Hãng an ninh bóp ngạt botnet spam lan truyền

Securityfirm chokes sprawling spam botnet

Hếtđời Mega-D

Mega-Dno more

By DanGoodin in San Francisco • Getmore f-rom this author

Posted in Security,10th November 2009 06:02 GMT

Theo:http://www.theregister.co.uk/2009/11/10/fireeye_takes_out_ozdok/

Bài được đưa lênInternet ngày: 10/11/2009

Lờingười dịch: Chiến công của một công ty nhỏ là FireEyeđã đánh sập một mạng botnet lớn thứ 3 thế giới vềtung thư điện tử spam, mạng Mega-D hay còn được gọi làOzdok. Hoan hô FireEye!

Một botnet mà nó đãtừng chịu trách nhiệm đứng thứ 3 theo đánh giá vềspam trên thế giới đã bị hạ gục nhờ các nhà nghiêncứu từ hãng an ninh FireEye.

Sau khi phân tích tỉmỉ mưu đò của botnet khổng lồ này, lần lượt đượcbiết tới như là Mega-D và Ozdok, các nhân viên củaFireEye tuần trước đã tung ra một cuộc chiến chớpnhoáng được phối hợp trên vài tá các kệnh kiểm soátvà điều khiển của mình. Các kênh này đã được sửdụng để gửi các lệnh đánh spam mới cho các quân đoàncác máy tính sống dở chết dở mà chúng tạo nên mạngnày.

Hầu như ngay lậptức, spam đã chấm dứt, theo blog M86 Security. Năm ngoái,hãng an ninh thư điện tử này đã ước tính botnet này đãdẫn dắt nguồn của spam cho tới khi một số các máy chủcủa nó đã bị vô hiệu hóa.

Cú ra đòn của hãngnày là một thông tin tốt lành cho các nhà cung cấp dịchvụ Internet (ISP) mà họ bị ép phải bóp nghẹt dòng thácspam được gửi đi bởi botnet khó chịu này. Nhưng vìnhiều máy chủ thư điện tử đã triển khai các danh sáchđen mà chúng đã lọc các thư gửi từ các địa chỉ IPđược biết để được sử dụng bởi Ozdok, nên nhữngngười sử dụng đầu cuối có thể không lưu ý nhiềuvề một sự thay đổi, Jamie Tomasello, một quản lý cáchoạt động lạm dụng tại hãng chống spam Cloudmark, nói.

Nỗ lực đanh sậpnày là đáng kể vì nó chỉ cho thấy rằng một công tytương đối nhỏ có thể đánh thắng được một mạngvì lợi nhuận mà nó đã nắm các phương tiện đặc biệtkhác thường để đảm bảo nó còn giữ được hoạtđộng. Ozdok đã không chỉ giữ lại một danh sách dàicác tên miền như những kênh kiểm soát và điều hành,mà nó còn đã sử dụng các máy chủ DNS được lậptrình cứng bên trong. Khi tất cả đã sụp, phần mềm củanó đã có khả năng để tạo ra một cách động các tênmiền mới ngay lập tức.

Với việc chặt đầuđược Ozdok, hơn 264,000 địa chỉ IP đã được cho lànằm dưới sự kiểm soát của FireEye, một chỉ số vềsố lượng khổng lồ các máy tính sống dở chết dởđược tin tưởng thuộc về botnet này. Các nhà nghiên cứucủa FireEye lên kế hoạch làm việc với các ISP để xácđịnh các chủ nhân của các bot mồ côi sao cho những chủnhân của chúng có thể dọn dẹp đống tùm lum này.

Các nhà nghiên cứucủa FireEye nói chìa khóa cho việc phá hủy cái vòng khổnglồ này là một nỗ lực phối hợp mà nó đã làm việctheo nhiều hướng cùng một lúc sao cho những kẻ cầm đầubot này không có cơ hội để phản ứng lại. “Hóa ralà, dù có bao nhiều cơ chế phục hồi lại tồn tại,thì nếu chúng tất cả không được triển khai phù hợp,thì botnet là có thể bị tổn thương được”, họ đãviết.

Abotnet that was once responsible for an estimated third of theworld's spam has been knocked out of commission thanks to researchersf-rom security firm FireEye.

Aftercarefullyanalyzing the machinations of the massive botnet, al-ternatelyknown as Mega-D and Ozdok, the FireEye employees last week launched acoordinatedblitz on dozens of its command and control channels. The channelswere used to send new spamming instructions to the legions of zombiemachines that make up the network.

Almostimmediately, the spam stopped, accordingto M86 Security blog. Last year, the email security firmestimated the botnet was the leading source of spam until some of itsservers were disabled.

Thebody blow is good news to ISPs that are forced to choke on thetorrent of spam sent out by the pesky botnet. But because many emailservers already deployed blacklists that filtered emails sent f-rom IPaddresses known to be used by Ozdok, end users may not notice much ofa change, said Jamie Tomasello, an abuse operations manager atantispam firm Cloudmark.

Thetakedown effort is significant because it shows that a relativelysmall company can defeat a for-profit network that took extraordinarymeasures to ensure it remained operational. Not only did Ozdokreserve a long list of domain names as command and control channels,it also used hard-coded DNS servers. When all else failed, itssoftware was able to dynamically generate new domain names on thefly.

Withhead chopped off of Ozdok, more than 264,000 IP addresses were foundreporting to sinkholes under FireEye's control, an indication of themassive number of zombies believed to have belonged to the botnet.FireEye researchers plan to work with the ISPs to identify the ownersof the orphaned bots so their owners can clean up the mess.

FireEyeresearchers said the key to dismantling the giant ring was acoordinated effort that worked in multiple directions all at once sothat bot herders didn't have a chance to counteract. "As itturns out, no matter how many fallback mechanisms are in place, ifthey aren't all implemented properly, the botnet is vulnerable,"they wrote. ®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com