Do odważnych świat należy i ponownie odważnymi okazali się mali i mądrzy, a nie wielcy i … Mam na myśli firmę FireEye, która między innymi zajmuje się śledzeniem i rozgryzaniem metod działania sieci botnet. Jakieś trzy tygodnie temu postanowili przejść z pasywnych obserwacji do aktywnego działania. Za ofiarę obrali sobie botnet Mega-D/Ozdok, który postanowili na swój aktualny stan wiedzy – wyłączyć. Po uprzednim rozeznaniu jak działa znaczna część mechanizmów awaryjnej komunikacji botów zrobili co następuje:
- Skontaktowali się z dostawcami sieci (ISP) i poinformowali o hostach pełniących rolę serwerów zarządzających. W wyniku tych działań ostały się 4 adresy IP, które odpowiadały na zapytania.
- Zgłosili rejestratorom nadrzędnym domeny wykorzystywane przez serwery zarządzające do usunięcia. Nie wszystkie domeny zostały usunięte/zablokowane.
- Zarejestrowali domeny aktualnie nie zarejestrowane, a zapisane w strukturze botów.
- Zarejestrowali domeny wykorzystywane podczas awaryjnej komunikacji sieci botnet. Domeny te są każdego dnia generowane na podstawie określonego algorytmu. Zarejestrowali domeny na 3 dni do przodu.
Zarejestrowane domeny przekierowali do swoich systemów pułapek w celu obserwowania ruchu i oszacowania liczby zarażonych komputerów będących częścią botnetu. W przeciągu pierwszych 24 godzin od uruchomienia całej machiny – odkryli 264 784 unikalne adresy IP łączące się do systemów pułapek czyli ponad ćwierć miliona adresów IP.
Jaka była skuteczność całej akcji? Bardzo wysoka. Jak można przeczytać na blogu firmy Marshal zajmującej się między innymi analizą sieci botnet pod kątem wysyłaniu wiadomości typu SPAM, liczba wiadomości wysyłanych przez botnet Mega-D/Ozdok spadła praktycznie do zera. Jako ciekawostkę można wyliczyć ile wiadomości może być wysyłane z takiej sieci botnet. Jeśli odnajdywane były przypadki wysyłania 15 000 wiadomości na godzinę z jednej maszyny i obecności podłączonych zarażonych systemów w liczbie 120 000 dziennie (średnio uruchomiony komputer będzie działał i spamował przez 12 godzin) to łatwo wyliczyć, że w ciągu dnia możemy wysłać 45 miliardy wiadomości typu SPAM.
Niestety po 3 tygodniach botnet wrócił do swojej dawnej postaci. Liczba wysyłanych wiadomości także powróciła do swoich kilku procent światowego ruchu spamerskiego – patrz kolor niebieski na wykresiku. Stało się tak zapewne dlatego, że nie wszystkie domeny, nie wszystkie adresy IP czyli nie wszystkie firmy, które powinny być zainteresowane, podjęły działanie. Jeśli zostawiamy choć część możliwego mechanizmu awaryjnej komunikacji – prędzej czy później zostanie on wykorzystany do aktualizacji sieci botnet o nowe adresy i domeny. Dodatkowo z każdym dniem należałoby rejestrować kolejne domeny. I tutaj znów ukłon w stronę małej firmy FireEye, która się odważyła ale także zapewne z uwagi na koszty całej operacji nie może jej prowadzić w nieskończoność. A gdyby tak wielcy i wspaniali tego świata jak choćby firmy Google, Microsoft (i niedługo Apple :) zainwestowały marne parę milionów dolarów w podobne akcje? Po prostu to sobie wyobraźcie :] Na razie to tylko czcze marzenia, ale jak pokazuje dzisiejszy przykład – wszystko jest możliwe, trzeba tylko chcieć :]
6 komentarzy do
1 grudnia, 2009 o godzinie 02:09
A nie wystarczyło by jak by organizacja zarządzająca domenami, zablokowała możliwość rejestracji takich domen na np miesiąc w przód?
1 grudnia, 2009 o godzinie 09:58
„264 784 unikalne adresy IP […] czyli ponad ćwierć miliarda adresów IP”. Jak dla mnie to ćwierć miliona.
1 grudnia, 2009 o godzinie 13:34
@SpeX: nie ma jednej organizacji zajmujacej sie wszystkimi domenami :) nie da sie wszystkich na swiecie zablokowac. NASK swojego czasu blokowal confickerowe domeny „.pl” (od kwietnia do co najmniej pazdziernika, czy nadal to robi – nie wiem). Oczywiscie to nie rozwiazuje w zupelnosci problemu, bo sa inne drogi zarzadzania niz IRC czy dedykowane site’y (np. opisywany na tym blogu: http://bothunters.pl/2009/08/20/botnet-wykorzystujacy-do-komunikacji-serwis-twitter/ ). Dodatkowo to jest tymczasowe rozwiazanie („po 3 tygodniach botnet wrócił do swojej dawnej postaci”), no ale coz… wojny wygrywa sie toczac wiele (mniejszych i wiekszych) bitw, a nie jedna wielka bitwa. Dlatego jestem tez za dns* i bgp-blackholing. Trzeba atakowac/bronic sie wszelkimi mozliwymi srodkami.
1 grudnia, 2009 o godzinie 21:30
„wszystko jest możliwe, trzeba tylko chcieć :]”
Microsoft zainwestuje kilka milionów w b. skuteczne zwalczanie spamu powodując praktyczną anihilację tegóż zjawiska…
I firmy profesjonalnie oferujące usługi antyspamowe zaczną strajkować niczym stoczniowcy w W-wie przed siedzibą MS, domagając się ustawowego przywrócenia spamu,hahah. I jakieś lobby też się pewnie znajdzie.
2 grudnia, 2009 o godzinie 01:02
Nawet nasz polski operator NASK na przykładzie domeny ircgalaxy botnetu pewnego pokazał, że blokowanie domen nie jest sprawą prostą. Przez kilka lat NASK wiedział (miał zgłoszenia od CERTu) o wiszącej centrali sieci botnet na tej domenie ale nie był w stanie poczynić żadnych kroków, gdyż jedyną możliwą drogą był nakaz sądowy wydany po rozprawie sądowej gdzie ktoś musiał ewidentnie oskarżyć botnet (a następnie biegli sądowi udowodnić współudział) o straty i wygrać tę sprawę. Nie jest to więc takie oczywiste jak się wydaje. Wyobraź sobie zresztą prostą sytuację, że ktoś kradnie Ci domenę i tę domenę NASK zablokuje… Zaraz będziesz się pienił i krzyczał, że przecież tak nie wolno :}
2 grudnia, 2009 o godzinie 01:03
Jak najbardziej miliona :} W ferworze interesującej liczby moje ego uniosło się za wysoko :] Dzięki!