Administrator pokonuje botnet

Administrator pokonuje botnet

Grzegorz Niemirowski
29.12.2009 16:34, aktualizacja: 29.12.2009 17:08

Atif Mushtaq, pracujący w firmie FireEye, przed dwa lata zajmował się ochroną komputerów klientów, m.in. przed infekcją i włączeniem ich do botnetu Mega-D. W końcu postanowił przejść z obrony do ataku.

Do budowy botnetu Mega-D były wykorzystywane różne metody, m.in. e-maile z trojanami oraz strony internetowe wykorzystujące dziury w przeglądarkach. Zainfekowane komputery były włączane do botnetu i używane do rozsyłania dużych ilości spamu. Botnet był kontrolowany przez grupę serwerów. Mushtaq postanowił odciąć zainfekowanym komputerom możliwość odbierania poleceń od tychże sewerów. Ustalił, że większość serwerów kontrolujących znajduje się w USA ale dwa poza granicami tego kraju: w Turcji i Izraelu. Konieczne było odcięcie wszystkich serwerów aby móc wyłączyć botnet. Mushtaq poprzez swoją firmę skontaktował się z dostawcami Internetu, z których łącz korzystały serwery kontrolujące Mega-D. Dostawcy amerykańscy odpowiedzieli pozytywnie i odcięli serwery od Internetu. Zagraniczni dostawcy nie wykazali jednak tyle dobrej woli.

W tej sytuacji Atif Mushtaq i jego firma nawiązali współpracę z firmami, które obsługiwały domeny wykorzystywane przez botnet. Dzięki temu przekierowano domeny te na nieistniejące adresy. Przejęto też kontrolę nad domenami, których botnet wtedy nie wykorzystywał ale były domenami zapasowymi, umieszczonymi w kodzie trojanów tworzących Mega-D.

Atif Mushtaq osiągnął sukces. W ciągu trzech dni światowy udział Mega-D w wysyłaniu spamu spadł z ponad 11% do zaledwie 0,1%. Stwierdzono też, że rozmiar zlikwidowanego botnetu wynosił ok. 250 000 komputerów. Niemniej Mega-D był tylko jednym z wielu botnetów i jeśli nawet nie zostanie reaktywowany to jego miejsce zajmą następne i kontynuować będą rozsyłanie spamu i ataki DDoS. Mushtaq miał też szczęście gdyż boty wykorzystywały adresy domenowe do łączenia się z serwerami kontrolującymi a nie adresy IP.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (16)