Video: The Active Directory Botnet (Marraskuu 2024)
Iloita! Citadel-bottiverkko on pudonnut! Sen kerran orjuutetut tietokoneet ovat ilmaisia, ja maailma asetetaan oikealle. No, ei aivan, mutta Microsoft ilmoitti eilen tekevänsä yhteistyötä FBI: n ja muiden organisaatioiden kanssa ottaakseen 1 462 tunnettua riippumatonta Citadel-bottiverkkoa offline-tilaan.
Microsoftin johtamalle toiminnalle laskutetaan suurta menestystä. FBI-julkaisussa toimisto kirjoitti osallistuneensa "erillisiin, mutta koordinoituihin toimintoihin", joihin Microsoft ja muut yritykset osallistuivat. "FBI toimitti tietoja ulkomaisille lainvalvontaviranomaisille, jotta he voisivat myös ryhtyä vapaaehtoisiin toimiin Yhdysvaltojen ulkopuolella sijaitsevassa botnet-infrastruktuurissa", kirjoitti toimisto. "FBI hankki ja toimitti myös tuomioistuimen valtuuttamat etsintämääräykset, jotka liittyivät bottiverkkoihin kotimaassa."
Poistaminen
Microsoft aloitti tutkimuksen Citadelista vuonna 2012 ja löysi nopeasti laittoman toiminnan laajan laajuuden. He kirjoittivat lehdistötiedotteessa, että Citadel oli saastuttanut yli viisi miljoonaa tietokonetta 90 maassa, mukaan lukien Yhdysvallat, Eurooppa, Kiina, Intia ja Australia. Microsoft arvioi, että haittaohjelmat olivat vastuussa puolen miljardin dollarin varastamisesta sekä yksityishenkilöiltä että yrityksiltä.
Ensimmäinen askel palvelimien poistamisessa alkoi Yhdysvaltain käräjäoikeudessa Pohjois-Carolinan länsipiirissä, joka valtuutti Microsoftin katkaisemaan yhteydet 1 462 Citadel -bottiverkon ja tartunnan saaneiden tietokoneiden välillä.
"5. kesäkuuta Microsoft takavarikoi tietoja ja todisteita bottiverkoista Yhdysvaltain marshallien saattamana", kirjoitti ohjelmistoyritys. Tähän sisältyi palvelimia New Jerseyssä ja Pennsylvaniassa sijaitsevista tiedonsiirtopalveluista.
CORE Securityn turvallisuusstrategia Ken Pickering kertoi, että tällainen julkisen ja yksityisen sektorin kumppanuus oli hyvä asia. "Yksityisellä sektorilla on tiettyjä taitoja ja kykyjä, jotka eivät ole julkisella sektorilla", hän sanoi.
Pickering jatkoi, että Citadelin purkaminen on hyvä myös Microsoftille. Hän selitti, "nämä ovat heidän tuotteensa hyväksikäyttöä ja vaikuttavat heidän käyttäjäkuntaansa."
Mikä on Citadel
Jos olet SecurityWatchin säännöllinen lukija, olet todennäköisesti nähnyt aiemmin mainitun Citadelin. Se tunnetaan todennäköisesti haitallisesta hyötykuormasta NBC.com-sivuston väärinkäytöksissä, joissa laillisesti ostettu mainos sisälsi haitallista koodia.
NBC-hyökkäyksen aikaan Malwarebyets kertoi PC Mag: lle, että Citadel perustuu Zeus Banking-troijalaiselta. Microsoft julkaisi eilen julkistamisessa, joka koski yritystoiminnan aloittamista, Citadelin avainloukkausominaisuuksia ja sitä, kuinka sitä käytettiin uhrin pankkitilien vaarantamiseen.
"Koska operaattorit käyttivät haittaohjelmia uhrien online-pankkitietojen varastamiseen ja vilpillisten tapahtumien tekemiseen, rahoituspalvelualan johtajat, kuten FS-ISAC, NACHA, ABA ja Agari, tukivat Microsoftin siviilioikeudellista kannetta toimimalla ilmoituksen tekijöinä asiassa", kirjoitti Microsoft.
Citadel on merkittävä monimuotoisuutensa ja helppokäyttöisyytensä vuoksi, ja Symantec kirjoittaa, että sen voi ostaa noin 3 000 dollarilla. Nämä 1 462 aktiivista bottiverkkoa, jotka Microsoft mainitsee, ovat tartunnan saaneiden tietokoneiden verkkoja, jotka ovat toisistaan riippumattomia, mutta kaikilla on sama tai vastaava ohjelmisto. Toivottavasti tämä lähettää viestin muille häiritsisi sitä, että Citadel ei välttämättä ole valittu työkalu.
Vaikka on vaikea määrittää tarkkaa Citadel-bottiverkkojen määrää luonnossa, Pickering oli optimistinen. "Mielestäni he häiritsivät suurta osaa heistä", hän sanoi.
Hän huomautti kuitenkin myös, että monet bottiverkot ovat Yhdysvaltojen ulkopuolella. "Suuri osa bottiverkkoja toimii Ukrainassa ja Venäjällä", sanoi Pickering.
Mitä seuraavaksi
Tärkeä muistaa, että Citadel ei ole kuollut. "Uhan laajuuden ja monimutkaisuuden vuoksi Microsoft ja sen kumppanit eivät odota poistavansa kaikkia bitaattiverkkoja kokonaan Citadelilla", kirjoitti Microsoft. "Tämän toiminnan odotetaan kuitenkin häiritsevän merkittävästi bottiverkkojen toimintaa, mikä tekee verkkorikollisten riskialttiimmasta ja kalliimmasta jatkaa liiketoimintaa ja antaa uhreille mahdollisuuden vapauttaa tietokoneensa haittaohjelmista."
Vaikka palvelimien poistaminen on varmasti turmellut bottiverkkoa, Citadel-bottiverkkoja käyttävien organisaatioiden ja henkilöiden riskien ja kustannusten lisääminen on todennäköisesti arvokkaampaa. Suurin osa verkkorikollisuuksista on numeropeli, joka ansaitsee paljon menestyksiä - joskus pieniä onnistumisia - ansaita rahaa. Kun hyökkäysmenetelmästä tulee liian vaikeaa tai liian kallista, rikolliset pakotetaan innovoimaan tai luopumaan.
Tärkein seuraava askel on Citadel-haittaohjelmien poistaminen tartunnan saaneista tietokoneista, jotta Citadel-bottiverkkoja ei voida enää herätä myöhemmin. "Välittömästi häiriön jälkeen Microsoft käyttää takavarikoinnin aikana kerättyjä uhatietoja toimimaan Internet-palveluntarjoajien ja tietokoneiden hätätilannejoukkojen kanssa maailmanlaajuisesti ilmoittaakseen nopeasti ja tehokkaasti ihmisille, jos heidän tietokoneensa on saanut tartunnan", kirjoitti Microsoft. Jos tiedät jo saaneesi tartunnan, haittaohjelmien poistotyökalut, kuten Editors 'Choice Malwarebytes Anti-Malware 1.70, olisi hyvä ensimmäinen askel tietokoneesi puhdistamiseen.
Vaikka Citadel ei ole oikeastaan kuollut, Microsoft, FBI ja kaikki muut pelaajat huomauttavat nopeasti, että vain yhdessä työskenteleminen oli voitto. Toivottavasti meillä on enemmän hyviä uutisia muista superryhmistä, jotka pyrkivät poistamaan pahat pojat.