Twee jaar lang heeft onderzoeker Atif Mushtaq van systeembeveiliger FireEye gespendeerd om de groei van het Mega-D botnet tegen te gaan. Daardoor leerde hij hoe de controllers van het botnet werkten, en vanaf juni publiceert hij zijn bevindingen op zijn blog. In november koos hij ervoor om de verdediging in te ruilen voor de aanval. Gevolg: Mega-D, een krachtig botnet van 250.000 besmette pc's, hield op te bestaan.

Command & Control

Mushtaq en twee collega's bij FireEye stortten zich op de centrale commando-infrastructuur van Mega-D. De eerste aanvalsgolf die een botnet inzet wordt uitgevoerd met e-mailbijvoegsels, webgebaseerde aanvallen en andere manieren van verspreiding, waardoor enorme aantallen pc's gepakt kunnen worden met bot-programma's.

De bots krijgen hun instructies van de online command and control (C&C) servers, en juist daar zit de achilleshiel van het botnet: als je de C&C-servers weet te isoleren, kunnen de bots stilvallen. Maar zo eenvoudig is dat nog niet. De C&C-servers van Mega-D waren talrijk, en ieder botsysteem had een lijstje van meerdere reserve-adressen, voor het geval dat de primaire commandoserver uit de lucht zou worden gehaald. Het opsporen van de volledige Mega-D infrastructuur vereiste daarom een gecoördineerde aanval.

ISP's en registrars

Het team van Mushtaq begon met de ISP's die zich er niet bewust van waren dat ze Mega-D servers aan het hosten waren. De meeste servers stonden in de Verenigde Staten, met nog eentje in Turkije en eentje in Israël. Behalve van die laatste twee kreeg de ploeg positieve reacties van de ISP's, waardoor in ieder geval alle Amerikaanse servers in één klap neer gingen.

Vervolgens gingen ze aan de slag om in contact te komen met de registrars van de domeinnamen die Mega-D gebruikt voor zijn control servers. Door die samenwerking lukte het om alle domeinnamen van Mega-D weg te krijgen. Omdat de toegang tot de Mega-D-domeinen werd afgesneden, konden ook de servers die niet door de ISP's offline waren gehaald niet meer worden bereikt.

Domeinnamen

Als laatste stap claimden FireEye en de registrars alle reserve-domeinnamen die werden genoemd in de programmatuur van de botsystemen. De controllers wilden deze domeinnamen registreren op het moment dat de servers onbereikbaar werden en gebruiken als nieuwe basis voor het botnet. In plaats daarvan liet FireEye deze domeinen verwijzen naar zijn eigen servers, die niets meer deden dan zich koest houden en logbestanden bijhielden van alle pogingen van bots om instructies op te halen. Aan de hand van die logs kon FireEye tot het getal van 250.000 bots komen in zijn schattingen.

MessageLabs, de e-mailbeveiligingsdivisie van Symantec, meldt dat Mega-D het hele afgelopen jaar in de top 10 stond van wereldwijde spambots. Op 1 november zorgde Mega-D wereldwijd nog voor 11,8 procent van alle spam, zo schat de firma. Drie dagen later was dat nog minder dan 0,1 procent.

Veldslag in een oorlog

FireEye wil het anti-Mega-D-project nu afstaan aan ShadowServer, een vrijwilligersgroep die verder zal gaan met het opsporen van IP's van geïnfecteerde systemen en de eigenaars wil waarschuwen. Netwerkbeheerders en beheerders van ISP's kunnen zich kosteloos aanmelden voor het waarschuwingssysteem.

Ook Mushtaq ziet in dat het succesvolle offensief tegen Mega-D slechts één veldslag is in de oorlog tegen malware. De mensen achter Mega-D zullen wellicht proberen om hun botnet opnieuw op te zetten, of ze proberen iets volkomen nieuws. In de tussentijd blijven andere botnets tevreden doorzoemen.

“FireEye heeft een grote overwinning geboekt”, zegt Joe Stewart, coördinator malwarebestreiding bij SecureWorks. “Maar de vraag is of het ook op de lange termijn gevolgen blijft hebben.”

Vrijwilligers

Stewarts bedrijf beschermt, net als FireEye, de netwerken van zijn klanten tegen botnetaanvallen en andere bedreigingen. Hij heeft net als Mushtaq jaren ervaring met het bestrijden van criminele activiteiten op dat gebied. In 2009 is hij met een voorstel gekomen om vrijwilligersgroepen in het leven te roepen wiens taak het is om botnets niet langer winstgevend te laten zijn. Helaas zijn slechts weinig security-professionals in staat om zich met zo'n tijdrovende klus bezig te houden.

“Het kost tijd en geld om dat elke dag te blijven doen”, zegt Stewart. Er zijn wel aanvallen geweest op botnets en de criminele organisaties die erachter zitten, maar hoe nobel deze pogingen ook zijn, “het zakelijk model van de spammer blijft in stand.”

Mushtaq, Stewart en andere beveiligingsprofessionals zijn het erover eens dat politie en justitie zich hier op de een of andere manier fulltime op moeten storten, maar er liggen helaas geen serieuze plannen op tafel. Mushtaq zegt dat hij zijn methodes wel heeft doorgespeeld aan nationale en internationale opsporingsinstanties, en hij is hoopvol dat het goed komt.

Tot die tijd zegt Mushtaq dat hij door blijft gaan met soortgelijke projecten. “We liggen niet stil”, zegt Mushtaq.

Bron: Techworld