Sen määrätietoinen turvallisuustutkijaryhmä onnistui 24 tunnissa koordinoimaan hyökkäyksen komento- ja valvontakeskuksia vastaan, jotka botnetit luottavat pysyäkseen hengissä, minkä seurauksena neljännesmiljoona bottia pakotettiin offline-tilaan ja tehokkaasti pois päältä Mega-D/Ozdok-botnet, vaikkakin väliaikaisesti.
Asia on siinä, että sen lähestymistapa on nyt osoitettu toimivan, ja jos turvallisuusteollisuudella, Internet-palveluntarjoajilla ja lainvalvontaviranomaisilla olisi tahtoa seurataksesi sitä, ei ole mitään syytä, miksi jatkuva vastahyökkäys ei voisi muuta kuin pyyhkiä pois botnet-uhan lyhyen ajan sisällä. kuukaudet.
FireEyen tiimi otti erittäin organisoidun lähestymistavan ongelmaan tutkimalla komento- ja ohjausarkkitehtuuria useiden viikkojen ajan. Mikä tärkeintä, se auttoi ymmärtämään varamekanismit, jotka pitävät bottiverkon hengissä, jos siihen hyökätään. Vasta kun tutkijat olivat täysin varmoja käyttämistään verkkotunnuksista kerätyistä todisteista komento ja hallinta sekä takaisku – ja vasta kun he ymmärsivät täysin pedon rakenteen, jonka kanssa he olivat tekemisissä he iskevät.
Nopeus oli todellinen avain menestykseen, sillä botnetin kaataminen ja sen varastrategian käynnistyminen loogisesti täytyy poistaa käytöstä kaikki sen komento- ja ohjauspalvelimet, ennen kuin heillä on mahdollisuus aloittaa vaihtoehtoisten reittien määrittäminen zombeja.
Ensinnäkin kaikille tunnistetuille Internet-palveluntarjoajille ilmoitettiin siitä, mitä heidän isäntiään bottiverkko käytti, joko suoraan jengin toimesta tai vaarantuneena, ja kiireellisesti pyydettiin niiden keskeyttämistä. Ilmeisesti esitetyt todisteet olivat tarpeeksi vakuuttavia, jotta vain neljä isännöistä pysyi käynnissä.
Samaan aikaan muut tutkijat ottivat yhteyttä Internetin rekisteröijiin saadakseen todisteita, jotka viittaavat näihin verkkotunnuksiin jotka oli tunnistettu joko ensisijaisessa komento- ja ohjausjärjestelmässä tai toissijaisessa varajärjestelmässä ketju. Myös monet niistä keskeytettiin, ja FireEye onnistui myös saamaan monet zombie-PC: t reitittämään uudelleen sinkhole-palvelimelle, jossa tiedot, jotka tunnistivat omistajat voitiin kerätä – näitä omistajia puolestaan annettiin auttaa puhdistamaan koneensa haittaohjelmista, jotka mahdollistivat niiden vaarantamisen. paikka.
Vain 24 tunnissa noin 264 784 konetta ainutlaatuisilla IP-osoitteilla yhdistettynä dekontaminaatiopalvelimeen!
Lopputuloksena oli, että Mega-D oli vammautunut viikoksi tai kahdeksi, ja raportoitujen zombien määrä putosi noin 1 500:sta päivässä 50:een tai alle. Menestys oli tietysti lyhytaikainen, sillä tämän kannattavan yrityksen takana oleva jengi käytti hyväkseen se oli vain kertaluonteinen hyökkäys ja on sittemmin investoinut aikaa ja rahaa sen jälleenrakentamiseen botnet.
Kirjoittaessani olen saanut uskomaan, että aktiivisuus on palannut noin 75 %:iin siitä, mikä oli ennen kuin FireEye satoi ne 24 tuntia helvettiä heidän päälleen.
