在一个调查可能需要数月甚至数年,回报却很少的世界里,如何衡量猎杀僵尸网络的成功呢?对于像Weafer这样的人来说,这项工作对提高产品质量和帮助客户有着明显的直接影响。但是对于桑托雷利和迪莫来说,回报更加个人化。
桑托雷利说:“就我个人而言,我喜欢那种感觉,当你发现一个罪犯犯了错误时。”“有关IT安全调查的很多内容都是翻遍一万个小石块,看看下面能找到什么。当你发现一个罪犯犯了一个错误,那么作为一个群体,你就会意识到:“我抓住你了。”
桑托雷利说,在漫长的调查过程中,这种感觉一直伴随着他。即使发现这个错误仍然有很多工作要做识别坏人,让他们抓住了,他说,实现6个月或一年的这个时刻将会导致逮捕和起诉不一样。
DiMino指向一个志愿者合作努力今年早些时候Conficker工作组,形成一个装配的安全业内人士试图包含臭名昭著的Conficker蠕虫,作为一个更大的奖励对他来说,和一个很好的例子,可以取得进展的人们一起工作。
他指出,看到几个具有不同优势和目标的不同组织迅速团结在一起,制定行动计划,这是令人惊讶的。英联邦工作组迅速发展,很快就获得了信息安全领域一些最优秀的人员和组织的全球参与。
他说:“我认为,这是一个迹象,表明在有控制任务的情况下,各组织如何合作。”“这是一个非常具有开创性的事件,因为它把很多安全研究机构聚集在一起,并说:“我们这里有一个真正的威胁,我们要怎么做?”
火眼对战Mega-D:为好人准备的
去年11月,加州一家小型安全产品公司的研究人员成功做到了这一点对臭名昭著的垃圾邮件僵尸网络Mega-D或Ozdok造成了严重打击.
FireEye的安全研究员Atif Mushtaq表示,在详细分析了僵尸网络的内部工作后,研究人员决定不再扮演被动角色,而是主动与isp和域名注册商等第三方合作,将其撤下。在一个FireEye网站上的博客文章, Mushtaq详细描述了研究团队如何在多个方向同时工作,以如此快的速度对抗所有的后备机制,以至于机器人牧民都没有机会反击。在我们打印的时候,所有主要的Mega-D指挥和控制服务器都被关闭了。
根据追踪全球垃圾邮件活动的Message Labs Intelligence的跟踪数据,FireEye的努力确实是值得的,因为僵尸网络的活动已经显著下降。根据Message Labs的数据,Mega-D一年多来一直是十大活跃的垃圾邮件机器人之一。如今,Mega-D的“市场份额”已跌至不到一个百分点。Message Labs的官员说,它现在几乎不存在,每天看到的垃圾邮件很少,而不是成千上万。
安全研究人员知道僵尸网络不太可能被彻底消灭。但像Fireeye这样的努力可能会使僵尸网络瘫痪,如果它真的能恢复往日的地位,也需要很长一段时间。迪莫表示,Shadowserver已经与FireEye进行了一些联合研究和合作,他认为这次胜利进一步证明了为什么僵尸网络猎人需要合作。
“他们做得很好,当然也取得了切实的成果。虽然这次撤下的整体效果还没有定论,但这是一个很好的例子,说明了一个精心协调和全面的计划是如何取得成功的。”
这篇文章《僵尸网络猎人》最初是由方案 .