DIY Botnet Detection: Techniques and Challenges

DIY Botnet Detection: Techniques and Challenges

a botnetek már több mint két évtizede léteznek, és a dolgok internetének (IoT) felemelkedésével tovább terjedtek olyan eszközökre, amelyekről senki sem gondolta volna: Routerek, mobil eszközök, sőt Kenyérpirítók.

egyes botnetek botkatonák légiói, akik egy parancsra várnak, hogy megtámadjanak egy célszervert, általában azért, hogy túlterheljék a szervert egy elosztott szolgáltatásmegtagadási (DDoS) támadással. Más botnetek meghatározott eszközöket céloznak meg jelszavak ellopásával vagy kriptovaluta bányászatával. Különösen a kriptovaluta bányászat jelent drámaian növekvő fenyegetést a szervezetek számára az utóbbi időben, mivel az olyan botnetek, mint a Coinhive és a CryptoLoot, lehetővé teszik a kiberbűnözők számára, hogy évente akár 100 millió dollárt keressenek az áldozatok számítási teljesítményének rovására. Smominru, a legnagyobb kriptovaluta-bányászati botnetek között, több mint félmillió gépet fertőzött meg az NSA-ból kiszivárgott hírhedt EternalBlue exploit segítségével.

a botnet fertőzések megelőzése érdekében a szervezeteknek képesnek kell lenniük felismerni őket. De a botnet észlelése nem könnyű. Fedezzük fel a botnet-észlelés legfontosabb technikáit és kihívásait.

botnet észlelési módszerek
Szóval, mi az a botnet? Egyszerűen fogalmazva, ez egy botok csoportja-veszélyeztetett számítógépek és eszközök -, amelyek a botnet tulajdonosa által adott parancsokat hajtják végre. Általában a botnet tulajdonosa egy command and control server-t (C2), egy veszélyeztetett szervert szentel a botokkal való kommunikációhoz, általában az Internet Relay Chat parancsok segítségével. A botnet tulajdonosa a C2 szervert használja botnetek megrendelésére támadások végrehajtására, legyen az DDoS támadás, adatlopás, személyazonosság-lopás vagy más típusú támadás. Így a botnetre mutató dohányzó fegyver a C2 szerver.

sajnos a C2 megtalálása általában nem egyszerű feladat. Sok botnet parancs több szerverről származik, vagy rejtett formákat ölt, elfedve a rosszindulatú parancsokat ártalmatlan tevékenységként, például Tor hálózati forgalom, közösségi média forgalom, peer-to-peer szolgáltatások közötti forgalom, vagy tartománygeneráló algoritmusok. Tovább bonyolítja a dolgokat, a parancsok gyakran nagyon finomak, ami megnehezíti az anomáliák észlelését.

a C2s észlelésének egyik módja a rosszindulatú programok kódjának lebontása és elemzése. A szervezetek megpróbálhatják szétszerelni a lefordított kódot, amelyből néha azonosíthatják a botnet parancsainak gyökérforrását. Mivel azonban a botnet készítői és adminisztrátorai egyre inkább integrált titkosítást használnak, ez a technika egyre kevésbé hatékony.

általában a C2-észleléshez láthatóságra van szükség a C2-kiszolgáló és a botjai közötti kommunikációban, de csak a kifejezetten a C2-kiszolgálókat védő biztonsági megoldások rendelkeznek ilyen láthatósággal. A botnetek észlelésének általánosabb megközelítése a támadások nyomon követése és elemzése-amelyekbe a szabványos biztonsági megoldások biztosítják a láthatóságot-és annak meghatározása, hogy mely támadások származnak botnetekből.

ha megnézzük a kihasználási kísérleteket, van néhány lehetséges jelzés a botnetre. Ha például ugyanazok az IP-címek ugyanazokat a webhelyeket támadják meg, ugyanabban az időben, ugyanazokat a hasznos terheléseket és támadási mintákat használva, akkor jó esély van arra, hogy egy botnet részét képezik. Ez különösen igaz, ha sok IP és webhely vesz részt. Az egyik kiemelkedő példa egy botnet DDoS-kísérlete egy webszolgáltatáson.

hamis pozitív eredmények
a hamis pozitív eredmények valószínűsége különösen megnehezíti a botnet észlelését. Néhány hasznos terhelést széles körben használnak, növelve annak valószínűségét, hogy egy véletlenszerűen előforduló minta hamis pozitív eredményt vált ki. Ezenkívül a támadók virtuális magánhálózat vagy proxy használatával megváltoztathatják IP-címüket, így úgy tűnik, hogy sok támadó vagy robot vesz részt, amikor valójában csak egy van.

a Hackereszközök és a sebezhetőségi Szkennerek hasonlóan viselkednek, mint a botnetek, hogy gyakran hamis pozitív eredményeket adjanak vissza. Ez azért van, mert a hacker eszközök ugyanazokat a hasznos terheléseket és támadási mintákat generálják, és sok hacker használja őket, függetlenül a kalapjuk színétől. Ha pedig különböző játékosok egyszerre végeznek penetrációs tesztet ugyanazon a webhelyen, az botnet támadásnak tűnhet.

a szervezetek gyakran azonosíthatják a hamis pozitív eredményeket azáltal, hogy rákeresnek a hasznos adatra, és hivatkoznak a körülöttük lévő dokumentált információkra. Egy másik technika magában foglalja a biztonsági megoldás nyers kérésében könnyen elérhető információk egyszerű összegyűjtését. Például, ha egy sebezhetőségi szkenner a hibás, a legtöbb biztonsági megoldás ezt felfedi annak azonosításával, különösen, ha ez az egyik leggyakoribb sebezhetőségi szkenner.

a hamis pozitív eredmények elkerülhetetlen kihívást jelentenek a botnet észlelésében, tekintettel a potenciális események hatalmas mennyiségére; a legújabb kutatások azt mutatják, hogy az informatikai szakemberek 27% – a naponta több mint 1 millió biztonsági riasztást kap, míg 55% – uk több mint 10 000-et kap. De a megfelelő technikákkal és szorgalommal a szervezetek megkülönböztethetik az ártalmatlan forgalmat a rosszindulatú, botnet-vezérelt forgalomtól.

kapcsolódó tartalom:

• 7 nem Számítógépes hackek, amelyeknek soha nem szabad megtörténniük
• az új Botnet a tech és a bűnügyi kultúra fejlődését mutatja
• Paul Vixie a DNS biztonságról & Botnet eltávolítások (videó)
• az anti-Botnet útmutató célja az automatizált fenyegetések kezelése