Radware Threat Researchers Live - ep.5 - Bots, Botnets and Games
Inhoudsopgave:
- Mushtaq en twee FireEye-collega's gingen achter de command-infrastructuur van Mega-D aan. De eerste aanvalsgolf van een botnet maakt gebruik van e-mailbijlagen, offensief op internet en andere distributiemethoden om grote aantallen pc's met schadelijke botprogramma's te infecteren.
- Mushtaq's team nam voor het eerst contact op met internetserviceproviders die MIV-D onbewust hebben gehost controle servers; zijn onderzoek toonde aan dat de meeste servers in de Verenigde Staten waren gevestigd, met één in Turkije en een andere in Israël.
- FireEye is van plan de anti-Mega-D-inspanningen over te dragen aan ShadowServer.org, een vrijwilligersgroep die de IP-adressen van geïnfecteerde machines en contact met getroffen ISP's en bedrijven zal volgen. Bedrijfsnetwerk- of ISP-beheerders kunnen zich aanmelden voor de gratis meldingsdienst.
- Net als FireEye beschermt Stewarts beveiligingsbedrijf klantnetwerken tegen botnets en andere bedreigingen; en net als Mushtaq, heeft Stewart jarenlang criminele ondernemingen bestookt. In 2009 schetste Stewart een voorstel om vrijwilligersgroepen te creëren die zich inzetten om botnets onrendabel te maken. Maar weinig beveiligingsprofessionals zouden zich kunnen verplichten tot zo'n tijdrovende vrijwilligersactiviteit.
Mushtaq en twee FireEye-collega's gingen achter de command-infrastructuur van Mega-D aan. De eerste aanvalsgolf van een botnet maakt gebruik van e-mailbijlagen, offensief op internet en andere distributiemethoden om grote aantallen pc's met schadelijke botprogramma's te infecteren.
De bots ontvangen marsorders van online command and control (C & C) servers, maar die servers zijn de achilleshiel van het botnet: isoleer ze en de niet-gerichte bots zullen niets doen. Mega-D's controllers maakten echter gebruik van een groot aantal C & C-servers en elke bot in zijn leger had een lijst met extra bestemmingen gekregen om te proberen of deze de primaire opdrachtserver niet kon bereiken. Dus het verwijderen van Mega-D vereist een zorgvuldig gecoördineerde aanval.
[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]
Mushtaq's team nam voor het eerst contact op met internetserviceproviders die MIV-D onbewust hebben gehost controle servers; zijn onderzoek toonde aan dat de meeste servers in de Verenigde Staten waren gevestigd, met één in Turkije en een andere in Israël.
Vervolgens hebben Mushtaq en het bedrijf contact opgenomen met registrars van domeinnamen met records voor de domeinnamen die Mega-D voor zijn beheerservers gebruikte. De registrars werkten samen met FireEye om de bestaande domeinnamen van Mega-D op geen enkele plaats te wijzen. Door de pool van domeinnamen van het botnet af te sluiten, zorgden de medewerkers van antibotnet ervoor dat bots geen Mega-D-gelieerde servers konden bereiken die de overzeese ISP's hadden geweigerd te verwijderen.
Tot slot werkten FireEye en de registrars aan reservevrije domeinnamen dat de controllers van Mega-D vermeld staan in de programmatie van de bots. De controllers waren van plan om een of meer van de reservedomeinen te registreren en te gebruiken als de bestaande domeinen zouden uitvallen - dus pakte FireEye ze op en wees hen naar "sinkholes" (servers die het had opgezet om stil te zitten en inspanningen bij Mega te loggen) -D bots om in te checken voor bestellingen). Met behulp van deze logboeken schatte FireEye dat het botnet bestond uit ongeveer 250.000 Mega-D-geïnfecteerde computers.
Down Goes Mega-D
MessageLabs, een e-mailbeveiliging van Symantec, meldt dat Mega-D "consequent in de top 10 van spam-bots "voor het vorige jaar (find.pcworld.com/64165). De uitvoer van het botnet fluctueerde van dag tot dag, maar op 1 november vertegenwoordigde Mega-D 11,8 procent van alle spam die MessageLabs zag. Drie dagen later had FireEye door de actie het marktaandeel van internet-spam in Mega-D verminderd tot minder dan 0,1 % zegt MessageLabs.
