mboost-dp1

remora.ca

Botnet lukket ned af sikkerhedsfirma

- Via The Register -

It-sikkerhedsfirmaet FireEye har haft succes med at lukke et botnet ned, der på et tidspunkt stod for op til en tredjedel af alt spam i verden.

Botnettet, der går under navnene Mega-D og Ozdok, blev først analyseret af FireEye for at finde ud af, hvordan det fungerede. Fokus var især på botnettes funktioner til at overleve, hvis en eller flere af kontrolserverne forsvandt.

Efter analysen var færdig, slog FireEye til i en koordineret aktion sammen med flere internetudbydere. Resultatet kunne ses med det samme hos firmaet M86, der overvåger, hvor meget spam, der sendes fra botnettet. Antallet af spam-mails styrtdykkede, og efter yderligere et par dage var botnettet lukket helt ned.

Nedlukning af et botnet har før vist sig svært, idet de inficerede zombie-computere, der indgår i netværket, er lavet til automatisk at søge alternative kontrolservere, hvis kontakten mistes. Ifølge FireEye har de dog taget hensyn til dette og blandt andet oprettet servere, der efterligner en kontrolserver, men ikke sender kommandoer. Disse servere har p.t. registreret over 250.000 zombier i Mega-D botnettet.





Gå til bund
Gravatar #1 - Qw_freak
10. nov. 2009 11:18
Giga fedt, men hvem betaler egentlig regningen for alle de mandetimer der er gået til at få lagt bot-nettet ned! :)
Gravatar #2 - f-style
10. nov. 2009 11:23
Fedt initiativ, de skal bare ned med nakken de bagfolk som stor bag alt det spam og botsnet. Håber at der bliver flere botnet som får cuttet linien.
Gravatar #3 - Andos
10. nov. 2009 11:28
Kunne deres egne kontrol servere ikke sende en kommando til at fjerne virussen fra de inficerede computere så? :P
Gravatar #4 - fastwrite1
10. nov. 2009 11:30
"Jeg styrer et botnet".. sådan en kommentar kommer man nok ikke langt med i vore dage..
Gravatar #5 - TuxDK
10. nov. 2009 11:31
#3

Jo, hvis der var sådan en kommando, og hvis de kendte til den.
Gravatar #6 - MEGAMASTER4000
10. nov. 2009 11:31
#4 rent økonomisk tror jeg godt du kan komme ret langt.
Gravatar #7 - nomissenrojb
10. nov. 2009 11:45
Andos (3) skrev:
Kunne deres egne kontrol servere ikke sende en kommando til at fjerne virussen fra de inficerede computere så? :P
Den ide er sårment fin nok. Men personligt kan jeg love dig for at jeg ville sagsøge dem ind i helved hvis de gik ind på min maskine for at fjerne noget som helst.
Gravatar #8 - Fafler
10. nov. 2009 11:49
Jeg er ret facineret af botnet. Det kunne være sjovt at lave et mindre et selv i en sandkasse. En server med en hulens masse virtuelle maskiner. Der må findes botnet-kits derude. Sample code, der kan tilrettes efter behov.
Gravatar #9 - duppidat
10. nov. 2009 11:56
#7 Så du ville sagsøge dem for at slette en virus? :p
Er du emigreret amerikaner? :D
Gravatar #10 - Cloud02
10. nov. 2009 11:59
#1
Nok dem som sidder på internet og fiber infrastrukturen. Altså de firmaer som står for dataoverførslen mellem ISP'er.
Gravatar #11 - nomissenrojb
10. nov. 2009 11:59
#9. Nej det ville jeg takke dem for.
Jeg vil sagsøge dem for at ulovligt og uden min tilladelse at bryde ind i min private pc.
Ville du bryde dig om at din nabo rendte rundt og kiggede i dine skuffer og skabe bare fordi han skræmte indbrudstyven væk.
Gravatar #12 - Kedekede
10. nov. 2009 12:00
Det er sku i orden. Godt arbejde. FireEye m.fl.
Gravatar #13 - Cyrack
10. nov. 2009 12:06
nomissenrojb (7) skrev:
Den ide er sårment fin nok. Men personligt kan jeg love dig for at jeg ville sagsøge dem ind i helved hvis de gik ind på min maskine for at fjerne noget som helst.

