What is botnet and how does it spread?
สารบัญ:
- ผู้ควบคุมการกำหนดเป้าหมาย
- ทีม Mushtaq ได้ติดต่อกับผู้ให้บริการอินเทอร์เน็ตโดยไม่ได้ตั้งใจว่าจะเป็นเจ้าภาพ Mega-D เซิร์ฟเวอร์ควบคุม; การวิจัยของเขาแสดงให้เห็นว่าเซิร์ฟเวอร์ส่วนใหญ่มีพื้นฐานอยู่ในสหรัฐอเมริกาโดยมีโรงงานในตุรกีและอีกแห่งหนึ่งในอิสราเอล
- การรบต่อ
- จนกระทั่งถึงเวลาที่เกิดขึ้น "เราเป็นมั่นเหมาะ มองหาการทำเช่นนี้อีกครั้ง "Mushtaq กล่าว "เราต้องการแสดงคนเลวที่เราไม่ได้นอนหลับ"
ผู้ควบคุมการกำหนดเป้าหมาย
Mushtaq และเพื่อนร่วมงาน FireEye สองคนเดินตามโครงสร้างพื้นฐานคำสั่ง Mega-D การโจมตีครั้งแรกของ botnetnet จะใช้สิ่งที่แนบมากับอีเมลการโจมตีทางเว็บและวิธีแจกจ่ายอื่น ๆ เพื่อแพร่กระจายพีซีจำนวนมากที่มีโปรแกรมบอร์บอร์ที่เป็นอันตราย
บอทเหล่านี้ได้รับคำสั่งเดินทัพจากเซิร์ฟเวอร์คำสั่งและการควบคุมแบบออนไลน์ (C & C) แต่เซิร์ฟเวอร์เหล่านี้เป็นส้น Achilles ของ botnet: แยกพวกเขาและบอทที่ไม่มีทิศทางจะนั่งไม่ทำงาน ตัวควบคุม Mega-D ใช้อาร์เรย์ของเซิร์ฟเวอร์ C & C ที่กว้างขวาง แต่และทุกบอทในกองทัพของตนได้รับมอบหมายรายการจุดหมายปลายทางเพิ่มเติมเพื่อทดลองใช้หากไม่สามารถเข้าถึงเซิร์ฟเวอร์คำสั่งหลักได้
ทีม Mushtaq ได้ติดต่อกับผู้ให้บริการอินเทอร์เน็ตโดยไม่ได้ตั้งใจว่าจะเป็นเจ้าภาพ Mega-D เซิร์ฟเวอร์ควบคุม; การวิจัยของเขาแสดงให้เห็นว่าเซิร์ฟเวอร์ส่วนใหญ่มีพื้นฐานอยู่ในสหรัฐอเมริกาโดยมีโรงงานในตุรกีและอีกแห่งหนึ่งในอิสราเอล
กลุ่ม FireEye ได้รับการตอบรับเชิงบวกยกเว้นจาก ISPs ในต่างประเทศ เซิร์ฟเวอร์ C & C ภายในประเทศลดลง
ต่อไป บริษัท Mushtaq และ บริษัท ได้ติดต่อผู้จดทะเบียนโดเมนชื่อระเบียนที่ชื่อ Mega-D ใช้สำหรับเซิร์ฟเวอร์ควบคุม นายทะเบียนร่วมมือกับ FireEye เพื่อชี้ชื่อโดเมน Mega-D ที่มีอยู่ไปยังที่ใด โดยการตัดชื่อโดเมนของ botnet botnet ทำให้นักปฏิบัติงานต่อต้านยาปฏิชีวนะมั่นใจว่าบอทไม่สามารถเข้าถึงเซิร์ฟเวอร์ Mega-D-affiliated ที่ผู้ให้บริการอินเทอร์เน็ตในต่างประเทศปฏิเสธที่จะล้มลง
