Het Mega-D Botnet

Achtergrond

Mega-D is 10 dagen offline geweest, en heeft in die tijd geen spam verstuurd. Op 25 februari kwam het botnet weer online: http://www.marshal.com/trace/traceitem.asp?article=571

Functionaliteit en positie van de Command & Control Center binnen het botnet

Zombies leggen eerst zelf contact met de C&C. De C&C is één statische computer binnen het netwerk die aan de hand van een lijst met e-mailadressen zogenaamde spam-templates genereert die vervolgens doorgezonden worden aan de zombies. De C&C ontvangt een testbericht op port 25 via SMTP protocol en stuurt de spam-template via port 80 met non-standaard encryptie.

De communicatie (techniek) tussen de "zombie" en bestuurder

Virus installeert zich op de computer. Virus probeert contact te leggen met een website, waarop de C&C bekend is. Als de C&C geïdentificeerd is, probeert het virus via port 80 contact te leggen met de C&C. Na de connectie, probeert het virus een testbericht te sturen naar port 25 van de C&C om de SMTP-communicatie te testen. Als dat succesvol blijkt, stuurt de C&C een spam-template over de geëncodeerde verbinding via port 80.

Nog na te gaan: Commando’s wel via port 25? Met SMTP?

Nadelen:

Computers met een HTTP proxy kunnen niet communiceren met de C&C, aangezien de communicatie is geëncodeerd met een niet-standaard algoritme. Steeds meer providers gooien port 25 dicht vanwege het spamgevaar. Daardoor neemt het draafvlak ervan erg af.

Extra:

Houdt rekening met greylisting en probeert opnieuw te sturen na time-out. Additionally, Ozdok attempts to pattern-match error messages from SMTP servers (in multiple languages); in order to determine the end result status of messages it attempts to send. As a result, it may be effective in helping the bot owner maintain a clean list of email addresses by culling addresses that respond with "no such user" and similar error messages, while keeping addresses that were simply rejected because a particular mail passed a spam score threshold.

Infectiemethoden

Manieren van verspreiding

• (Spam-)Email
• Facebook-gebruikers met een zogenaamde update voor Flash (http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9060819&source=rss_topic85)

Infectie

Op het moment dat het .exe bestand (zoals icf.exe, icf32.exe, cacglivn.exe, guyymgvl.exe en mm27nov.exe) wordt geopend op de computer worden er een aantal dingen geregeld: Er worden bestanden in de windows-map/system32 map gezet en svchost.exe wordt aangepast. De bestanden die worden gemaakt worden verborgen.
Er worden ook aanpassingen gedaan in het windows-register:

“C:\WINDOWS\system32\svchost.exe” = C:\WINDOWS\system32\svchost.exe:*:Enabled:svchost HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ICF “aaaaaaaaa[..truncated..]aaaaaaaaaaa[REG_BINARY, size: 16 bytes]” = [REG_BINARY, size: 16 bytes]
Ook wordt er gezorgd dat als de computer opnieuw opstart, dat er dan een exta "systeemproces" wordt gestart, genaamd "ICF". Als Ozdok wordt gestart wordt er een nieuwe svchost.exe opgestart en de code van ozdok wordt daarin geladen. Daarna zoekt het proces contact met de C&C-server.

Welke soorten aanvallen worden met het botnet gerealiseerd?(evt methode, Frequentie)

• Spam versturen (http://www.marshal.com/trace/traceitem.asp?article=510)

Mogelijk onderzoekbare punten:
 In welke mate zijn de zombies actief bezig voor de hacker..??

Bronnen

• http://www.secureworks.com/research/threats/ozdok/?threat=ozdok Een uitgebreide analyse
• http://asert.arbornetworks.com/2008/02/secureworks-ozdokmega-d-trojan-analysis/ Een analyse
• http://forums.spybot.info/showthread.php?p=161645&highlight=ozdok#post161645 verschillende links