Een berucht botnet dat voor ruim 4% van alle spam ter wereld verantwoordelijk is, is door een proactieve botnetjager binnen 24 uur ontmanteld. Normaliter onderzoekt beveiligingsbedrijf FireEye de werking van de verschillende botnets die actief zijn. In het geval van Mega-D / Ozdok besloot men tot actie over te gaan. En dat is een stuk lastiger dan alleen het vinden van de coördinaten en backup mechanismen van de command & controle server die het botnet beheert. "Voor het uit de lucht halen moet iemand het initiatief nemen en een gecombineerde poging doen met partijen zoals internet service providers, registrars, etc.", zegt onderzoeker Atif Mushtaq. "In plaats van een passieve rol, besloot FireEye dit keer om met deze groepen samen te werken." Met als gevolg dat alle grote command & controle servers van het botnet uit de lucht zijn gehaald. "Ongeacht het aantal mechanismen om op terug te vallen, als ze niet goed geïmplementeerd zijn, is het botnet kwetsbaar."
Mogelijk
De domeinen wijzen nu door naar de servers van FireEye. "Dat betekent dat alle Ozdok zombies geen verbinding meer met hun echte C&C maken, maar met onze server." Binnen 24 uur kwamen zo'n 265.000 unieke IP-adressen voorbij. FireEye wil die machines helpen om weer in een "normale staat" terug te keren. "Het lijkt of alles volgens plan ging", merkt Mushtaq op. Volgens spambestrijder Marshal was de actie inderdaad een succes. "Het laatste spambericht van Ozdok was zo'n zeven uur geleden, het lijkt erop dat de actie een impact heeft gehad." Mushtaq besluit dat de operatie laat zien dat het moeilijk, maar mogelijk is om de naarste botnets ter wereld aan te pakken.
bron: security.nl