अच्छे लोग मेगा-डी बॉटनेट को नीचे लाएं

सुरक्षा कंपनी फायरएई के साथ एक शोधकर्ता के रूप में दो साल तक, आतिफ मुश्ताक ने मेगा-डी बॉट मैलवेयर को ग्राहकों के नेटवर्क को संक्रमित करने से रोकने के लिए काम किया । इस प्रक्रिया में, उन्होंने सीखा कि इसके नियंत्रकों ने इसका संचालन कैसे किया। पिछले जून में, उन्होंने अपने निष्कर्ष ऑनलाइन प्रकाशित करना शुरू किया। नवंबर में, वह अचानक डी-फेंस से अपराध में बदल गया। और मेगा-डी - एक शक्तिशाली, लचीला बॉटनेट जिसने 250,000 पीसी को अपनी बोली लगाने के लिए मजबूर कर दिया था - नीचे चला गया।

कंट्रोलर को लक्षित करना

मुश्ताक और दो फायरएई सहयोगी मेगा-डी के कमांड इंफ्रास्ट्रक्चर के बाद गए। एक बॉटनेट की हमले की पहली लहर दुर्भावनापूर्ण बॉट प्रोग्राम के साथ बड़ी संख्या में पीसी को संक्रमित करने के लिए ई-मेल संलग्नक, वेब-आधारित अपराधियों और अन्य वितरण विधियों का उपयोग करती है।

बॉट्स ऑनलाइन कमांड और नियंत्रण (सीएंडसी) सर्वर से मार्चिंग ऑर्डर प्राप्त करते हैं, लेकिन वे सर्वर बोनेट की एचिलीस की एड़ी हैं: उन्हें अलग करें, और अप्रत्यक्ष बॉट निष्क्रिय बैठेंगे। मेगा-डी के नियंत्रकों ने सी और सी सर्वरों की दूर-दूर की सरणी का उपयोग किया, हालांकि, और अपनी सेना में हर बॉट को अतिरिक्त गंतव्यों की एक सूची सौंपी गई थी ताकि यह कोशिश कर सके कि यह अपने प्राथमिक कमांड सर्वर तक नहीं पहुंच सके। तो मेगा-डी को ले जाने के लिए सावधानीपूर्वक समन्वित हमले की आवश्यकता होगी।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

सिंक्रनाइज़ेड आक्रमण

मुश्ताक की टीम ने पहली बार इंटरनेट सेवा प्रदाताओं से संपर्क किया जो अनजाने में मेगा-डी की मेजबानी की नियंत्रण सर्वर; उनके शोध से पता चला कि अधिकांश सर्वर संयुक्त राज्य अमेरिका में स्थित थे, तुर्की में एक और इज़राइल में दूसरा।

फायरएई समूह को विदेशी आईएसपी को छोड़कर सकारात्मक प्रतिक्रिया मिली। घरेलू सीएंडसी सर्वर नीचे चला गया।

इसके बाद, मुश्ताक और कंपनी ने डोमेन नाम रजिस्ट्रार से उन डोमेन नामों के लिए रिकॉर्ड धारण किए जिन्हें मेगा-डी ने अपने नियंत्रण सर्वर के लिए उपयोग किया था। रजिस्ट्रार ने मेगा-डी के मौजूदा डोमेन नामों को कहीं भी इंगित करने के लिए फायरएई के साथ सहयोग किया। बॉटनेट के डोमेन नामों के पूल को काटकर, एंटीबोटनेट ऑपरेटरों ने यह सुनिश्चित किया कि बॉट्स मेगा-डी-संबद्ध सर्वर तक नहीं पहुंच सके जो विदेशी आईएसपी कम करने से इनकार कर चुके थे।

अंत में, फायरएई और रजिस्ट्रारों ने अतिरिक्त डोमेन नामों का दावा करने के लिए काम किया कि मेगा-डी के नियंत्रक बॉट्स प्रोग्रामिंग में सूचीबद्ध हैं। मौजूदा डोमेन नीचे जाने के बाद नियंत्रकों को एक या अधिक अतिरिक्त डू-मेन का पंजीकरण करने और उपयोग करने का इरादा है - इसलिए फायरएई ने उन्हें उठाया और उन्हें "सिंकहोल्स" पर इंगित किया (सर्वर ने चुपचाप बैठने के लिए सेट किया था और मेगा द्वारा प्रयासों को लॉग किया था ऑर्डर के लिए चेक करने के लिए डी डॉट्स)। उन लॉगों का उपयोग करके, फायरएई ने अनुमान लगाया कि बोनेट में लगभग 250,000 मेगा-डी-संक्रमित कंप्यूटर शामिल थे।

