Video: // Злокодинг #2 // Botnet на основе HiddenLake // (Tháng Chín 2024)
Hân hoan! Botnet Citadel đã sụp đổ! Các máy tính mà nó từng làm nô lệ là miễn phí, và thế giới sẽ được thiết lập đúng. Chà, không hẳn, nhưng Microsoft đã thông báo ngày hôm qua rằng họ đã hợp tác với FBI và các tổ chức khác để đưa 1.462 botnet Citadel độc lập được biết đến ngoại tuyến.
Hành động, dẫn đầu bởi Microsoft, đang được coi là một thành công lớn. Trong một bản phát hành của FBI, văn phòng đã viết rằng họ đã tham gia "vào các hoạt động riêng biệt nhưng phối hợp" liên quan đến Microsoft và các công ty khác. "FBI đã cung cấp thông tin cho các đối tác thực thi pháp luật nước ngoài để họ cũng có thể có hành động tự nguyện đối với cơ sở hạ tầng botnet nằm bên ngoài Hoa Kỳ, " văn phòng viết. "FBI cũng có được và phục vụ các lệnh khám xét được ủy quyền của tòa án liên quan đến các botnet."
Takedown
Microsoft đã bắt đầu cuộc điều tra của họ vào Citadel vào năm 2012 và nhanh chóng phát hiện ra phạm vi hoạt động bất hợp pháp. Họ đã viết trong một thông cáo báo chí rằng Citadel đã lây nhiễm hơn năm triệu máy tính ở 90 quốc gia bao gồm Mỹ, Châu Âu, Trung Quốc, Ấn Độ và Úc. Microsoft ước tính rằng phần mềm độc hại chịu trách nhiệm đánh cắp nửa tỷ đô la từ cả cá nhân và công ty.
Bước đầu tiên trong việc gỡ bỏ các máy chủ đã bắt đầu tại Tòa án Quận Hoa Kỳ cho Quận Tây Bắc Carolina, nơi ủy quyền cho Microsoft cắt đứt liên lạc giữa 1.462 botnet Citadel và các máy tính bị nhiễm.
"Vào ngày 5 tháng 6, Microsoft, được hộ tống bởi Nguyên soái Hoa Kỳ, thu giữ dữ liệu và bằng chứng từ các botnet, " công ty phần mềm viết. Điều này bao gồm các máy chủ từ các cơ sở lưu trữ dữ liệu ở New Jersey và Pennsylvania.
Ken Pickering, chiến lược gia bảo mật của CORE Security, nói rằng loại quan hệ đối tác công tư này là một điều tốt. "Có những kỹ năng và tài năng nhất định trong khu vực tư nhân không thuộc khu vực công", ông nói.
Pickering tiếp tục nói rằng hạ gục Citadel cũng tốt cho Microsoft. Ông giải thích, "đây là những khai thác sản phẩm của họ và đang ảnh hưởng đến cơ sở người dùng của họ."
Thành cổ là gì
Nếu bạn là độc giả thường xuyên của SecurityWatch, có lẽ bạn đã thấy Citadel được đề cập trước đó. Có lẽ nổi tiếng nhất là tải trọng độc hại trong cuộc tranh luận về quảng cáo độc hại của NBC.com, nơi một quảng cáo được mua hợp pháp có chứa mã độc.
Vào thời điểm cuộc tấn công của NBC, Malwaritherets nói với PC Mag rằng Citadel dựa trên Trojan Zeus Banking. Trong bản phát hành ngày hôm qua về việc gỡ xuống, Microsoft đã đặc biệt gọi ra các khả năng keylogging của Citadel và cách nó được sử dụng để thỏa hiệp các tài khoản ngân hàng của nạn nhân.
"Vì các nhà khai thác đã sử dụng phần mềm độc hại để đánh cắp thông tin ngân hàng trực tuyến của nạn nhân và thực hiện các giao dịch gian lận, các nhà lãnh đạo ngành dịch vụ tài chính bao gồm FS-ISAC, NACHA, ABA và Agari đã hỗ trợ vụ kiện dân sự của Microsoft bằng cách làm người khai báo trong vụ kiện", Microsoft viết.
Citadel đáng chú ý vì sự đa dạng và dễ thiết lập, và Symantec viết rằng nó có thể được mua với giá khoảng 3.000 đô la. 1.462 botnet hoạt động này được Microsoft đề cập là các mạng máy tính bị nhiễm độc lập với nhau, nhưng tất cả đều chạy cùng một phần mềm. Hy vọng rằng, điều này sẽ gửi một thông điệp tới người khác sẽ làm phiền rằng Thành cổ có thể không phải là công cụ được lựa chọn.
Mặc dù rất khó để xác định chính xác số lượng botnet Citadel trong tự nhiên, Pickering rất lạc quan. "Tôi nghĩ rằng họ đã phá vỡ một phần lớn trong số họ, " ông nói.
Tuy nhiên, ông cũng lưu ý rằng nhiều botnet nằm ngoài Hoa Kỳ. "Một phần lớn các botnet đang hoạt động ở Ukraine và Nga, " Pickering nói.
Cái gì tiếp theo
Điều quan trọng cần nhớ là Thành cổ không chết. "Do quy mô và mức độ phức tạp của mối đe dọa, Microsoft và các đối tác không mong muốn loại bỏ hoàn toàn tất cả các botnet sử dụng Citadel", Microsoft viết. "Tuy nhiên, dự kiến hành động này sẽ làm gián đoạn đáng kể hoạt động của các botnet, khiến cho tội phạm mạng tiếp tục kinh doanh và tốn kém hơn khi cho phép các nạn nhân giải phóng máy tính của họ khỏi phần mềm độc hại."
Trong khi việc đánh sập các máy chủ chắc chắn đã làm tê liệt mạng botnet, việc tăng rủi ro và chi phí cho các tổ chức và cá nhân chạy botnet Citadel có lẽ có giá trị hơn. Hầu hết tội phạm mạng là một trò chơi số, dựa vào rất nhiều thành công, đôi khi thành công nhỏ, kiếm tiền. Khi một phương thức tấn công trở nên quá khó khăn hoặc quá tốn kém, bọn tội phạm buộc phải đổi mới hoặc từ bỏ.
Bước tiếp theo quan trọng nhất là loại bỏ phần mềm độc hại Citadel khỏi các máy tính bị nhiễm để các botnet Citadel không thể phục hồi sau này. "Ngay sau khi xảy ra sự cố, Microsoft sẽ sử dụng thông tin về mối đe dọa thu thập được trong khi bắt giữ để làm việc với các Nhà cung cấp dịch vụ Internet và Nhóm ứng phó khẩn cấp máy tính trên toàn thế giới để thông báo nhanh chóng và hiệu quả cho mọi người nếu máy tính của họ bị nhiễm", Microsoft viết. Nếu bạn đã biết mình đã bị nhiễm, các công cụ loại bỏ phần mềm độc hại như Malwarebytes Anti-Malware 1.70 của Biên tập viên của chúng tôi sẽ là bước đầu tiên tốt để dọn dẹp máy tính của bạn.
Mặc dù Citadel chưa thực sự chết, Microsoft, FBI và tất cả những người chơi khác đã nhanh chóng chỉ ra rằng chỉ cần làm việc cùng nhau là một chiến thắng. Hy vọng rằng chúng ta sẽ có nhiều câu chuyện tin tức tốt hơn về các nhóm siêu khác hoạt động để hạ gục những kẻ xấu.
