Haal een botnet uit de lucht in drie stappen

Twee jaar lang heeft onderzoeker Atif Mushtaq van systeembeveiliger FireEye gespendeerd om de groei van het Mega-D botnet tegen te gaan. Daardoor leerde hij hoe de controllers van het botnet werkten, en vanaf juni publiceert hij zijn bevindingen op zijn blog. In november koos hij ervoor om de verdediging in te ruilen voor de aanval. Gevolg: Mega-D, een krachtig botnet van 250.000 besmette pc's, hield op te bestaan.

Command & Control

Mushtaq en twee collega's bij FireEye stortten zich op de centrale commando-infrastructuur van Mega-D. De eerste aanvalsgolf die een botnet inzet wordt uitgevoerd met e-mailbijvoegsels, webgebaseerde aanvallen en andere manieren van verspreiding, waardoor enorme aantallen pc's gepakt kunnen worden met bot-programma's.

De bots krijgen hun instructies van de online command and control (C&C) servers, en juist daar zit de achilleshiel van het botnet: als je de C&C-servers weet te isoleren, kunnen de bots stilvallen. Maar zo eenvoudig is dat nog niet. De C&C-servers van Mega-D waren talrijk, en ieder botsysteem had een lijstje van meerdere reserve-adressen, voor het geval dat de primaire commandoserver uit de lucht zou worden gehaald. Het opsporen van de volledige Mega-D infrastructuur vereiste daarom een gecoördineerde aanval.

ISP's en registrars

Het team van Mushtaq begon met de ISP's die zich er niet bewust van waren dat ze Mega-D servers aan het hosten waren. De meeste servers stonden in de Verenigde Staten, met nog eentje in Turkije en eentje in Israël. Behalve van die laatste twee kreeg de ploeg positieve reacties van de ISP's, waardoor in ieder geval alle Amerikaanse servers in één klap neer gingen.

Vervolgens gingen ze aan de slag om in contact te komen met de registrars van de domeinnamen die Mega-D gebruikt voor zijn control servers. Door die samenwerking lukte het om alle domeinnamen van Mega-D weg te krijgen. Omdat de toegang tot de Mega-D-domeinen werd afgesneden, konden ook de servers die niet door de ISP's offline waren gehaald niet meer worden bereikt.

Domeinnamen

Als laatste stap claimden FireEye en de registrars alle reserve-domeinnamen die werden genoemd in de programmatuur van de botsystemen. De controllers wilden deze domeinnamen registreren op het moment dat de servers onbereikbaar werden en gebruiken als nieuwe basis voor het botnet. In plaats daarvan liet FireEye deze domeinen verwijzen naar zijn eigen servers, die niets meer deden dan zich koest houden en logbestanden bijhielden van alle pogingen van bots om instructies op te halen. Aan de hand van die logs kon FireEye tot het getal van 250.000 bots komen in zijn schattingen.

MessageLabs, de e-mailbeveiligingsdivisie van Symantec, meldt dat Mega-D het hele afgelopen jaar in de top 10 stond van wereldwijde spambots. Op 1 november zorgde Mega-D wereldwijd nog voor 11,8 procent van alle spam, zo schat de firma. Drie dagen later was dat nog minder dan 0,1 procent.