Og jeg stævner dig for at udsende skadelig kode/spam/whatever fra din computer, som kan bringe min computer i fare.

IMHO så burde ISP'erne klippe kablet så snart de registrere bots på en af deres kunders computere. De fleste netværk kan relativt let afsløres da de kontakter bestemte IP'er eller scanner ranges, og med en smule samarbejde ISP'erne mellem ville det ikke tage lang tid at afsløre de mest åbentlyse bot-controllere. Et klip i kablet og et brev til indehavneren af maskinen ville helt klart hjælpe til at få ryddet op i botnets. Desværre kræver det at man kan få det meste af verdenen med på idéen :-/
Gravatar #14 - kospand
10. nov. 2009 12:10
lol. synes nyheden lyder som en anmeldelse, af en dårlig amerikansk action-zombie-thriller film :p
Gravatar #15 - nomissenrojb
10. nov. 2009 12:10
Cyrack (13) skrev:
Og jeg stævner dig for at udsende skadelig kode/spam/whatever fra din computer, som kan bringe min computer i fare.

Også kan du lige som APG sande at det vil du ikke komme langt med da du skal kunne bevise at det det mig(Ikke kun min pc) der har gjort det. Hæhæ :)
Gravatar #16 - 2xmy
10. nov. 2009 12:17
#15 Den kan jo også vendes om - det er deres computere der har været inde på din og fjerne virusen. Ikke dem.
Gravatar #17 - Bladtman242
10. nov. 2009 12:19
Cyrack (13) skrev:

IMHO så burde ISP'erne klippe kablet så snart de registrere bots på en af deres kunders computere. De fleste netværk kan relativt let afsløres da de kontakter bestemte IP'er eller scanner ranges, og med en smule samarbejde ISP'erne mellem ville det ikke tage lang tid at afsløre de mest åbentlyse bot-controllere. Et klip i kablet og et brev til indehavneren af maskinen ville helt klart hjælpe til at få ryddet op i botnets. Desværre kræver det at man kan få det meste af verdenen med på idéen :-/


Helt så simpelt er det jo ikke;)
Nogle botnet henter nye ordrer fra intetanende servere, der var f.eks en artikkel her på et tidspunkt om en bot der hentede sine ordrer fra en bestemt facebook profils wall eller noget i den dur.
Skal ISP'en så bare blokkere facebook?
Gravatar #18 - Qw_freak
10. nov. 2009 12:25
Skulle min pc være en del af et botnet, hvordan finder jeg så ud af det?
Gravatar #19 - Unbound
10. nov. 2009 12:27
#16
Teknisk set har deres computere heller ikke været inde og fjerne virusen. Det er hans egen computer der tager kontakt til deres server, og som selv sletter sig selv. Ergo det er hans egen skyld at han ikke har styr på sin computer.

Men derudover så syntes jeg da det ville være rimeligt fjollet hvis sådan et botnet havde en killswitch indbygget. I hvilket tilfælde ville brugeren af sådan et netværk være intereseret i at lukke ned for en eller flere zombies?
Gravatar #20 - Huleboeren
10. nov. 2009 12:38
fastwrite1 (4) skrev:
"Jeg styrer et botnet".. sådan en kommentar kommer man nok ikke langt med i vore dage..

I dunno about you men jeg de har ikke ramt mit LogMeIn botnet på 9 computere endnu >:D
Gravatar #21 - ShamblerDK
10. nov. 2009 12:59
#8:

http://www.google.dk/search?hl=da&rlz=1C1GGLS_...

