DK-CERT: Botnet lammet af spam-gigants endeligt

Månedens drastiske fald i mængden af spam skyldtes, at flere botnet blev lammet, da internetudbyderen McColo fik kappet forbindelsen, skriver Shehzad Ahmad fra DK-CERT.

Af chefkonsulent Shehzad Ahmad, UNI•C, leder af DK•CERT

Publiceret d. 28. november 2008 kl. 14.21

Send

Annonce:

ANNONCE:

Læs også:

Firma bag 75 procent af verdens spam afsløret.

Blog fra sikkerhedsfirmaet FireEye om, at Rustock flytter til Rusland.

Blog fra sikkerhedsfirmaet SecureWorks om de botnet, der kørte hos McColo.

Statistik fra MessageLabs.

Den 11. november mistede den amerikanske internetudbyder McColo hovedparten af sin båndbredde til internettet.

Kort tid efter faldt den samlede mængde af spam med op til 60-70 procent, oplyser flere kilder.

Meget tyder altså på, at McColo var ansvarlig for en stor del af den spam, der blev udsendt.

Men de uønskede reklamemails stammede ikke fra udbyderen selv.

Når lukningen alligevel fik så store konsekvenser, skyldes det, at McColo spillede en central rolle for botnet.

Centrale servere
Flere botnet blev nemlig styret fra servere, der befandt sig på McColos net. Det gælder blandt andet botnettene Rustock, Srizbi, Pushdo, Ozdok/Mega-D, Gheg og Warezov.

Et botnet er et netværk af pc'er, som bagmænd kan fjernstyre uden deres ejeres vidende.

Fjernstyringen sker ofte via en eller flere centrale servere, hvorfra der udsendes kommandoer til botnet-pc'erne - for eksempel med besked om, at de skal udsende spam.

Det store fald i spam-mængden skyldes altså sandsynligvis, at botnet-pc'erne ikke længere kunne kommunikere med deres fjernstyringsservere.

Når McColo røg af nettet, skyldes det, at firmaets to internetudbydere, Global Crossing og Hurricane Electric afbrød forbindelsen. Hurricane Electric forklarede det med, at de havde læst om anklager mod McColo for at være involveret i tvivlsomme aktiviteter.

Flyttede til Rusland
McColo kom kortvarigt på nettet igen nogle timer i løbet af den 15. november.

I den periode blev der udsendt opdateringer til botnet-pc'erne på Rustock-botnettet med besked om, at de nu skulle kontakte en fjernstyringsserver i Rusland.

Lukningen af McColo havde en positiv effekt. Men der vil næppe gå længe, før botnetbagmændene har flyttet så stor en del af deres aktiviteter til andre netværk, at de igen kan udsende spam i de samme mængder som før.

De seneste statistikker fra spamfiltre viser da også, at mængden stiger igen.

MessageLabs rapporterer således, at spammængden de senere dage er nået op over 69 procent af alle mails. Det svarer til mængden, før McColo blev lukket.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT's leder, Shehzad Ahmad, opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.