Security firm chokes sprawling spam botnet
Hết đời Mega-D
Mega-D no more
By Dan Goodin in San Francisco • Get more from this author
Posted in Security, 10th November 2009 06:02 GMT
Theo: http://www.theregister.co.uk/2009/11/10/fireeye_takes_out_ozdok/
Bài được đưa lên Internet ngày: 10/11/2009
Lời người dịch: Chiến công của một công ty nhỏ là FireEye đã đánh sập một mạng botnet lớn thứ 3 thế giới về tung thư điện tử spam, mạng Mega-D hay còn được gọi là Ozdok. Hoan hô FireEye!
Một botnet mà nó đã từng chịu trách nhiệm đứng thứ 3 theo đánh giá về spam trên thế giới đã bị hạ gục nhờ các nhà nghiên cứu từ hãng an ninh FireEye.
Sau khi phân tích tỉ mỉ mưu đò của botnet khổng lồ này, lần lượt được biết tới như là Mega-D và Ozdok, các nhân viên của FireEye tuần trước đã tung ra một cuộc chiến chớp nhoáng được phối hợp trên vài tá các kệnh kiểm soát và điều khiển của mình. Các kênh này đã được sử dụng để gửi các lệnh đánh spam mới cho các quân đoàn các máy tính sống dở chết dở mà chúng tạo nên mạng này.
Hầu như ngay lập tức, spam đã chấm dứt, theo blog M86 Security. Năm ngoái, hãng an ninh thư điện tử này đã ước tính botnet này đã dẫn dắt nguồn của spam cho tới khi một số các máy chủ của nó đã bị vô hiệu hóa.
Cú ra đòn của hãng này là một thông tin tốt lành cho các nhà cung cấp dịch vụ Internet (ISP) mà họ bị ép phải bóp nghẹt dòng thác spam được gửi đi bởi botnet khó chịu này. Nhưng vì nhiều máy chủ thư điện tử đã triển khai các danh sách đen mà chúng đã lọc các thư gửi từ các địa chỉ IP được biết để được sử dụng bởi Ozdok, nên những người sử dụng đầu cuối có thể không lưu ý nhiều về một sự thay đổi, Jamie Tomasello, một quản lý các hoạt động lạm dụng tại hãng chống spam Cloudmark, nói.
Nỗ lực đanh sập này là đáng kể vì nó chỉ cho thấy rằng một công ty tương đối nhỏ có thể đánh thắng được một mạng vì lợi nhuận mà nó đã nắm các phương tiện đặc biệt khác thường để đảm bảo nó còn giữ được hoạt động. Ozdok đã không chỉ giữ lại một danh sách dài các tên miền như những kênh kiểm soát và điều hành, mà nó còn đã sử dụng các máy chủ DNS được lập trình cứng bên trong. Khi tất cả đã sụp, phần mềm của nó đã có khả năng để tạo ra một cách động các tên miền mới ngay lập tức.
Với việc chặt đầu được Ozdok, hơn 264,000 địa chỉ IP đã được cho là nằm dưới sự kiểm soát của FireEye, một chỉ số về số lượng khổng lồ các máy tính sống dở chết dở được tin tưởng thuộc về botnet này. Các nhà nghiên cứu của FireEye lên kế hoạch làm việc với các ISP để xác định các chủ nhân của các bot mồ côi sao cho những chủ nhân của chúng có thể dọn dẹp đống tùm lum này.
Các nhà nghiên cứu của FireEye nói chìa khóa cho việc phá hủy cái vòng khổng lồ này là một nỗ lực phối hợp mà nó đã làm việc theo nhiều hướng cùng một lúc sao cho những kẻ cầm đầu bot này không có cơ hội để phản ứng lại. “Hóa ra là, dù có bao nhiều cơ chế phục hồi lại tồn tại, thì nếu chúng tất cả không được triển khai phù hợp, thì botnet là có thể bị tổn thương được”, họ đã viết.
A botnet that was once responsible for an estimated third of the world's spam has been knocked out of commission thanks to researchers from security firm FireEye.
After carefully analyzing the machinations of the massive botnet, alternately known as Mega-D and Ozdok, the FireEye employees last week launched a coordinated blitz on dozens of its command and control channels. The channels were used to send new spamming instructions to the legions of zombie machines that make up the network.
Almost immediately, the spam stopped, according to M86 Security blog. Last year, the email security firm estimated the botnet was the leading source of spam until some of its servers were disabled.
The body blow is good news to ISPs that are forced to choke on the torrent of spam sent out by the pesky botnet. But because many email servers already deployed blacklists that filtered emails sent from IP addresses known to be used by Ozdok, end users may not notice much of a change, said Jamie Tomasello, an abuse operations manager at antispam firm Cloudmark.
The takedown effort is significant because it shows that a relatively small company can defeat a for-profit network that took extraordinary measures to ensure it remained operational. Not only did Ozdok reserve a long list of domain names as command and control channels, it also used hard-coded DNS servers. When all else failed, its software was able to dynamically generate new domain names on the fly.
With head chopped off of Ozdok, more than 264,000 IP addresses were found reporting to sinkholes under FireEye's control, an indication of the massive number of zombies believed to have belonged to the botnet. FireEye researchers plan to work with the ISPs to identify the owners of the orphaned bots so their owners can clean up the mess.
FireEye researchers said the key to dismantling the giant ring was a coordinated effort that worked in multiple directions all at once so that bot herders didn't have a chance to counteract. "As it turns out, no matter how many fallback mechanisms are in place, if they aren't all implemented properly, the botnet is vulnerable," they wrote. ®
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.