Ved ikke om jeg får ballade for at poste det link, men whatever...
Gravatar #22 - Cyrack
10. nov. 2009 13:30
nomissenrojb (15) skrev:
Også kan du lige som APG sande at det vil du ikke komme langt med da du skal kunne bevise at det det mig(Ikke kun min pc) der har gjort det. Hæhæ :)

Ja, du har sjovt nok samme bevisbyrde mod dem, så flot selvmål du fik sat sammen der.

Bladtman242 (17) skrev:
Cyrack (13) skrev:

IMHO så burde ISP'erne klippe kablet så snart de registrere bots på en af deres kunders computere. De fleste netværk kan relativt let afsløres da de kontakter bestemte IP'er eller scanner ranges, og med en smule samarbejde ISP'erne mellem ville det ikke tage lang tid at afsløre de mest åbentlyse bot-controllere. Et klip i kablet og et brev til indehavneren af maskinen ville helt klart hjælpe til at få ryddet op i botnets. Desværre kræver det at man kan få det meste af verdenen med på idéen :-/


Helt så simpelt er det jo ikke;)
Nogle botnet henter nye ordrer fra intetanende servere, der var f.eks en artikkel her på et tidspunkt om en bot der hentede sine ordrer fra en bestemt facebook profils wall eller noget i den dur.
Skal ISP'en så bare blokkere facebook?

Nope, jeg sagde ikke det var en silverbullet (findes ikke, sry), men derimod en måde til at ramme en del af netværkene. Men for at tage facebook/twitter/anden generisk host-problematikken op: hvis ISP'erne ville og måtte, så kunne de lave packet inspection på trafik til kendte controllere (facebook osv.) og teste requestene for kendte patterns (dette kan gøres uden delay for brugeren, da vi ikke er interesseret i at blokke den enkelte package). Når en eller flere request er blevet genkendt kan man klippe kablet + en forklaring til brugeren.
Formålet med alt dette skal ikke være at forhindre spredning af virus/bots men at uddanne brugeren. Når nettet forsvinder, så kan hr & fru DK ligepludselig godt finde ud af at fikse skidtet og få smidt botten på porten eller få nabo-knægten forbi og lade ham klare det.
Gravatar #23 - nomissenrojb
10. nov. 2009 13:47
Cyrack (22) skrev:
Ja, du har sjovt nok samme bevisbyrde mod dem, så flot selvmål du fik sat sammen der.

Hvorfor har jeg det? De har jo offentliggjort det! :-)
Gravatar #24 - Törleif Val Viking
10. nov. 2009 15:13
#21
Hvad er det?
Gravatar #25 - Davers
10. nov. 2009 15:53
#24: Prøv at google det..
Gravatar #26 - Bladtman242
10. nov. 2009 18:19
#22 min pointe er bare at man måske kunne advare indehaveren inden man lukker, men det har selvfølgelig også sine ulemper:/
Gravatar #27 - Justin
10. nov. 2009 22:08
nomissenrojb (7) skrev:
Den ide er sårment fin nok. Men personligt kan jeg love dig for at jeg ville sagsøge dem ind i helved hvis de gik ind på min maskine for at fjerne noget som helst.


hvorfor vil du ikke anlægge sag mod dem der lagde det ind ???
Gravatar #28 - nomissenrojb
11. nov. 2009 00:12
#27. Det ville jeg også. Men nu er de ikke så nemme at finde.
Gravatar #29 - drbravo
11. nov. 2009 09:42
#11
Teknisk set skal de vel ikke nødvendigvis ind på din compjuter. Det er vel din computer der kontakter *DEM*, og derefter downloader noget. Det eneste de gør er vel at have en serber kørende med noget speciel data på. Skal det nu være ulovligt? De kan da virkeligt ikke tage sig af om dataen de har liggende på deres server kommer ind på din computer!
Gravatar #30 - Bladtman242
13. nov. 2009 10:40
#29: Det samme kunne man så sige om dem lavede botnettet?
De har bare lagt noget på en server der resulterer i et driveby download, det er da ikke deres skyld? :P
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login