Video: Bots and Botnets - CompTIA Security+ SY0-501 - 1.1 (Oktober 2024)
Glæd dig! Citadel botnet er faldet! De computere, der engang er slaveret i, er gratis, og verden vil blive indstillet rigtigt. Nå, ikke helt, men Microsoft meddelte i går, at de havde samarbejdet med FBI og andre organisationer for at tage 1.462 kendte, uafhængige Citadel-botnets offline.
Handlingen, ledet af Microsoft, faktureres som en stor succes. I en FBI-udgivelse skrev bureauet, at de deltog "i separate, men koordinerede operationer", der involverede Microsoft og andre virksomheder. "FBI gav oplysninger til udenlandske retshåndhævende kolleger, så de også kunne gribe frivilligt ind på botnetinfrastruktur beliggende uden for De Forenede Stater, " skrev bureauet. "FBI opnåede og betjente også domstolsautoriserede søgningsoptioner indenlandske relateret til botnet."
Takedown
Microsoft begyndte deres undersøgelse af Citadel i 2012 og opdagede hurtigt det enorme omfang af den ulovlige operation. De skrev i en pressemeddelelse, at Citadel havde inficeret over fem millioner computere i 90 lande, herunder USA, Europa, Kina, Indien og Australien. Microsoft vurderer, at malware var ansvarlig for at stjæle en halv milliard dollars fra både enkeltpersoner og virksomheder.
Det første skridt i at fjerne serverne begyndte i US District Court for Western District of North Carolina, som bemyndigede Microsoft til at afbryde kommunikationen mellem 1.462 Citadel-botnet og de inficerede computere.
"Den 5. juni beslaglagde Microsoft, eskorteret af US Marshals, data og bevis fra botnets, " skrev softwarevirksomheden. Dette inkluderede servere fra datahostingsfaciliteter i New Jersey og Pennsylvania.
Ken Pickering, sikkerhedsstrateg i CORE Security, sagde, at denne form for offentlig-privat partnerskab var en god ting. "Der er visse færdigheder og talenter i den private sektor, der ikke er i den offentlige sektor, " sagde han.
Pickering fortsatte med at sige, at det at nedlægge Citadel også er godt for Microsoft. Han forklarede, "dette er udnyttelse af deres produkt og påvirker deres brugerbase."
Hvad er Citadel
Hvis du er en regelmæssig læser af SecurityWatch, har du sandsynligvis set Citadel nævnt før. Det er sandsynligvis bedst kendt for at være den ondsindede nyttelast i NBC.com's malvertiserende debakel, hvor en lovligt købt annonce indeholdt ondsindet kode.
På tidspunktet for NBC-angrebet fortalte Malwarebyets PC Mag, at Citadel er baseret på Zeus Banking Trojan. I gårsdagens frigivelse om nedtagelsen kaldte Microsoft specifikt Citadels Keylogging-kapaciteter, og hvordan det blev brugt til at kompromittere offerets bankkonti.
"Fordi operatørerne brugte malware til at stjæle ofrenes online bankoplysninger og foretage svigagtige transaktioner, støttede ledere af finansielle tjenester, herunder FS-ISAC, NACHA, ABA og Agari Microsofts civile retssag ved at tjene som erklærere i sagen, " skrev Microsoft.
Citadel er bemærkelsesværdig for sin mangfoldighed og lette installation, og Symantec skriver, at det kan købes for omkring $ 3.000. Disse 1.462 aktive botnet, der er nævnt af Microsoft, er netværk af inficerede computere uafhængige af hinanden, men alle kører den samme - eller lignende - software. Forhåbentlig vil dette sende en besked til andre ville være forstyrrende over, at Citadel muligvis ikke er det valgte værktøj.
Selvom det er vanskeligt at bestemme det nøjagtige antal Citadel-botnet i naturen, var Pickering optimistisk. ”Jeg tror, de forstyrrede en stor del af dem, ” sagde han.
Han bemærkede imidlertid også, at mange botnets er uden for USA. "En stor del af botnets fungerer i Ukraine og Rusland, " sagde Pickering.
Hvad er det næste
Den vigtige ting at huske er, at Citadel ikke er død. "På grund af truslenes størrelse og kompleksitet forventer Microsoft og dets partnere ikke fuldt ud at eliminere alle botnets ved hjælp af Citadel, " skrev Microsoft. "Det forventes imidlertid, at denne handling vil forstyrre botnets drift markant, hvilket gør det mere risikabelt og dyrere for cyberkriminelle at fortsætte med at gøre forretning og give ofrene mulighed for at befri deres computere fra malware."
Mens nedtagelse af serverne helt sikkert har ødelagt botnet, er det sandsynligvis mere værdifuldt at øge risikoen og omkostningerne for organisationer og enkeltpersoner, der kører Citadel-botnets. Mest cyberkriminalitet er et talespil, der er afhængig af mange succeser - nogle gange små succeser - for at tjene penge. Når en angrebsmetode bliver for vanskelig eller for dyr, tvinges kriminelle til at innovere eller give op.
Det vigtigste næste trin er at fjerne Citadel malware fra inficerede computere, så Citadel botnets ikke kan genopstå senere. "Umiddelbart efter forstyrrelsen vil Microsoft bruge den trusselsinformation, der blev indsamlet under beslaglæggelsen, til at arbejde med internetudbydere og computer-beredskabsteam over hele verden for hurtigt og effektivt at underrette folk, hvis deres computer er inficeret, " skrev Microsoft. Hvis du allerede ved, at du er blevet inficeret, ville værktøjer til fjernelse af malware som vores Editors 'Choice Malwarebytes Anti-Malware 1.70 være et godt første skridt til rengøring af din computer.
Selvom Citadel ikke rigtig er død, er Microsoft, FBI og alle de andre spillere hurtige til at påpege, at bare at arbejde sammen var en sejr. Forhåbentlig har vi flere gode nyhedshistorier om andre supergrupper, der arbejder for at fjerne de onde.