FireEye is van plan de anti-Mega-D-inspanningen over te dragen aan ShadowServer.org, een vrijwilligersgroep die de IP-adressen van geïnfecteerde machines en contact met getroffen ISP's en bedrijven zal volgen. Bedrijfsnetwerk- of ISP-beheerders kunnen zich aanmelden voor de gratis meldingsdienst.
De strijd voortzetten
Mushtaq erkent dat FireEye's succesvolle offensief tegen Mega-D slechts één gevecht was in de oorlog tegen malware. De criminelen achter Mega-D kunnen proberen hun botnet te laten herleven, zegt hij, of ze kunnen het verlaten en een nieuw botnet maken. Maar andere botnets blijven gedijen.
"FireEye heeft een grote overwinning behaald", zegt Joe Stewart, directeur van malwareonderzoek bij SecureWorks. "De vraag is of dit een langetermijneffect zal hebben?"
Net als FireEye beschermt Stewarts beveiligingsbedrijf klantnetwerken tegen botnets en andere bedreigingen; en net als Mushtaq, heeft Stewart jarenlang criminele ondernemingen bestookt. In 2009 schetste Stewart een voorstel om vrijwilligersgroepen te creëren die zich inzetten om botnets onrendabel te maken. Maar weinig beveiligingsprofessionals zouden zich kunnen verplichten tot zo'n tijdrovende vrijwilligersactiviteit.
"Het kost tijd en middelen en geld om dit dag in dag uit te doen," zegt Stewart. Andere, onder-de-radar-aanvallen op verschillende botnets en criminele organisaties hebben plaatsgevonden, zegt hij, maar deze lovenswaardige inspanningen zijn "niet van plan om het bedrijfsmodel van de spammer te stoppen."
Mushtaq, Stewart en andere beveiligingsprofessionals zijn het erover eens dat federale rechtshandhaving moet ingrijpen met full-time coördinatie-inspanningen. Volgens Stewart zijn regelgevers nog niet begonnen met het opstellen van serieuze plannen om dat te laten gebeuren, maar Mushtaq zegt dat FireEye zijn methode deelt met binnenlandse en internationale wetshandhaving, en hij is hoopvol. Totdat gebeurt, "we zijn zeker op zoek om dit opnieuw te doen, "zegt Mushtaq. "We willen de slechteriken laten zien dat we niet slapen."
Vervolgens hebben Mushtaq en het bedrijf contact opgenomen met registrars van domeinnamen met records voor de domeinnamen die Mega-D voor zijn beheerservers gebruikte. De registrars werkten samen met FireEye om de bestaande domeinnamen van Mega-D op geen enkele plaats te wijzen. Door de pool van domeinnamen van het botnet af te sluiten, zorgden de medewerkers van antibotnet ervoor dat bots geen Mega-D-gelieerde servers konden bereiken die de overzeese ISP's hadden geweigerd te verwijderen.
Tot slot werkten FireEye en de registrars aan reservevrije domeinnamen dat de controllers van Mega-D vermeld staan in de programmatie van de bots. De controllers waren van plan om een of meer van de reservedomeinen te registreren en te gebruiken als de bestaande domeinen zouden uitvallen - dus pakte FireEye ze op en wees hen naar "sinkholes" (servers die het had opgezet om stil te zitten en inspanningen bij Mega te loggen) -D bots om in te checken voor bestellingen). Met behulp van deze logboeken schatte FireEye dat het botnet bestond uit ongeveer 250.000 Mega-D-geïnfecteerde computers.
Down Goes Mega-D
MessageLabs, een e-mailbeveiliging van Symantec, meldt dat Mega-D "consequent in de top 10 van spam-bots "voor het vorige jaar (find.pcworld.com/64165). De uitvoer van het botnet fluctueerde van dag tot dag, maar op 1 november vertegenwoordigde Mega-D 11,8 procent van alle spam die MessageLabs zag. Drie dagen later had FireEye door de actie het marktaandeel van internet-spam in Mega-D verminderd tot minder dan 0,1 % zegt MessageLabs.
