Como derrubar uma botnet
O problema dos botnets atingiu níveis de epidemia nos últimos meses, com o contínuo crescimento de botnets de grande escala, além da identificação de redes menores e mais direcionadas em todo o mundo. Porém , os pesquisadores estão tomando medidas para bloquear os botnets, com alguns casos de sucesso notáveis, como mostra a recente ruína do botnet Mega-D.
O Mega-D, também conhecido como Ozdok, é um botnet que esteve em funcionamento por mais de um ano, resultado do trabalho do cavalo de Troia Mega-D, que infecta computadores desde fevereiro de 2008. Em diversos momentos, a rede agregou dezenas de milhares de computadores, sendo responsável pelo envio de uma grande quantidade de spam na Internet; em alguns pontos mais de 30%. Pesquisadores identificaram o botnet no início do ano passado e tinham uma ideia razoável sobre sua estrutura de comando e controle, mas somente na última semana um grupo de pesquisadores da FireEye deu início a uma ação para comprometer o botnet Mega-D.
Os pesquisadores começaram identificando todos os servidores envolvidos na infraestrutura de comando e controle, e trabalhando com os provedores de Internet para desconectá-los. A empresa conseguiu desativar todos, menos quatro servidores de comando e controle, e também deixou seis domínios de comando e controle offline trabalhando com as agências de registro envolvidas. Tudo isso é bastante comum, mas a maioria dos botnets tem mecanismos de backup de suas infraestruturas de comando e controle. O Mega-D não era diferente.
Depois, foi identificada a lista de domínios não usados que o Mega-D registraria em algum momento, caso os domínios atuais fossem desconectados. Assim, os pesquisadores da FireEye trataram de registrar todos os domínios não usados da lista do Mega-D e apontar todos eles para um servidor controlado por ela, mandando efetivamente todo o tráfego para um buraco negro.
Agora, todos esses domínios apontam para o nosso canal. Isso significa que, em vez de se conectar a seus pontos de comando e controle, todos os zumbis Ozdok chegam a esse servidor canalizador. Os dados coletados através dos logs do servidor canalizador serão usados para identificar os computadores vítima e ajudá-los a voltar ao seu estado normal. Até o momento, observamos 264.784 IPs exclusivos se conectando ao nosso servidor em um período de 24 horas. Essa pode ser uma estimativa grosseira do tamanho atual do botnet Mega-D.
Essa etapa extra pode dar aos pesquisadores uma vantagem inicial sobre os controladores do botnet que, provavelmente, irão procurar um novo canal de comunicação com seus bots órfãos. Os bots propriamente ditos não têm qualquer utilidade para os invasores se não for possível controlá-los; assim, provavelmente, é só uma questão de tempo para que eles encontrem uma forma de contornar as barreiras que os pesquisadores da FireEye colocam em seu caminho.