FireEye Bergerak Cepat untuk Menolak Mega-D Botnet

Perusahaan keamanan komputer yang dikenal karena memerangi botnet pindah minggu lalu untuk mencoba mematikan pemutar spam yang persisten.

FireEye, sebuah perusahaan California yang membuat peralatan keamanan, telah melacak botnet yang disebut Mega -D atau Ozdok. Mega-D, yang merupakan jaringan komputer yang diretas, telah bertanggung jawab untuk mengirim lebih dari 4 persen spam dunia, menurut M86 Security. Banyak komputer yang membentuk Mega-D adalah PC rumah yang terinfeksi.

Mega-D adalah salah satu dari beberapa botnet yang telah menerapkan tindakan teknis lanjutan untuk memastikan pemiliknya tidak kehilangan kendali atas PC yang diretas. Peretas menggunakan server perintah-dan-kontrol untuk mengeluarkan instruksi ke PC zombie, seperti kapan harus menjalankan kampanye spam.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Dalam kasus Mega -D, PC yang diretas akan mencari nama domain tertentu untuk mengunduh instruksi, tulis Atiq Mushtaq dari FireEye di blog perusahaan. Jika domain tersebut tidak aktif - sering ditutup oleh ISP jika mereka terkait dengan penyalahgunaan - mesin Mega-D akan mencari server DNS (Domain Name System) khusus untuk menemukan domain langsung.

Jika itu juga gagal, Mega-D diprogram untuk menghasilkan nama domain acak berdasarkan tanggal dan waktu saat ini, Mushtaq menulis. Ketika peretas mendaftarkan nama domain, mesin yang terinfeksi dapat berkunjung ke sana untuk mendapatkan instruksi baru.

Mekanisme Mega-D untuk memastikannya tetap hidup telah menyulitkan perusahaan keamanan. "Kecuali seseorang cukup berkomitmen untuk mendaftarkan domain tersebut, penggembala bot selalu dapat maju dan mendaftarkan domain-domain itu dan mengembalikan kontrol botnet," Mushtaq menulis.

Kamis malam lalu, FireEye memulai serangannya, menghubungi ISP yang memiliki mesin yang berfungsi sebagai server perintah-dan-kontrol untuk Mega-D. Semua kecuali empat penyedia layanan menutup koneksi untuk alamat IP yang digunakan oleh Mega-D, Mushtaq menulis. FireEye juga menghubungi pencatat yang mengontrol nama domain yang digunakan untuk Mega-D.

Sebagai ukuran terakhir, FireEye mendaftarkan nama domain yang dibuat secara otomatis yang terinfeksi komputer Mega-D akan menghubungi jika mesin gagal mencapai perintah-dan- lainnya control node.

Mushtaq menulis pada hari Jumat bahwa beberapa 264,784 alamat IP (Internet Protocol) yang unik telah menghubungi server "sinkhole" FireEye, atau server yang disiapkan untuk mengidentifikasi PC yang terinfeksi.

"Data yang dikumpulkan dari server sinkhole log akan digunakan untuk mengidentifikasi mesin korban, "Mushtaq menulis.

Diharapkan bahwa ISP kemudian akan menghubungi pelanggan tersebut dan memberi tahu mereka bahwa mereka perlu menjalankan pemindaian antivirus.

Upaya FireEye, bersama dengan kerjasama ISP dan registrar, tampaknya telah berhasil menjinakkan Mega-D, setidaknya untuk sementara.

Pada hari Senin, statistik dari M86 Security menunjukkan bahwa spam Mega-D hampir berhenti. Pada satu titik sebelumnya, M86 telah melihat satu komputer yang terinfeksi Mega-D mengirim sebanyak 15.000 pesan spam per jam.

"Ini jelas menunjukkan bahwa itu sulit tetapi tidak mustahil untuk mencatat beberapa botnet yang paling buruk di dunia, "Mushtaq menulis.

Tapi penangguhan hukuman mungkin tidak berlangsung lama. FireEye melakukan pre-empting Mega-D dengan mendaftarkan domain yang akan dicari oleh bot, tetapi proses itu tidak akan pernah berakhir dan mahal. Jika FireEye berhenti mendaftarkan domain dan para yatim piatu menelepon ke rumah, para peretas dapat mengunggah kode baru ke mereka untuk membuat mereka lebih sulit untuk dimatikan.

"Kami tidak yakin berapa lama kita dapat mengikuti domain masa depan ini," Mushtaq menulis