Good Guys Bring Down the Mega-D Botnet

لمدة عامين كباحث في شركة الحماية FireEye ، عمل عاطف مشتاق على إبقاء البرامج الضارة من Mega-D bot تصيب شبكات العملاء. في هذه العملية ، تعلم كيف تعمل أجهزة التحكم الخاصة به. في يونيو الماضي ، بدأ نشر النتائج التي توصل إليها عبر الإنترنت. في نوفمبر ، تحول فجأة من ديفينج إلى جريمة. أما Mega-D ، وهي شبكة بوتيرة قوية ومرنة أجبرت 250.000 جهاز كمبيوتر على تقديم عروضها ، فقد هبطت.

Targeting Controllers

ذهب مشتاق واثنان من زملاء FireEye إلى البنية التحتية للقيادة في Mega-D. تستخدم الموجة الأولى من هجمات الروبوتات مرفقات البريد الإلكتروني والهجمات المستندة إلى الويب وطرق التوزيع الأخرى لإصابة أعداد هائلة من أجهزة الكمبيوتر المزودة ببرامج الروبوت الخبيثة.

تتلقى روبوتات السير أوامر السير من خوادم القيادة والتحكم عبر الإنترنت (C & C) ، لكن تلك الخوادم هي كعب أخيل الروبوتات: عزلها ، والبوتات غير الموجهة ستجلس بلا عمل. استخدمت أجهزة التحكم في Mega-D مجموعة واسعة من خوادم C & C ، ومع ذلك ، تم تعيين كل نقطة في جيشها قائمة بجهات إضافية لتجربتها إذا لم تتمكن من الوصول إلى خادم الأوامر الأساسي الخاص بها. لذا ، فإن إزالة Mega-D تتطلب هجومًا منسقًا بعناية.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

الهجوم المتزامن

قام فريق Mushtaq أولاً بالاتصال بمزودي خدمات الإنترنت الذين استضافوا Mega-D بدون قصد خوادم التحكم أظهر بحثه أن معظم الخوادم كانت مقرها في الولايات المتحدة ، واحدة في تركيا وأخرى في إسرائيل.

تلقت مجموعة FireEye ردودًا إيجابية باستثناء من مزودي خدمة الإنترنت في الخارج. وﺧﻔﻀﺖ ﺧﻮادم C & C اﻟﻤﺤﻠﻴﺔ.

ﺑﻌﺪ ذﻟﻚ ، اﺗﺼﻞ ﻣﻮﺷﺘﻚ واﻟﺸﺮآﺔ ﺑﻤﺴﺠﻠﻴﻦ أﺳﻤﺎء اﻟﻨﻄﺎﻗﺎت اﻟﺘﻲ ﺗﺤﺘﻔ records ﺑﺴﺠﻼت ﻷﺳﻤﺎء اﻟﻨﻄﺎق اﻟﺘﻲ اﺳﺘﺨﺪﻣﺘﻬﺎ Mega-D ﻓﻲ ﺧﻮادم اﻟﺘﺤﻜﻢ اﻟﺨﺎﺻﺔ ﺑﻬﺎ. تعاون المسجلون مع FireEye في توجيه أسماء النطاقات الموجودة في Mega-D إلى عدم وجود مكان. من خلال قطع مجموعة أسماء النطاقات من الروبوتات ، ضمنت أنصار الروبوتات أن البوتات لم تتمكن من الوصول إلى الخوادم المرتبطة بـ Mega-D التي رفضها مزودي خدمة الإنترنت الخارجيين.

وأخيرًا ، عملت FireEye وأمناء السجل للمطالبة بأسماء نطاقات احتياطية أن مراقبين Mega-D مدرجة في برمجة البوتات. كانت أجهزة التحكم تنوي تسجيل واستخدام واحد أو أكثر من قطع الغيار الاحتياطية إذا كانت النطاقات الحالية قد انخفضت - لذا التقطها FireEye وأبرزها إلى "المجاري" (الخوادم التي أقامتها للجلوس بهدوء وتسجيل الجهود من قبل ميجا -D السير في الاختيار للطلبات). باستخدام هذه السجلات ، قدرت شركة FireEye أن الروبوتات تتكون من حوالي 250.000 جهاز كمبيوتر مصاب بـ D-DOS.

Down Goes Mega-D

MessageLabs ، وهي إحدى شركات أمان البريد الإلكتروني في Symantec ، تشير إلى أن Mega-D كان "دائمًا في أهم 10 برامج للبريد العشوائي "للسنة السابقة (find.pcworld.com/64165). تقلبت مخرجات بوت نت من يوم إلى آخر ، ولكن في 1 نوفمبر ، شكلت ميغا-دي 11.8 في المائة من جميع الرسائل الاقتحامية التي رآها MessageLabs.

بعد مرور ثلاثة أيام ، خفضت حركة FireEye من حصة السوق من البريد المزعج إلى أقل من 0.1. في المائة ، يقول MessageLabs.

تخطط FireEye لتسليم جهد مكافحة Mega-D إلى ShadowServer.org ، وهي مجموعة تطوعية ستتتبع عناوين IP الخاصة بالآلات المصابة وتتصل بمزودي خدمات الإنترنت والشركات المتضررة. يمكن لشبكة الأعمال أو مسؤولي ISP التسجيل في خدمة الإخطار المجاني.

متابعة المعركة

يدرك مشتاق أن هجوم FireEye الناجح ضد Mega-D كان مجرد معركة واحدة في الحرب على البرمجيات الخبيثة. قد يحاول المجرمون وراء Mega-D إحياء الروبوتات الخاصة بهم ، كما يقول ، أو قد يتخلوا عنها وينشئونها جديدة. ولكن تواصل شركات الإنترنت الأخرى الازدهار.

"لقد حقق FireEye نصرا كبيرا" ، كما يقول جو ستيوارت ، مدير أبحاث البرمجيات الخبيثة في شركة SecureWorks. "السؤال هو ، هل سيكون لها تأثير طويل المدى؟"

مثل FireEye ، تحمي شركة أمان Stewart شبكات العملاء من شبكات الروبوت والتهديدات الأخرى. ومثل مشتاق ، قضى ستيوارت سنوات في مكافحة الشركات الإجرامية. في عام 2009 ، حدد ستيوارت اقتراحًا لإنشاء مجموعات تطوعية مكرسة لجعل برامج الروبوت غير مربحة للتشغيل. لكن القليل من خبراء الأمن يمكن أن يلتزموا بمثل هذا النشاط التطوعي الذي يستغرق وقتا طويلا.

يقول ستيوارت: "إن الأمر يتطلب بعض الوقت والموارد والمال للقيام بذلك يومًا بعد يوم". ويقول إن هناك إضرابات أخرى غير مألوفة في شبكات مختلفة من الشبكات الإذاعية والمنظمات الإجرامية ، لكن هذه الجهود الجديرة بالثناء "لن توقف نموذج العمل لمرسلي البريد المزعج".

مشتاق ، ستيوارت ، وغيرهم من المدعين الأمنيين يتفقون أن على القانون الفيدرالي أن يتدخل في جهود التنسيق بدوام كامل. ووفقًا لستيوارت ، لم يبدأ المنظمون في وضع خطط جدية لتحقيق ذلك ، لكن مشتاق يقول إن FireEye تشارك أسلوبها مع تطبيق القانون المحلي والدولي ، وهو متفائل.

حتى يحدث ذلك ، "نحن بالتأكيد يتطلع إلى القيام بذلك مرة أخرى "، يقول مشتاق. "نريد أن نظهر الأشرار أننا لا ننام."