Break This Down (From "Descendants 3")
Tabla de contenido:
Targeting Controllers
Mushtaq y dos colegas de FireEye fueron tras la infraestructura de comando de Mega-D. La primera ola de ataque de una botnet utiliza archivos adjuntos de correo electrónico, ofensivas basadas en la web y otros métodos de distribución para infectar un gran número de PC con programas bot maliciosos.
Los bots reciben órdenes de marcha de los servidores de comando y control en línea (C & C). pero esos servidores son el talón de Aquiles de la botnet: Aíslelos, y los bots no dirigidos permanecerán inactivos. Sin embargo, los controladores de Mega-D usaban una gran variedad de servidores de C & C, y a cada bot de su ejército se le había asignado una lista de destinos adicionales para probar si no podía llegar a su servidor de comando primario. Así que derribar Mega-D requeriría un ataque coordinado cuidadosamente.
Asalto sincronizado
El equipo de Mushtaq contactó primero a proveedores de servicios de Internet que sin darse cuenta hospedaban Mega-D servidores de control; su investigación demostró que la mayoría de los servidores estaban basados en los Estados Unidos, con uno en Turquía y otro en Israel.
El grupo FireEye recibió respuestas positivas, excepto de los ISP extranjeros. Los servidores nacionales de C & C disminuyeron.
A continuación, Mushtaq y la compañía contactaron a los registradores de nombres de dominio que tenían registros de los nombres de dominio que Mega-D usaba para sus servidores de control. Los registradores colaboraron con FireEye para señalar los nombres de dominio existentes de Mega-D a ninguna parte. Al cortar el grupo de nombres de dominio de la red zombi, los agentes antibiotistas se aseguraron de que los bots no pudieran llegar a los servidores afiliados a Mega-D que los ISP extranjeros habían declinado eliminar.
Finalmente, FireEye y los registradores trabajaron para reclamar nombres de dominio adicionales que los controladores de Mega-D figuran en la programación de los bots. Los controladores tenían la intención de registrar y utilizar uno o más de los do-main de repuesto si los dominios existentes caían, por lo que FireEye los recogió y los señaló a "sinkholes" (servidores que había configurado para sentarse silenciosamente y registrar los esfuerzos de Mega -D bots para registrarse para pedidos). Utilizando esos registros, FireEye calculó que el botnet consistía en aproximadamente 250,000 computadoras infectadas con mega-D.
Down Goes Mega-D
MessageLabs, una filial de seguridad de correo electrónico de Symantec, informa que Mega-D había "estado constantemente en los 10 mejores bots de spam "del año anterior (find.pcworld.com/64165). La salida de la botnet fluctuó día a día, pero el 1 de noviembre Mega-D representó el 11.8 por ciento de todo el spam que vio MessageLabs.
Tres días después, la acción de FireEye redujo la cuota de mercado de Mega-D del spam de Internet a menos de 0.1 por ciento, dice MessageLabs.
FireEye planea entregar el esfuerzo anti-Mega-D a ShadowServer.org, un grupo de voluntarios que rastreará las direcciones IP de las máquinas infectadas y contactará a ISP y empresas afectadas. Los administradores de redes empresariales o ISP pueden registrarse para el servicio de notificación gratuito.
Continuación de la batalla
Mushtaq reconoce que la ofensiva exitosa de FireEye contra Mega-D fue solo una batalla en la guerra contra el malware. Los delincuentes detrás de Mega-D pueden intentar revivir su botnet, dice, o pueden abandonarla y crear una nueva. Pero otras botnets continúan prosperando.
"FireEye tuvo una gran victoria", dice Joe Stewart, director de investigación de malware de SecureWorks. "La pregunta es, ¿tendrá un impacto a largo plazo?"
Al igual que FireEye, la compañía de seguridad de Stewart protege las redes de los clientes de las botnets y otras amenazas; y al igual que Mushtaq, Stewart ha pasado años combatiendo empresas delictivas. En 2009, Stewart presentó una propuesta para crear grupos de voluntarios dedicados a hacer que las redes de bots no sean rentables. Pero pocos profesionales de la seguridad podrían comprometerse a una actividad voluntaria tan lenta.
"Lleva tiempo, recursos y dinero hacer esto día tras día", dice Stewart. Han ocurrido otras huelgas por debajo del radar en varias botnets y organizaciones criminales, dice, pero estos esfuerzos loables "no van a detener el modelo de negocio del spammer".
Mushtaq, Stewart y otros profesionales de seguridad están de acuerdo que la aplicación de la ley federal debe intervenir con esfuerzos de coordinación a tiempo completo. Según Stewart, los reguladores no han comenzado a elaborar planes serios para que eso suceda, pero Mushtaq dice que FireEye está compartiendo su método con la aplicación de la ley nacional e internacional, y tiene esperanza.
Hasta que eso suceda, "definitivamente estamos buscando hacer esto de nuevo ", dice Mushtaq. "Queremos mostrarles a los malos que no estamos durmiendo".
Tribunal de EE. UU. Derriba COPA, nuevamente
Un tribunal de apelaciones anula COPA, una ley estadounidense que exige que los sitios web con material para adultos conserven esos sitios de menores.
Derriba una parte de la ley Sarbanes-Oxley
La Corte Suprema de los EE. UU. Anula una sección de la Ley Sarbanes-Oxley relacionada con nombramientos a una junta de supervisión.
Google derriba a Facebook con una revisión de Google+
Google mostró el miércoles una rediseñada aplicación de Google+ y Hangouts para superar a Facebook como la mejor del mundo red social.