DIY Botnet Detection: Techniques and Challenges

DIY Botnet Detection: Techniques and Challenges

botnetit ovat olleet olemassa jo yli kahden vuosikymmenen ajan, ja esineiden internetin (IoT) nousun myötä ne ovat levinneet edelleen laitteisiin, joita kukaan ei osannut kuvitellakaan: reitittimiin, mobiililaitteisiin ja jopa leivänpaahtimiin.

jotkut botnetit ovat legioonia bottisotilaita, jotka odottavat käskyä hyökätä kohdepalvelimeen, yleensä hukuttaakseen palvelimen hajautetulla palvelunestohyökkäyksellä (DDoS). Muut botnetit kohdistuvat tiettyihin laitteisiin varastamalla salasanoja tai louhimalla kryptovaluuttaa. Kryptovaluuttojen louhinta, erityisesti, on ollut dramaattisesti kasvava uhka organisaatioille viime aikoina, bottiverkkojen kuten Coinhive ja CryptoLoot mahdollistaa tietoverkkorikollisten tehdä jopa $100 miljoonaa vuodessa kustannuksella uhrien laskentatehoa. Suurimpiin kryptovaluuttoja louhiviin bottiverkkoihin kuuluva Smominru on tartuttanut yli puoli miljoonaa konetta NSA: lta vuodetulla pahamaineisella EternalBlue-hyväksikäytöllä.

botnet-tartuntojen ehkäisemiseksi organisaatioiden on kyettävä havaitsemaan ne. Bottiverkkojen havaitseminen ei kuitenkaan ole helppoa. Katsotaanpa tutkia joitakin alkuun tekniikoita ja haasteita botnet tunnistus.

bottiverkon havaitsemismenetelmät
niin, mikä on bottiverkko? Yksinkertaisesti sanottuna, se on klusterin botit-vaarantuneet tietokoneet ja laitteet — jotka suorittavat antamia komentoja botnet omistaja. Yleensä botnetin omistaja omistaa komento-ja ohjauspalvelimen (C2), joka on vaarantunut palvelin kommunikoimaan bottien kanssa, yleensä Internet Relay Chat-komentojen kautta. Bottiverkon omistaja käyttää C2-palvelinta käskemään bottiverkkoja suorittamaan hyökkäyksiä, oli kyseessä sitten DDoS-hyökkäykset, tietovarkaus, identiteettivarkaus tai muunlainen hyökkäys. Bottiverkkoon osoittava savuava ase on siis sen C2-palvelin.

valitettavasti C2: n löytäminen ei yleensä ole yksinkertainen tehtävä. Monet botnet-komennot syntyvät useilta palvelimilta tai ottavat piilomuotoja, peittäen haitalliset komennot vaarattomaksi toiminnaksi, kuten Tor-verkkoliikenteeksi, sosiaalisen median liikenteeksi, vertaispalveluiden väliseksi liikenteeksi tai verkkotunnusten generointialgoritmeiksi. Edelleen monimutkaistaa asioita, komennot ovat usein hyvin hienovarainen, jolloin on vaikea havaita mitään poikkeamia.

yksi tapa yrittää havaita C2S: ää on haittaohjelmakoodin hajottaminen ja analysointi. Organisaatiot voivat yrittää purkaa koottua koodia, josta ne voivat joskus tunnistaa bottiverkon komentojen juurilähteen. Koska botnetin luojat ja ylläpitäjät käyttävät kuitenkin yhä enemmän integroitua salausta, tämä tekniikka on yhä tehottomampi.

yleensä C2-tunnistus edellyttää näkyvyyttä C2-palvelimen ja sen bottien väliseen viestintään, mutta vain C2-palvelimia erityisesti suojaavilla tietoturvaratkaisuilla on tällainen näkyvyys. Yleisempi lähestymistapa bottiverkkojen havaitsemiseen on itse hyökkäysten seuranta ja analysointi — mihin standarditurvaratkaisut tuovat näkyvyyttä — sekä sen määrittäminen, mitkä hyökkäykset ovat peräisin bottiverkoista.

kun tarkastellaan hyväksikäyttöyrityksiä, on olemassa muutamia mahdollisia viitteitä bottiverkkoon. Jos esimerkiksi samat IP-osoitteet hyökkäävät samoille sivustoille samaan aikaan käyttäen samoja hyötykuormia ja hyökkäyskuvioita, on hyvin mahdollista, että ne ovat osa bottiverkkoa. Tämä pitää erityisesti paikkansa, jos mukana on useita IP-osoitteita ja sivustoja. Yksi merkittävä esimerkki on palvelunestohyökkäyksen yritys bottiverkon verkkopalvelussa.

vääriä positiivisia
väärien positiivien todennäköisyys tekee bottiverkon havaitsemisesta erityisen vaikeaa. Joitakin hyötykuormia käytetään laajalti, mikä nostaa todennäköisyyttä, että satunnaisesti esiintyvä kuvio laukaisee väärän positiivisen. Lisäksi hyökkääjät voivat muuttaa IP-osoitteitaan käyttämällä virtuaalista yksityistä verkkoa tai välityspalvelinta, jolloin näyttää siltä, että mukana on monta hyökkääjää tai bottia, kun niitä on oikeasti vain yksi.

hakkerointityökalut ja haavoittuvuuden Skannerit käyttäytyvät myös sen verran samalla tavalla kuin botnetit, että ne usein palauttavat vääriä positiivisia. Tämä johtuu siitä, että hakkerointityökalut tuottavat samat hyötykuormat ja hyökkäyskuviot, ja monet hakkerit käyttävät niitä hattunsa väristä riippumatta. Ja, jos eri pelaajat sattuvat suorittamaan tunkeutumistestin samoilla sivustoilla samaan aikaan, se voi näyttää botnet-hyökkäykseltä.

organisaatiot voivat usein tunnistaa vääriä positiivisia googlaamalla hyötykuorman ja viittaamalla sen ympärillä oleviin dokumentoituihin tietoihin. Toinen tekniikka liittyy yksinkertaisesti jälkikorjuuta kaikki tiedot helposti saatavilla sisällä raaka pyynnön turvallisuus ratkaisu. Esimerkiksi, jos haavoittuvuus skanneri on syyllinen, useimmat tietoturvaratkaisut paljastavat, että tunnistamalla se, varsinkin jos se on yksi yleisempiä haavoittuvuus Skannerit.

vääriä positiivisia ovat väistämätön haaste botnet havaitseminen ottaen huomioon valtava määrä mahdollisia vaaratilanteita; viimeaikaiset tutkimukset osoittavat, että 27% IT-ammattilaiset saavat yli 1 miljoonaa turvahälytystä päivittäin, kun taas 55% saavat yli 10,000. Mutta oikeilla tekniikoilla ja huolellisuudella organisaatiot voivat erottaa haitattoman liikenteen haitallisesta, bottiverkon ohjaamasta liikenteestä.

aiheeseen liittyvä sisältö:

• 7 Non-Computer Hacks That Should Never Happen
• New Botnet Shows Evolution of Tech and Criminal Culture
• Paul Vixie On DNS Security & Botnet Takedowns (video)
• Anti-Botnet Guide Aims to Tackle Automated Threats