DIY detekce botnetů: techniky a výzvy

DIY detekce botnetů: techniky a výzvy

botnety existují již více než dvě desetiletí a se vzestupem internetu věcí (IoT) se rozšířily dále na zařízení, která si nikdo nepředstavoval: směrovače, mobilní zařízení a dokonce i toustovače.

některé botnety jsou legie bot-vojáků čekajících na příkaz k útoku na cílový server, obecně k zahlcení serveru útokem distribuovaného odmítnutí služby (DDoS). Jiné botnety se zaměřují na konkrétní zařízení krádeží hesel nebo těžbou kryptoměny. Zejména těžba kryptoměn byla v poslední době dramaticky rostoucí hrozbou pro organizace, přičemž botnety jako Coinhive a CryptoLoot umožňují kybernetickým zločincům vydělat až 100 milionů dolarů ročně na úkor výpočetního výkonu obětí. Smominru, mezi největšími botnety pro těžbu kryptoměn, infikoval více než půl milionu strojů využívajících neslavný exploit EternalBlue uniklý z NSA.

aby se zabránilo infekcím botnetů, musí být organizace schopny je detekovat. Detekce botnetu však není snadná. Pojďme prozkoumat některé z nejlepších technik a výzev v detekci botnetů.

metody detekce botnetu
takže, co je botnet? Jednoduše řečeno, je to shluk robotů-ohrožených počítačů a zařízení-které provádějí příkazy zadané vlastníkem botnetu. Vlastník botnetu obvykle věnuje příkazový a řídicí server (C2), kompromitovaný server pro komunikaci s roboty, obvykle prostřednictvím příkazů internetového chatu. Vlastník botnetu používá server C2 k objednání botnetů k provádění útoků, ať už jde o útoky DDoS, krádež dat, krádež identity nebo jiný typ útoku. Kouřová zbraň, která ukazuje na botnet, je tedy jeho server C2.

bohužel nalezení C2 není obvykle jednoduchý úkol. Mnoho příkazů botnetu vychází z více serverů nebo má skryté formy, maskování škodlivých příkazů jako neškodné činnosti, jako je síťový provoz Tor, provoz sociálních médií, provoz mezi službami typu peer-to-peer nebo algoritmy generování domén. Dále komplikují záležitosti, příkazy jsou často velmi jemné, což ztěžuje detekci jakýchkoli anomálií.

jednou z metod pro pokus o detekci C2s je rozbití a analýza malwarového kódu. Organizace se mohou pokusit rozebrat kompilovaný kód, ze kterého mohou někdy identifikovat kořenový zdroj příkazů botnetu. Protože však tvůrci a administrátoři botnetu stále více používají integrované šifrování, je tato technika stále méně účinná.

detekce C2 obecně vyžaduje viditelnost komunikace mezi serverem C2 a jeho roboty, ale pouze bezpečnostní řešení, která specificky chrání servery C2, budou mít tento druh viditelnosti. Běžnějším přístupem pro detekci botnetů je sledování a analýza samotných útoků-do kterých standardní bezpečnostní řešení poskytují viditelnost-a určení, které útoky pocházejí z botnetů.

při pohledu na pokusy o zneužití existuje několik možných indikací pro botnet. Pokud například stejné adresy IP útočí na stejné weby a současně používají stejné užitečné zatížení a vzorce útoku, existuje velká šance, že jsou součástí botnetu. To platí zejména v případě, že se jedná o mnoho IP a webů. Jedním z významných příkladů je pokus DDoS botnetem o webovou službu.

falešné pozitivy
pravděpodobnost falešných pozitiv činí detekci botnetu obzvláště obtížnou. Některé užitečné zatížení jsou široce používány, což zvyšuje pravděpodobnost náhodně se vyskytujícího vzoru vyvolávajícího falešně pozitivní. Útočníci mohou navíc změnit své IP adresy pomocí virtuální privátní sítě nebo proxy, takže to vypadá, že se jedná o mnoho útočníků nebo robotů, když je opravdu jen jeden.

hackerské nástroje a skenery zranitelnosti se také chovají dostatečně podobně, aby botnety často vracely falešné pozitivy. Je to proto, že hackerské nástroje generují stejné užitečné zatížení a vzory útoků a mnoho hackerů je používá, bez ohledu na barvu klobouku. A, pokud různí hráči provedou penetrační test na stejných webech současně, může to vypadat jako útok botnetu.

organizace mohou často identifikovat falešné pozitivy Googling užitečného zatížení a odkazovat na všechny zdokumentované informace kolem něj. Další technikou je jednoduše sbírat veškeré informace, které jsou snadno dostupné v rámci požadavku raw v bezpečnostním řešení. Pokud je například na vině skener zranitelnosti, většina bezpečnostních řešení to odhalí identifikací, zejména pokud je to jeden z běžnějších skenerů zranitelnosti.

falešné pozitivy jsou nevyhnutelnou výzvou při detekci botnetů vzhledem k obrovskému množství potenciálních incidentů; nedávný výzkum ukazuje, že 27% IT profesionálů dostává každý den více než 1 milion bezpečnostních upozornění, zatímco 55% dostává více než 10 000. Ale se správnými technikami a pečlivostí mohou organizace rozeznat neškodný provoz od škodlivého provozu řízeného botnetem.

související obsah:

• 7 Non-počítačové hacky, které by se nikdy nemělo stát
• nový Botnet ukazuje vývoj Tech a kriminální kultury
• Paul Vixie na zabezpečení DNS & botnet Takedowns (video)
• Anti-Botnet Guide si klade za cíl řešit automatizované hrozby