Là botnet Waledac khét tiếng ra khỏi hình ảnh hay không?

Microsoft đã đưa ra một số tuyên bố về botnet Waledac mâu thuẫn với những gì các nhà nghiên cứu botnet cảm thấy là thực tế. Hãy thử và sắp xếp nó ra.

-------------------------------------------------- -------------------------------------------------- ------------------------

Tiêu đề chính thức của Blog Microsoft đọc Cracking Down trên Botnet. Trong bài đăng, TJ Campana, Chuyên gia tư vấn điều tra của Microsoft Public sector Services trình bày ý định của Microsoft:

"Với sự lan rộng của các botnet gần đây, chúng tôi thậm chí còn sáng tạo và quyết liệt hơn trong cuộc chiến chống lại botnet và tất cả các hình thức của tội phạm mạng. Đó là lý do tại sao tôi tự hào tuyên bố rằng thông qua hành động pháp lý và hợp tác kỹ thuật với các đối tác trong ngành, chúng tôi đã thực hiện triệt phá botnet lớn của Waledac, một 'spambot' lớn và nổi tiếng. "

Điều đó có nghĩa là botnet Waledac đã hết hoa hồng? Hãy xem liệu chúng ta có thể tìm ra nó.

Bắt đầu của Waledac

Câu chuyện này bắt đầu với việc McColo đóng cửa vào tháng 11 năm 2008, trung tâm điều khiển cho một số botnet cao cấp bao gồm cả Storm. Màn trập của McColo đã phá hủy cấu trúc lệnh của các botnet.

Ra khỏi đống đổ nát, phát sinh một botnet mới và mạnh hơn gọi là Waledac. Thời gian và sự tương đồng trong mã phần mềm độc hại khiến các chuyên gia tin rằng Waledac là Storm tái sinh.

Được gỡ xuống bởi Microsoft

Bây giờ, nhanh chóng chuyển tiếp đến tuần trước khi Microsoft quyết định thực hiện một số hành động nghiêm trọng chống lại botnet có tên Waledac. Campana của Microsoft giải thích những gì đã xảy ra:

"Một thẩm phán liên bang đã ban hành lệnh cấm tạm thời cắt đứt 277 tên miền Internet được cho là do bọn tội phạm điều hành như bot Waledac. Hành động này đã nhanh chóng cắt đứt lưu lượng truy cập đến Waledac ở cấp độ '.com' hoặc đăng ký tên miền, cắt đứt kết nối giữa trung tâm chỉ huy và điều khiển của botnet và hầu hết hàng ngàn máy tính zombie trên toàn thế giới. "

Đó chắc chắn là một điều tốt. Một vài vấn đề vẫn còn. Các chuyên gia đang đặt câu hỏi về tính hiệu quả của những gì Microsoft đã làm, cũng như cách Microsoft mô tả botnet.

Waledac xuống hay không

Tôi đã được hỏi điều này rất nhiều. Sự thật mà nói, tôi không chắc Waledac đang đứng ở đâu. Chúng ta hãy nhìn vào những người theo đuổi botnet để kiếm sống. Trước khi tôi bắt đầu, Gregg Keizer của ComputerWorld xứng đáng nhận được rất nhiều tín dụng. Ông đã viết rất nhiều bài viết về Waledac. Khi làm như vậy, anh ta đã có được lời khai chuyên môn mà tôi muốn chia sẻ với bạn.

Các nhà chức trách Botnet cảm thấy gã khổng lồ phần mềm đã làm rất ít nếu có bất cứ điều gì ngăn chặn Waledac, nói rằng các nhà chế tạo bot ngày nay lên kế hoạch cho sự gián đoạn như của Microsoft. Họ chỉ đơn giản là phát triển nhiều phương pháp để điện thoại về nhà. Waledac có ba tùy chọn như vậy:

  • Danh sách tên miền được xác định trước (cuộc tấn công của Microsoft)
  • Một loạt các địa chỉ IP được mã hóa cứng
  • Giao thức ngang hàng

Trong một trong những bài viết của mình, Keizer đã hỏi Joe Stewart, Giám đốc Phân tích phần mềm độc hại tại SecureWorks và một nhà nghiên cứu botnet nổi tiếng, ông nghĩ gì. Đây là câu trả lời của anh ấy:

"Tôi không thấy làm thế nào bạn có thể giết một mạng botnet như thế này. Không có điểm thất bại duy nhất cho các botnet này."

