웹 사이트

좋은 사람들이 메가 봇 네트워크를 무너 뜨립니다

철린이의 모든 ìºë¦ ë…¸ëž‘ë‹¨ì°ê¸° 도전

철린이의 모든 ìºë¦ ë…¸ëž‘ë‹¨ì°ê¸° 도전

차례:

Anonim

보안 회사 FireEye의 연구원으로 2 년간 Atif Mushtaq는 Mega-D 봇 멀웨어가 클라이언트의 네트워크. 이 과정에서 그는 컨트롤러가 컨트롤러를 어떻게 작동시키는지를 배웠습니다. 지난 6 월, 그는 온라인에서 자신의 연구 결과를 발표하기 시작했습니다. 11 월에, 그는 갑자기 de-fense에서 공격으로 바뀌었다. 강력하고 탄력적 인 봇넷 인 Mega-D는 25 만 대의 PC에 입찰을 강요했습니다.

Targeting Controllers

Mushtaq과 FireEye 두 동료는 메가 D의 명령 인프라를 뒤졌습니다. 봇넷의 첫 번째 공격은 전자 메일 첨부 파일, 웹 기반 공격 및 기타 배포 방법을 사용하여 대다수의 PC에 악의적 인 봇 프로그램을 감염시킵니다.

봇은 온라인 명령 및 제어 (C & C) 서버에서 행군 명령을 받고, 그러나 그 서버는 botnet의 Achilles의 발 뒤꿈치입니다: 그들을 격리 시키면, 방향이 잡히지 않은 로봇은 유휴 상태가됩니다. 그러나 Mega-D의 컨트롤러는 멀리 떨어진 C & C 서버를 사용했으며, 군대의 모든 봇은 기본 명령 서버에 연결할 수없는 경우 추가 대상 목록을 할당 받았습니다.

Synchronized Assault

Mushtaq의 팀은 무의식적으로 Mega-D를 호스팅 한 인터넷 서비스 제공 업체와 처음 접촉했습니다. 제어 서버; 그의 조사에 따르면 대부분의 서버는 터키에 하나, 이스라엘에 다른 서버를 기반으로 미국에 기반을두고 있습니다.

FireEye 그룹은 해외 ISP를 제외하고 긍정적 인 반응을 보였습니다. 국내 C & C 서버가 다운되었습니다.

Mushtaq과 회사는 Mega-D가 자사의 제어 서버에 사용했던 도메인 이름에 대한 레코드를 보유한 도메인 이름 등록 기관에 연락했습니다. 등록 기관은 FireEye와 협력하여 Mega-D의 기존 도메인 이름을 no-point로 지정했습니다. 봇넷의 도메인 이름 풀을 차단함으로써 항 바이러스 기술자들은 봇이 해외 ISP가 철수하기를 거부 한 메가 D 계열 서버에 접속할 수 없도록 보장했다.

마지막으로, FireEye와 레지스트라는 여분의 도메인 이름을 요구하기 위해 노력했다. 그 메가 D 컨트롤러는 봇의 프로그래밍에 나와 있습니다. 컨트롤러는 기존 도메인이 다운 된 경우 예비도 메인을 하나 이상 등록하고 사용하려고 했으므로 FireEye가 FireEye를 선택하여 "sinkholes"(서버가 조용히 앉아 서버를 메가로 로그인하도록 설정했음을 나타냅니다 -D 로봇을 주문 확인). FireEye는 이러한 로그를 사용하여 봇넷이 약 250,000 대의 Mega-D에 감염된 컴퓨터로 구성되었다고 추정했습니다.

메가 D가 다운되었습니다.

시만텍 전자 메일 보안 자회사 인 MessageLabs는 메가 D가 " 전년도 (find.pcworld.com/64165)의 "상위 10 개의 스팸 봇"에 포함되었습니다. 봇넷의 출력은 날마다 변동했지만 11 월 1 일에 메가 D는 MessageLab에서 본 모든 스팸의 11.8 %를 차지했습니다.

3 일 후 FireEye의 조치로 메가 D의 인터넷 스팸 시장 점유율이 0.1 미만으로 감소했습니다 FireEye는 감염된 시스템의 IP 주소를 추적하고 영향을받는 ISP 및 기업에 연락하는 자원 봉사 그룹 인 ShadowServer.org에 안티 메가 D 노력을 넘겨 줄 계획입니다. 비즈니스 네트워크 또는 ISP 관리자는 무료 알림 서비스에 등록 할 수 있습니다.