ในที่สุด FireEye และนายทะเบียนได้เรียกร้องชื่อโดเมนสำรอง ที่ตัวควบคุม Mega-D ระบุไว้ในโปรแกรมของบอท คอนโทรลเลอร์ตั้งใจที่จะลงทะเบียนและใช้เครื่องสำรองไฟอย่างน้อยหนึ่งเครื่องถ้าโดเมนที่มีอยู่ลงไป - ดังนั้น FireEye จึงหยิบมันขึ้นมาและชี้ไปที่ "sinkholes" (เซิร์ฟเวอร์ที่มีการตั้งค่าให้นั่งเงียบ ๆ -D บอทเพื่อตรวจสอบใบสั่งซื้อ) MessageLabs ซึ่งเป็น บริษัท ในเครือของ Symantec e-mail รายงานว่า Mega-D ได้รับการ "อย่างสม่ำเสมอมาโดยตลอด" FireEye ได้รายงานว่า ใน 10 อันดับสแปมบอท "ในปีที่แล้ว (find.pcworld.com/64165) ผลผลิตของ botnet เปลี่ยนแปลงไปทุกวัน แต่ในวันที่ 1 พ.ย. Mega-D คิดเป็นร้อยละ 11.8 ของสแปมทั้งหมดที่ MessageLabs เห็น
สามวันต่อมาการกระทำของ FireEye ทำให้ส่วนแบ่งการตลาดอินเทอร์เน็ตของสแปมลดลงเหลือน้อยกว่า 0.1 MessageLabs กล่าว FireEye วางแผนจะปลดปล่อยความพยายามในการต่อต้าน Mega-D ให้แก่ ShadowServer.org ซึ่งเป็นกลุ่มอาสาสมัครที่จะติดตาม IP แอดเดรสของเครื่องที่ติดเชื้อและติดต่อผู้ให้บริการอินเทอร์เน็ตและธุรกิจที่ได้รับผลกระทบ ผู้ดูแลระบบเครือข่ายหรือผู้ให้บริการอินเทอร์เน็ตสามารถลงทะเบียนเพื่อรับบริการแจ้งเตือนได้ฟรี
การรบต่อ
Mushtaq ตระหนักดีว่าการโจมตีที่ไม่ประสบความสำเร็จของ FireEye กับ Mega-D เป็นเพียงแค่สงครามครั้งเดียวในสงครามมัลแวร์ อาชญากรที่อยู่เบื้องหลัง Mega-D อาจพยายามฟื้นฟูบอตเน็ตของตนหรืออาจทิ้งมันและสร้างใหม่ แต่ botnet อื่น ๆ ยังคงเติบโตอย่างต่อเนื่อง "FireEye มีชัยชนะที่สำคัญ" Joe Stewart ผู้อำนวยการฝ่ายวิจัยมัลแวร์ของ SecureWorks กล่าว "คำถามคือมันจะมีผลกระทบในระยะยาวหรือไม่?" เช่นเดียวกับ FireEye บริษัท รักษาความปลอดภัยของสจ๊วตปกป้องเครือข่ายลูกค้าจากบ็อตเน็ตและภัยคุกคามอื่น ๆ และเหมือน Mushtaq Stewart ใช้เวลาหลายปีในการต่อสู้กับอาชญากร ในปี 2009 สจ๊วตระบุข้อเสนอเพื่อสร้างกลุ่มอาสาสมัครที่ทุ่มเทให้กับการทำให้ botnets ไม่สามารถทำกำไรได้ แต่ผู้เชี่ยวชาญด้านความปลอดภัยเพียงไม่กี่คนอาจมีส่วนร่วมในกิจกรรมอาสาสมัครที่ใช้เวลานานกว่านี้
Stewart กล่าวว่า "ต้องใช้เวลาและทรัพยากรและเงินที่จะทำในทุกวันนี้" การโจมตีภายใต้เรดาร์อื่น ๆ ที่ botnet และองค์กรอาชญากรรมได้เกิดขึ้นเขากล่าว แต่ความพยายามที่น่าชื่นชมเหล่านี้คือ "ไม่ควรหยุดโมเดลธุรกิจของ spammer"