डाउन मेगा-डी

सिमांटेक ई-मेल सुरक्षा सहायक, संदेशलैब्स, रिपोर्ट करता है कि मेगा-डी लगातार "रहा है पिछले 10 स्पैम बॉट्स में "पिछले वर्ष के लिए (find.pcworld.com/64165)। बॉटनेट का उत्पादन दिन-प्रतिदिन में उतार-चढ़ाव हुआ, लेकिन 1 नवंबर को मेगा-डी ने सभी स्पैम के 11.8 प्रतिशत के लिए जिम्मेदार ठहराया था।

तीन दिन बाद, फायरएई की कार्रवाई ने इंटरनेट स्पैम के मेगा-डी के बाजार हिस्से को 0.1 से कम कर दिया था प्रतिशत, मैसेजलैब्स कहते हैं।

फायरएई शैडोसेवर.org को एंटी-मेगा-डी प्रयास को बंद करने की योजना बना रहा है, एक स्वयंसेवक समूह जो संक्रमित मशीनों के आईपी पते ट्रैक करेगा और प्रभावित आईएसपी और व्यवसायों से संपर्क करेगा। बिजनेस नेटवर्क या आईएसपी प्रशासक मुफ्त अधिसूचना सेवा के लिए पंजीकरण कर सकते हैं।

युद्ध जारी रखना

मुश्ताक यह मानता है कि मेगा-डी के खिलाफ फायरएई का सफल हमला मैलवेयर पर युद्ध में सिर्फ एक लड़ाई थी। मेगा-डी के पीछे अपराधी अपने बोनेट को पुनर्जीवित करने का प्रयास कर सकते हैं, या वे इसे छोड़ सकते हैं और एक नया बना सकते हैं। लेकिन अन्य बॉटनेट बढ़ने के लिए जारी है।

"फायरएई की बड़ी जीत थी," सिक्योरवर्क्स के साथ मैलवेयर शोध के निदेशक जो स्टीवर्ट कहते हैं। "सवाल यह है कि, क्या इसका दीर्घकालिक प्रभाव होगा?"

फायरएई की तरह, स्टीवर्ट की सुरक्षा कंपनी क्लाइंट नेटवर्क को बॉटनेट और अन्य खतरों से बचाती है; और मुश्ताक की तरह, स्टीवर्ट ने आपराधिक उद्यमों का मुकाबला करने में वर्षों बिताए हैं। 200 9 में, स्टीवर्ट ने स्वयंसेवी समूहों को बनाने के प्रस्ताव को रेखांकित किया ताकि बोनेट को चलाने के लिए लाभहीन बनाया जा सके। लेकिन कुछ सुरक्षा पेशेवर ऐसी समय लेने वाली स्वयंसेवी गतिविधि के लिए प्रतिबद्ध हो सकते हैं।

स्टीवर्ट का कहना है, "दिन के बाद इस दिन ऐसा करने में समय और संसाधन और पैसा लगता है।" अन्य, विभिन्न वनस्पतियों और आपराधिक संगठनों पर अंडर-द-रडार हमले हुए हैं, वे कहते हैं, लेकिन इन प्रशंसनीय प्रयास "स्पैमर के व्यापार मॉडल को रोकने के लिए नहीं जा रहे हैं।"

मुश्ताक, स्टीवर्ट और अन्य सुरक्षा पेशेवर सहमत हैं संघीय कानून प्रवर्तन को पूर्णकालिक समन्वय प्रयासों के साथ कदम उठाने की आवश्यकता है। स्टीवर्ट के अनुसार, नियामकों ने ऐसा करने के लिए गंभीर योजनाएं तैयार नहीं की हैं, लेकिन मुश्ताक कहते हैं कि फायरएई घरेलू और अंतरराष्ट्रीय कानून प्रवर्तन के साथ अपनी पद्धति साझा कर रहा है, और वह आशावादी है।

जब तक ऐसा नहीं होता, "हम निश्चित रूप से हैं मुश्ताक कहते हैं, "इसे फिर से करना चाहते हैं।" "हम बुरे लोगों को दिखाना चाहते हैं कि हम सो नहीं रहे हैं।"