DIY botnet Detection: teknikker og udfordringer
Botnets har eksisteret i over to årtier, og med fremkomsten af tingenes Internet (IoT) har de spredt sig yderligere til enheder, som ingen forestillede sig, at de ville: routere, mobile enheder og endda Brødristere.
nogle botnet er legioner af bot-soldater, der venter på en kommando til at angribe en målserver, generelt for at overvælde serveren med et distribueret denial-of-service (DDoS) angreb. Andre botnets målrette specifikke enheder ved at stjæle adgangskoder eller minedrift cryptocurrency. Cryptocurrency minedrift har især været en dramatisk voksende trussel for organisationer for nylig, med botnets som Coinhive og CryptoLoot, der gør det muligt for cyberkriminelle at tjene så meget som $100 millioner om året på bekostning af ofrenes computerkraft. Smominru, blandt de største cryptocurrency-minedrift botnets, har inficeret over en halv million maskiner ved hjælp af den berygtede EternalBlue udnytte lækket fra NSA.
for at forhindre botnetinfektioner skal organisationer være i stand til at opdage dem. Men botnet detektion er ikke let. Lad os undersøge nogle af de bedste teknikker og udfordringer i botnet detection.
metoder til Botnet detektion
så hvad er et botnet? Kort sagt, det er en klynge af bots — kompromitterede computere og enheder — der udfører kommandoer givet af botnet-ejeren. Normalt vil botnet-ejeren dedikere en kommando-og kontrolserver (C2), en kompromitteret server til kommunikation med bots, normalt via Internet Relay Chat-kommandoer. Botnet-ejeren bruger C2-serveren til at bestille botnets til at udføre angreb, hvad enten det er DDoS-angreb, datatyveri, identitetstyveri eller en anden type angreb. Således er rygepistolen, der peger på et botnet, dens C2-server.
Desværre er det normalt ikke en simpel opgave at finde C2. Mange botnet-kommandoer dukker op fra flere servere eller tager skjulte former, maskerer de ondsindede kommandoer som ufarlig aktivitet såsom Tor-netværkstrafik, social medietrafik, trafik mellem peer-to-peer-tjenester eller domænegenerationsalgoritmer. Yderligere komplicerende forhold er kommandoerne ofte meget subtile, hvilket gør det vanskeligt at opdage eventuelle uregelmæssigheder.
en metode til at forsøge at opdage C2s er at nedbryde og analysere ondsindet kode. Organisationer kan forsøge at adskille den kompilerede kode, hvorfra de undertiden kan identificere rodkilden til botnets kommandoer. Da botnet-skabere og administratorer i stigende grad bruger integreret kryptering, er denne teknik mindre og mindre effektiv.
generelt kræver C2-detektion synlighed i kommunikationen mellem en C2-server og dens bots, men kun sikkerhedsløsninger, der specifikt beskytter C2-servere, har denne form for synlighed. En mere almindelig tilgang til detektering af botnet er at spore og analysere selve angrebene — i hvilke standard sikkerhedsløsninger giver synlighed — og bestemme, hvilke angreb der stammer fra botnet.
når man ser på udnyttelsesforsøg, er der et par mulige indikationer for et botnet. For eksempel, hvis de samme IP-adresser angriber de samme steder på samme tid ved hjælp af de samme nyttelast og angrebsmønstre, er der en god chance for, at de er en del af et botnet. Dette gælder især, hvis mange IP ‘ er og steder er involveret. Et fremtrædende eksempel er et DDoS-forsøg fra et botnet på en internettjeneste.
falske positive
sandsynligheden for falske positive gør botnet-detektion særlig vanskelig. Nogle nyttelast bruges i vid udstrækning, hvilket øger sandsynligheden for, at et tilfældigt forekommende mønster udløser en falsk positiv. Derudover kan angribere ændre deres IP-adresser ved hjælp af et virtuelt privat netværk eller en fuldmagt, hvilket får det til at se ud som om mange angribere eller bots er involveret, når der virkelig kun er en.
Hackingværktøjer og sårbarhedsscannere opfører sig også på samme måde nok til botnets til ofte at returnere falske positive. Dette skyldes, at hackingværktøjer genererer de samme nyttelast og angrebsmønstre, og mange hackere bruger dem, uanset farven på deres hat. Og, hvis forskellige spillere tilfældigvis gennemfører en penetrationstest på de samme steder på samme tid, det kan se ud som et botnetangreb.
organisationer kan ofte identificere falske positiver ved at Google nyttelasten og henvise til enhver dokumenteret information omkring den. En anden teknik indebærer blot at indsamle alle oplysninger, der er let tilgængelige inden for den rå anmodning i sikkerhedsløsningen. For eksempel, hvis en sårbarhedsscanner har skylden, vil de fleste sikkerhedsløsninger afsløre det ved at identificere det, især hvis det er en af de mere almindelige sårbarhedsscannere.
falske positiver er en uundgåelig udfordring i botnet-detektion i betragtning af den enorme mængde potentielle hændelser; nyere forskning viser, at 27% af IT-fagfolk modtager over 1 million sikkerhedsadvarsler hver dag, mens 55% modtager mere end 10.000. Men med de rigtige teknikker og flid, organisationer kan skelne den harmløse trafik fra den ondsindede, botnet-drevet trafik.
relateret indhold:
- 7 Ikke-Computer Hacks, der aldrig skulle ske
- nyt Botnet viser udviklingen af Tech og kriminel Kultur
- Paul visit om DNS-sikkerhed & Botnet fjernelser (video)
- Anti-Botnet Guide sigter mod at Tackle automatiserede trusler
Deltag i Dark Reading LIVE til to cybersikkerhedstopmøder på Interop 2019. Lær af branchens mest vidende IT-sikkerhedseksperter. Tjek Interop-dagsordenen her.