Mushtaq, Stewart และผู้เชี่ยวชาญด้านความปลอดภัยอื่น ๆ เห็นด้วย การบังคับใช้กฎหมายของรัฐบาลกลางที่จำเป็นต้องมีขั้นตอนด้วยความพยายามในการประสานงานแบบเต็มเวลา Stewart กล่าวว่าหน่วยงานกำกับดูแลยังไม่ได้เริ่มวางแผนอย่างจริงจังเพื่อให้เกิดเหตุการณ์เช่นนี้ขึ้น แต่ Mushtaq กล่าวว่า FireEye กำลังแบ่งปันวิธีการนี้กับการบังคับใช้กฎหมายทั้งในประเทศและระหว่างประเทศและเขาก็มีความหวัง
จนกระทั่งถึงเวลาที่เกิดขึ้น "เราเป็นมั่นเหมาะ มองหาการทำเช่นนี้อีกครั้ง "Mushtaq กล่าว "เราต้องการแสดงคนเลวที่เราไม่ได้นอนหลับ"
เนื่องจากซอฟต์แวร์ตรวจสอบของ Microsoft ทำงานบนคอมพิวเตอร์หลายร้อยล้านเครื่องทั่วโลกซึ่งรวมถึงซอฟต์แวร์ที่ไม่ได้ใช้งานซอฟต์แวร์ป้องกันไวรัสที่ทันสมัยอยู่เสมอ ย้ายเช่นนี้สามารถนำ botnet ไปที่หัวเข่าของ นั่นคือสิ่งที่เกิดขึ้นในเดือนกันยายนปี 2007 เมื่อ Microsoft เพิ่มการตรวจหา Storm Worm botnet ผู้เชี่ยวชาญกล่าวว่าในระยะเวลา 24 ชั่วโมงไวรัสดังกล่าวได้กำจัดไวรัส Storm Storm ออกไปประมาณ 91,000 รายและในไม่ช้า botnet ก็เป็นเงาของตัวเองก่อนผู้เชี่ยวชาญกล่าวว่า
อย่างไรก็ตาม [ ไม่น่าตื่นเต้นมากเลยคราวนี้ เมื่อเดือนพฤศจิกายนที่ผ่านมา Srizbi ได้รับผลกระทบจากการกระทำเมื่อผู้ให้บริการอินเทอร์เน็ตของ McColo ในซานโฮเซ่แคลิฟอร์เนียถูกสั่งให้ปิดการใช้งานอินเทอร์เน็ต
คุณทำอย่างไร สิ่งเลวร้ายยิ่งแย่ลง? หากคุณเป็นคนโกงที่ใช้ Botnet ซึ่งเป็นเครือข่ายคอมพิวเตอร์ที่ติดไวรัสมัลแวร์บ่อยครั้งคุณจะเชื่อมโยง botnet เข้าด้วยกันเพื่อสร้าง botnet ที่ใหญ่โต และคุณทำอย่างนั้นในทางที่ยากสำหรับชุดป้องกันไวรัสที่จะต่อสู้ Botnetwebs ไม่เพียง แต่ช่วยให้ Crooks สามารถส่งสแปมหรือมัลแวร์ไปยังคอมพิวเตอร์หลายล้านเครื่องพร้อมกันได้ นอกจากนี้ยังแสดงการติดเชื้อที่ยืดหยุ่นสูงซึ่งใช้ไฟล์หลายไฟล์ ความพยายามในการฆ่าเชื้อโรคอาจจะกำจัดไฟล์บางส่วน แต่ผู้ที่ทิ้งไว้เบื้องหลังมักจะ redownload คน
ผู้ร้าย "ไม่ใช่กลุ่มของ Nerds ที่นั่งอยู่ในห้องมืด ๆ ที่พัฒนา botnet เหล่านี้เพื่อความสนุก" เขียน Atif Mushtaq จาก FireEye, Milpitas, California, บริษัท รักษาความปลอดภัยที่กำหนดชื่อ
บริการแชร์ไฟล์ Mega จะยอมรับ Bitcoin คอมมอนส์ระบุว่า
Mega จะยอมรับ Bitcoin สกุลเงินเสมือนจริงสำหรับการสมัครรับข้อมูลเพิ่มเติม ในบริการแชร์ไฟล์ผู้ร่วมก่อตั้ง Kim Dotcom ประกาศใน Twitter