전투 계속

Mushtaq은 FireEye가 메가 D에 대한 성공적인 공격이 멀웨어와의 전쟁에서 단 하나의 전투 였음을 인식합니다. Mega-D의 배후에있는 범죄자들은 ​​봇넷을 되살리려 고 시도 할 수도 있고, 버려서 새로운 것을 만들 수도 있습니다. 그러나 다른 봇넷은 계속 번창하고 있습니다. "

"FireEye는 큰 승리를 거뒀습니다. "라고 SecureWorks의 멀웨어 연구 책임자 인 Joe Stewart는 말합니다. "문제는 그것이 장기적인 영향을 미칠 것인가?"

파이어 아이와 마찬가지로 스튜어트의 보안 회사는 클라이언트 네트워크를 봇넷 및 기타 위협으로부터 보호한다. Mushtaq과 마찬가지로 Stewart는 범죄 기업 퇴치를 위해 수년을 보냈습니다. 2009 년 Stewart는 봇넷을 수익을 내지 못하게 만드는 데 전념하는 자원 봉사자 그룹을 만드는 제안을 설명했습니다. 그러나 시간이 많이 걸리는 자원 봉사 활동을 할 수있는 보안 전문가는 거의 없습니다.

스튜어트는 "매일 매일하는 데는 시간과 자원과 돈이 필요합니다. 다양한 봇넷과 범죄 조직에서의 기타 레이더 공격이 발생했다고 그는 덧붙여 말했다. 그러나 이러한 놀라운 노력은 "스패머의 비즈니스 모델을 중단시키지 않을 것"이라고 말했다.

Mushtaq, Stewart 및 기타 보안 전문가는 동의한다. 연방 법 집행 기관은 풀 타임 협조 노력을 기울여야합니다. 스튜어트에 따르면, 규제 당국은 그 일을 실현하기위한 심각한 계획을 세우기 시작하지 않았지만, Mushtaye는 FireEye가 국내 및 국제 법 집행 기관과 그 방법을 공유하고 있다고 말하면서 그는 희망적이라고 말했다. 그 때까지 "우리는 확실히 이것을 다시하기를 원한다 "고 Mushtaq은 말한다. "우리는 자지 않는 나쁜 사람들을 보여주고 싶다."

1. 사고와 DNS 공격 코드에 의해 게시 된 주요 인터넷 결함에 대한 세부 정보 : 컴퓨터 보안 회사가 실수로 인터넷 DNS (도메인 이름 시스템)의 주요 결함에 대한 세부 정보를 온라인에 게시 한 후 공격 코드 순찰했다. Matasano Security의 잘못된 게시물은 신속하게 제거되었지만, 우리 모두가 알다시피 인터넷에서 어떤 일이 발생하면 실제로 제거 할 수는 없습니다. 물론 2 일 후 공격 코드가 게시되었습니다. 그리고 이제 우리 모두는 기다림을해야합니다. 결함이 예상되는 공격이 어떤 사람들이 믿는 것처럼 비극적 일지, 아니면 그렇게 큰 것이 아닌지 다른 사람들이 생각하는 것처럼 기다려야합니다.

1. 사고와 DNS 공격 코드에 의해 게시 된 주요 인터넷 결함에 대한 세부 정보 : 컴퓨터 보안 회사가 실수로 인터넷 DNS (도메인 이름 시스템)의 주요 결함에 대한 세부 정보를 온라인에 게시 한 후 공격 코드 순찰했다. Matasano Security의 잘못된 게시물은 신속하게 제거되었지만, 우리 모두가 알다시피 인터넷에서 어떤 일이 발생하면 실제로 제거 할 수는 없습니다. 물론 2 일 후 공격 코드가 게시되었습니다. 그리고 이제 우리 모두는 기다림을해야합니다. 결함이 예상되는 공격이 어떤 사람들이 믿는 것처럼 비극적 일지, 아니면 그렇게 큰 것이 아닌지 다른 사람들이 생각하는 것처럼 기다려야합니다.

2. 샌프란시스코 DA는 도시의 네트워크 암호를 공개하고 샌프란시스코의 시장은 네트워크에 열쇠를 되 찾는다 : 샌프란시스코 지방 검사는 테리 차일 즈 (Terry Childs)의 경우 5 백만 달러의 보석금을 삭감하기위한 국방부의 요청에 따라 법원의 동의를 얻어 공개적으로 사용자 이름을 공개하고 도시 네트워크의 암호. 차일드의 보석금 삭감에 대한 논쟁의 일부? 조사관이 자신의 컴퓨터에 저장 한 사용자 이름과 암호는 사용되는 "임박한 위험"을 나타냅니다. 그래 그리고 나서. 차일 즈는 패스워드를 포기하기를 거부 한 도시 네트워크 관리자로 컴퓨터를 조작하여 도시 광역 네트워크 인질로 잡고있다. 샌프란시스코 시장 개빈 뉴섬 (Gavin Newsom) 시장은 비밀스럽게 교도소에서 차일 즈 (Childs)를 만났고 월요일에 패스워드를 넘겨 받도록했다.