Trong cùng một bài viết, Stewart tiếp tục nói:

"Tôi chưa thấy hoạt động nào của Waledac giảm. Đối với tôi, nó trông giống như kinh doanh như thường lệ."

Terry Zink, tác giả của Blog chống phần mềm độc hại của MSDN có nhiều hồi tưởng hơn:

"Đôi khi bạn không phải hoàn toàn chiến thắng trong trận chiến, bạn chỉ phải làm cho nó quá tốn kém cho bộ điều khiển bot và người gửi thư rác để chuyển tỷ lệ chi phí / lợi ích thành một hướng bất lợi."

Tôi có cảm giác rằng Waledac vẫn đang kinh doanh, ngay cả với sự can thiệp của Microsoft. Sẽ rất thú vị khi đọc các báo cáo tình báo vào tháng tới để xem Waledac phù hợp với hệ thống phân cấp botnet nào.

Microsoft bối rối?

TJ Campana trong blog của Microsoft đã đưa ra một số tuyên bố cần phải xem xét. Ông đã đề cập rằng Waledac là / là một "spambot lớn và nổi tiếng". Tôi nghĩ rằng anh ấy có nghĩa là botnet thư rác.

Dù sao, các chuyên gia không đồng ý. Tôi vừa hoàn thành một bài viết: 10 botnet spam hàng đầu: Mới và được cải thiện. Không ai tính Waledac là một trong 10 botnet thư rác lớn nhất. Điều đó bao gồm MessageLabs, trong Báo cáo tình báo tháng 2 năm 2010 vừa được phát hành của họ.

Hơn nữa trong Blog chính thức của Microsoft, Campana cung cấp các số liệu sau:

"Waledac được ước tính đã lây nhiễm hàng trăm ngàn máy tính trên khắp thế giới và trước hành động này, được cho là có khả năng gửi hơn 1, 5 tỷ email spam mỗi ngày."

Bây giờ chúng ta biết trong sơ đồ lớn của mọi thứ, hàng trăm ngàn bot không đáng kể, đặc biệt, khi bạn xem xét Rustock, botnet. Nó có quyền khoe khoang là botnet lớn nhất, kiểm soát gần hai triệu máy tính bị nhiễm.

Yêu cầu tiếp theo

Những người không quen biết có thể nghĩ rằng 1, 5 tỷ thư rác mỗi ngày là đáng kể. Nhưng, số tiền đó mờ nhạt so với các botnet spam hoạt động khác. Trên thực tế, Waledac đã không bận rộn như vậy theo MessageLabs.

Nếu bạn nhìn vào biểu đồ sau (lịch sự của Báo cáo thông minh MessageLabs), bạn sẽ thấy hai đột biến khác nhau của hoạt động Waledac, một vào tháng 1 năm 2009 và một lần khác trong tháng 1 năm 2010. Waledac đã im lặng trong suốt thời gian còn lại.

Keizer đã hỏi Stewart về khả năng spam của Waledac:

"Waledac không phải là một người gửi thư rác cực kỳ phổ biến. Vì vậy, tôi không nghĩ nó sẽ ảnh hưởng đến thư rác. Cái mà nó dùng để làm là cài đặt phần mềm chống vi-rút lừa đảo."

Nghiên cứu của tôi đồng ý. Hãy xem xét Grum, vua botnet thư rác. Chỉ có 600.000 bot, nó vẫn có thể đẩy ra 40 tỷ thư rác mỗi ngày.

Suy nghĩ cuối cùng

Thời gian sẽ cho biết Waledac có sống sót hay không. Trong lịch sử, nó không thành vấn đề. Một botnet khác sẽ thay thế nó. Đó là, cho đến khi chúng tôi tìm ra cách ngăn chặn máy tính dễ bị khai thác.

© Copyright 2020 | mobilegn.com