KASPERSKY Lab, Microsoft and Kyrus Tech telah berhasil bekerja sama dalam mematikan botnet Kelihos, yang dideteksi oleh Kaspersky Lab bernama Hlux. Kelihos digunakan untuk mengirimkan miliaran pesan spam, mencuri data pribadi, melakukan serangan DDos dan banyak kejahatan lainnya, menggunakan kurang lebih 40,000 komputer. Microsoft juga telah mengambil tindakan hukum terhadap 24 orang yang berhubungan dengan infrastruktur di belakang botnet dalam kasus perdata yang memungkinkan penutupan domain yang digunakan untuk komando dan kontrol botnet. Tindakan hukum yang diambil Microsoft termasuk deklarasi yang diajukan ke pengadilan yang mana kontribusi dibuat oleh Kaspersky Lab,
serta deklarasi langsung dari Kyrus Tech yang memberikan informasi dan barang bukti mengenai botnet Kelihos.
Kaspersky Lab berperan penting dalam penutupan botnet, melacak sejak awal tahun 2011, ketika mulai bekerja sama dengan Microsoft menangani Kelihos, termasuk berbagi sistem pelacakan botnet secara live dengan perusahaan AS. Kaspersky Lab juga memastikan bahwa botnet tersebut tidak dapat lagi dikendalikan dan menjaganya tetap demikian.
Para ahli Kaspersky Lab melakukan 'reversed-engineered' pada kode yang digunakan dalam bot, membajak protokol komunikasi, menemukan kelemahan dalam infrastruktur peer-to-peer, dan mengembangkan alat yang sesuai untuk mengatasi hal tersebut. Karena domain yang digugat digunakan dalam botnet sudah ditutup melalui perintah pengadilan Microsoft, Kaspersky Lab telah melakukan 'sinkholing' botnet, salah satu komputernya telah masuk ke dalam komunikasi internal botnet untuk mengontrolnya.
Mengakui keterlibatan aktif Kaspersky Lab dalam mematikan botnet, Richard Boscovich, pengacara senior bersama dengan Microsoft Digital Crimes Unit, mengatakan, Kaspersky Lab memainkan peran penting dalam operasi ini dengan menyediakan wawasan yang unik dan mendalam berdasarkan analisis teknis mereka dan pemahaman tentang botnet Kelihos.
Tillmann Werner, senior malware analyst of Kaspersky Lab Germany, mengatakan, sejak Kaspersky Lab memulai operasi 'sinkholing' pada 26 September 2011, botnet tersebut sudah tidak beroperasi. "Karena bot tersebut kini berkomunikasi dengan mesin kami, 'data mining' dapat dilakukan untuk melacak infeksi masing-masing negara, misalnya. Sejauh ini, Kaspersky Lab telah mendeteksi 61,463 alamat IP yang terinfeksi, dan bekerja dengan masing-masing penyedia layanan internet untuk menginformasikan pemilik jaringan tentang infeksi tersebut," katanya.
Kelihos adalah botnet peer-to-peer. Botnet ini terdiri dari lapisan berbagai jenis node: controller, router dan pekerja. Controller adalah mesin yang diasumsikan dioperasikan oleh kelompok dibelakang botnet. Mereka mendistribusikan perintah ke bot dan mengawasi struktur dinamis jaringan peer-to-peer. Router adalah mesin terinfeksi dengan alamat IP publik. Mereka menjalankan bot untuk mengirimkan spam, mengumpulkan alamat email, melacak informasi pengguna dari lalu lintas jaringan, dll.
Microsoft telah mengumumkan bahwa Pusat Perlindungan Malware (Malware Protection Center) telah menambahkan deteksi untuk malware Kelihos ke Malicious Software Removal Tool. Karena alat ini didistribusikan dengan baik, jumlah infeksi yang telah berhasil dibersihkan adalah signifikan.
Kerja sama antara Kaspersky Lab dan Microsoft telah berlangsung selama beberapa waktu. Kolaborasi terakhir yang terkenal adalah dalam mengidentifikasi worm Stuxnet yang terkenal, yang membajak sistem kontrol industri seperti yang digunakan dalam program nuklir Iran. (Rsv) - g
0 komentar:
Posting Komentar