Palm의 새로운 CEO는 이미 많은 사람들이 암묵적으로 인정한 바에 따르면 : Palm은 스마트 폰 경주에서 1 위를 차지하지 않을 것입니다. << 914> Palm의 새로운 CEO 인 Jon Rubenstein은 회사의 4/4 분기 수입에 대해 논의하기 위해 목요일에 전화를 걸어 "우리는 서로 번성 할 필요가 없다"고 말하면서 이미 많은 사람들이 의심하는 것을 암묵적으로 시인했다. 스마트 폰 경주에서 1 위를 차지했다. "소수의 기업 만이 소프트웨어 및 제품 설계 능력을 보유하고있어 상당한 시장 점유율을 얻을 수있다"고 그는 말했다. "이 분야에서 3-5 명이 출전 할 수있는 여지가있다. 우리는 번성하기 위해 서로 경쟁 할 필요가 없다."

Palm의 새로운 CEO는 이미 많은 사람들이 암묵적으로 인정한 바에 따르면 : Palm은 스마트 폰 경주에서 1 위를 차지하지 않을 것입니다. << 914> Palm의 새로운 CEO 인 Jon Rubenstein은 회사의 4/4 분기 수입에 대해 논의하기 위해 목요일에 전화를 걸어 "우리는 서로 번성 할 필요가 없다"고 말하면서 이미 많은 사람들이 의심하는 것을 암묵적으로 시인했다. 스마트 폰 경주에서 1 위를 차지했다. "소수의 기업 만이 소프트웨어 및 제품 설계 능력을 보유하고있어 상당한 시장 점유율을 얻을 수있다"고 그는 말했다. "이 분야에서 3-5 명이 출전 할 수있는 여지가있다. 우리는 번성하기 위해 서로 경쟁 할 필요가 없다."

3 대 5, 응? 그래서 레이스에 남기 위해 팜이 이길지를 세어 보자. 애플, RIM, 노키아, 모토로라, 삼성, 에이서, LG 전자, T- 모바일, 소니 에릭슨은 모두 스마트 폰을 제공하거나 그렇게 할 계획을 발표했다.

마이크로 소프트는 유럽 환경청 (EEA)과 협력하여 Bing Maps, Silverlight multimedia 기술 및 Azure 클라우드 플랫폼을 통해 유럽의 특정 지역에 기후 변화가 어떻게 영향을 미치는지 보여줍니다. 유럽의 환경 아틀라스 (European Atlas of Europe)라는 웹 사이트는 토스카나의 와인 재배자 덴마크의 한 도시에서 탄소 (C)가 발생하지 않는 농장을 운영하는 이탈리아의 재생 가능한 에너지를 100 % 사용하는이 지역의 버트 얀센 (Bert Jansen) 젠슨은 "모든 사람들이 이러한 종류의 계획에 대해 알고있는 것은 이상한 일이다"라고 말했다. "마이크로 소프트와 EEA는 Bend the Trend라는 또 다른 웹 사이트를 개설했다. Bend the Trend는 사람들이 최대 45 건의 약속을 고를 수있는 방법에 대해 그들이 선택할 수있는 곳을 선택할 수있는 곳이다. 환경. 인터랙티브 빙지도에 표시되어있는 서약에는 육류

마이크로 소프트는 유럽 환경청 (EEA)과 협력하여 Bing Maps, Silverlight multimedia 기술 및 Azure 클라우드 플랫폼을 통해 유럽의 특정 지역에 기후 변화가 어떻게 영향을 미치는지 보여줍니다. 유럽의 환경 아틀라스 (European Atlas of Europe)라는 웹 사이트는 토스카나의 와인 재배자 덴마크의 한 도시에서 탄소 (C)가 발생하지 않는 농장을 운영하는 이탈리아의 재생 가능한 에너지를 100 % 사용하는이 지역의 버트 얀센 (Bert Jansen) 젠슨은 "모든 사람들이 이러한 종류의 계획에 대해 알고있는 것은 이상한 일이다"라고 말했다. "마이크로 소프트와 EEA는 Bend the Trend라는 또 다른 웹 사이트를 개설했다. Bend the Trend는 사람들이 최대 45 건의 약속을 고를 수있는 방법에 대해 그들이 선택할 수있는 곳을 선택할 수있는 곳이다. 환경. 인터랙티브 빙지도에 표시되어있는 서약에는 육류

응용 프로그램은 본질적으로 숲 연구원 인 Greg Asner가 과학의 카네기 연구소 (Carnegie Institute for Science) 및 Imazon의 Carlos Souza (Amazon 열대 우림 연구소) . 그들의 응용 프로그램은 라틴 아메리카 전역에서 사용되었지만 Google 블로그 게시물에 따르면 위성 이미지에 대한 액세스가 부족하고 컴퓨터 자원이 느려서 분석이 방해 받았다고합니다.