸网络和其他威胁的侵扰;和Mushtaq一样,斯图尔特花了数年的时间来打击犯罪企业。 2009年,斯图尔特提出了一个建立志愿者团体的建议,致力于使僵尸网络无法运营。但是很少有安全专业人员可以承担如此耗时的志愿者活动。
“这需要时间,资源和金钱来完成这一天,”斯图尔特说。他说,其他一些针对各种僵尸网络和犯罪组织的雷达警报已经发生,但这些值得称道的努力“不会阻止垃圾邮件发送者的商业模式。”
Mushtaq,Stewart和其他安全专家同意联邦执法部门需要介入全职协调工作。根据斯图尔特的说法,监管机构尚未开始制定严肃计划来实现这一目标,但Mushtaq表示,FireEye正在与国内和国际执法机构分享其方法,并且他很有希望。“在这种情况发生之前,”我们肯定希望再次这样做,“Mushtaq说。 “我们想向坏人展示我们没有睡觉。”