FireEye is van plan de anti-Mega-D-inspanningen over te dragen aan ShadowServer.org, een vrijwilligersgroep die de IP-adressen van geïnfecteerde machines en contact met getroffen ISP's en bedrijven zal volgen. Bedrijfsnetwerk- of ISP-beheerders kunnen zich aanmelden voor de gratis meldingsdienst.
De strijd voortzetten
Mushtaq erkent dat FireEye's succesvolle offensief tegen Mega-D slechts één gevecht was in de oorlog tegen malware. De criminelen achter Mega-D kunnen proberen hun botnet te laten herleven, zegt hij, of ze kunnen het verlaten en een nieuw botnet maken. Maar andere botnets blijven gedijen.
"FireEye heeft een grote overwinning behaald", zegt Joe Stewart, directeur van malwareonderzoek bij SecureWorks. "De vraag is of dit een langetermijneffect zal hebben?"
Net als FireEye beschermt Stewarts beveiligingsbedrijf klantnetwerken tegen botnets en andere bedreigingen; en net als Mushtaq, heeft Stewart jarenlang criminele ondernemingen bestookt. In 2009 schetste Stewart een voorstel om vrijwilligersgroepen te creëren die zich inzetten om botnets onrendabel te maken. Maar weinig beveiligingsprofessionals zouden zich kunnen verplichten tot zo'n tijdrovende vrijwilligersactiviteit.
"Het kost tijd en middelen en geld om dit dag in dag uit te doen," zegt Stewart. Andere, onder-de-radar-aanvallen op verschillende botnets en criminele organisaties hebben plaatsgevonden, zegt hij, maar deze lovenswaardige inspanningen zijn "niet van plan om het bedrijfsmodel van de spammer te stoppen."
Mushtaq, Stewart en andere beveiligingsprofessionals zijn het erover eens dat federale rechtshandhaving moet ingrijpen met full-time coördinatie-inspanningen. Volgens Stewart zijn regelgevers nog niet begonnen met het opstellen van serieuze plannen om dat te laten gebeuren, maar Mushtaq zegt dat FireEye zijn methode deelt met binnenlandse en internationale wetshandhaving, en hij is hoopvol. Totdat gebeurt, "we zijn zeker op zoek om dit opnieuw te doen, "zegt Mushtaq. "We willen de slechteriken laten zien dat we niet slapen."
Facebook Makeover: het goede, het slechte en het backlash
De nieuwste interface-aanpassingen van Facebook maken de standaard feed meer zoals het was voor de laatste grote vernieuwing van de startpagina, maar de wijzigingen zijn niet zonder problemen, en ze hebben tot enige terugval bij Facebook-gebruikers geleid.
Ramm Ismael van Vlambeer spreekt over het maken van games die je haat
Videogamevorming is iets dat velen traditioneel associëren met grote budgetten, grote teams en grote namen. Niettemin veranderen de tijden; een groeiend aantal onafhankelijke ontwikkelaars begint aan te tonen dat de industrie niet langer exclusief de provincie is van bedrijven met een bedrijfsbacking. Onafhankelijke spellen zoals LIMBO, Minecraft en Bastion hebben allemaal een aanzienlijke impact op de media en gamers.
We besteden veel tijd aan het doorlezen van sociale netwerksites, maar dat is niet genoeg Dat betekent dat we allemaal sociale vlinders zijn. Het lijkt erop dat e-mail het nieuws van gisteren is geworden. Terwijl het controleren van e-mail vroeger onze belangrijkste reden was om online te gaan, besteden we nu meer van onze online tijd aan het surfen op sociale netwerken, volgens nieuwe nummers van Nielsen. We spenderen 23 procent van onze online tijd aan surfen op sociale netwerken zoals Faceboo
Dat nieuws hoeft mij niet per se te verbazen: ik kan 10 minuten doorbrengen op Facebook en verstrikt raken in de activiteiten van 25 verschillende mensen, terwijl het besteden van diezelfde 10 minuten aan e-mail me in staat zou stellen om veel nutteloze junkmail te verwijderen en misschien een bericht te lezen. Maar als ik echt stop om erover na te denken, houdt Facebook me niet echt beter verbonden met de meeste mensen. Hier zijn vijf redenen waarom.