Senket botnet med 250.000 maskiner

Senket botnet med 250.000 maskiner

Sikkerhetsforskere skiftet fra defensiv til offensiv taktikk.

I to år som forsker ved sikkerhetsselskapet Fireeye, jobbet Atif Mushtaq med å forhindre skadelig programvare fra botnettet Mega-D fra å infisere klientenes maskiner. I løpet av den tiden lærte han hvordan operatørene kontrollerte botnettet. I juni publiserte han sine funn på internett. Og i november skiftet han fra defensiv til offensiv taktikk. Dermed tvang han hele botnettet i kne.

Målrettet angrep

Sammen med to kolleger ved Fireeye siktet Mushtaq seg inn på kommandostrukturen til botnettet. Alle botnett har servere som kontrollerer de infiserte maskinene, selve hjernen i operasjonen. Dette er også systemets akilleshæl. Dersom man lykkes i å isolere disse, vil aldri de infiserte maskinene få ordren til å angripe sine tiltenkte mål.

Mega-D benyttet seg av en lang rekke slike kontrollservere, så et angrep måtte planlegges nøye. Fireeye kontaktet først internettleverandørene som uvitende leverte bredbåndet til kontrollserverne. De fleste av disse befant seg i USA, men en var plassert i Tyrkia, en annen i Israel. Alle de amerikanske leverandørene stoppet nettilgangen, men den tyrkiske og israelske serveren fikk de ikke has på.

Deretter kontaktet de domeneregistrarene som Mega-D benyttet for sine kontrollservere. De samarbeidet, og sørget for at domenene heretter pekte – til absolutt ingenting. Dermed var den israelske og tyrkiske serveren også hjelpeløse.

Til slutt finkjemmet Fireeye koden i Mega-D, og sørget for at alle reservedomener - domener som skulle registreres og komme på lufta når de aktive domenene gikk ned – heller ikke fikk gjort jobben sin. Sammen med registrarene sørget de for at disse domenene pekte til servere som Fireeye selv hadde satt opp. Ut fra loggene til disse domenene estimerer sikkerhetsselskapet at botnettet besto av rundt 250.000 maskiner.

Topp ti

Ifølge Symantec-selskapet Messagelabs, var Mega-D et av de ti største botnettene i 2009. 1.november sto Mega-D for 11,8 prosent av all spam som ble sendt ut - globalt. Tre dager senere hadde motangrepet sørget for at Mega-D sendte ut under 0,1 prosent av søppelposten.

- Vi vant et slag, men vi har ikke vunnet krigen. De kriminelle bak Mega-D kan forsøke å gjenopplive botnettet eller lage et nytt, sier Mushtaq til Computerworlds internasjonale nyhetstjeneste.

- Inntil myndighetene tar ansvar for å koordinere slike initiativer mot spam og botnett, kommer vi til fortsette med vårt arbeid. Vi kommer definitivt til å prøve noe liknende igjen. Vi vil vise de kriminelle at vi ikke sover, sier Mushtaq.

Les om: