DIYボットネット検出:技術と課題
ボットネットは20年以上にわたって存在しており、Iot(Internet of Things)の台頭に伴い、ルーター、モバイルデバイス、さらにはトー
一部のボットネットは、ターゲットサーバーを攻撃するコマンドを待っているボット兵士の軍団であり、一般的には分散型サービス拒否(DDoS)攻撃でサーバーを圧倒 他のボットネットは、パスワードを盗むか、cryptocurrencyを採掘することによって、特定のデバイスをターゲットにしています。 特に、暗号化マイニングは、最近、CoinhiveやCryptoLootなどのボットネットにより、サイバー犯罪者が犠牲者のコンピューティングパワーを犠牲にして年間0 100百万を作ることを可能にすることで、組織にとって劇的に成長する脅威となっています。 Smominruは、最大の暗号化マイニングボットネットの中で、nsaから流出した悪名高いEternalBlueエクスプロイトを使用して50万台以上のマシンに感染しました。
ボットネット感染を防ぐには、組織がそれらを検出できる必要があります。 しかし、ボットネットの検出は簡単ではありません。 ボットネット検出のトップテクニックと課題のいくつかを見てみましょう。
ボットネット検出のための方法
だから、ボットネットとは何ですか? 簡単に言えば、それはボットネットの所有者によって与えられたコマンドを実行するボット—侵害されたコンピュータとデバイス—のクラスターです。 通常、ボットネットの所有者は、通常、インターネットリレーチャットコマンドを介して、ボットと通信するための侵害されたサーバーであるcommand and control server(C2)を専用 ボットネットの所有者は、C2サーバーを使用して、DDoS攻撃、データ盗難、個人情報の盗難、または他の種類の攻撃のいずれであっても、ボットネットに攻撃を実行 したがって、ボットネットを指し示す喫煙銃は、そのC2サーバーです。
残念ながら、C2を見つけることは通常簡単な作業ではありません。 多くのボットネットコマンドは、複数のサーバーから出現するか、隠されたフォームを取り、Torネットワークトラフィック、ソーシャルメディアトラフィック、ピアツーピア さらに問題を複雑にすると、コマンドはしばしば非常に微妙であり、異常を検出することは困難です。
C2Sを検出しようとする一つの方法は、マルウェアコードを分解して分析することです。 組織はコンパイルされたコードを分解しようとすることができ、そこからボットネットのコマンドのルートソースを特定することができます。 しかし、ボットネットの作成者や管理者はますます統合された暗号化を使用しているため、この技術はますます効果的ではありません。
一般的に、C2検出はC2サーバーとそのボット間の通信を可視化する必要がありますが、C2サーバーを特別に保護するセキュリティソリューションのみがこの種の可視性を持つことになります。 ボットネットを検出するためのより一般的なアプローチは、攻撃自体を追跡して分析し、標準的なセキュリティソリューションが可視性を提供し、ボットネッ
エクスプロイトの試みを見ると、ボットネットの可能性のある兆候がいくつかあります。 たとえば、同じIPアドレスが同じペイロードと攻撃パターンを使用して同じサイトを同時に攻撃する場合、それらがボットネットの一部である可能性が これは、多くのIpとサイトが関与している場合に特に当てはまります。 一つの顕著な例は、webサービス上のボットネットによるDDoSの試みです。
偽陽性
偽陽性の可能性はボットネットの検出を特に困難にします。 いくつかのペイロードは広く使用されており、ランダムに発生するパターンが偽陽性を誘発する確率を上げます。 さらに、攻撃者は仮想プライベートネットワークまたはプロキシを使用してIPアドレスを変更することができ、実際には1つしかない場合、多くの攻撃者やボットが関与しているように見えるようになります。
ハッキングツールや脆弱性スキャナも同様に動作し、ボットネットが誤検知を返すことがよくあります。 これは、ハッキングツールが同じペイロードと攻撃パターンを生成し、多くのハッカーが帽子の色に関係なくそれらを使用するためです。 また、異なるプレイヤーが同じサイトで同時に侵入テストを実施した場合、ボットネット攻撃のように見えるかもしれません。
組織は多くの場合、ペイロードをグーグルで検索し、その周りの文書化された情報を参照することによって偽陽性を特定できます。 別の技術は、単にセキュリティソリューション内の生の要求内で容易に利用可能な情報を収集することを含みます。 たとえば、脆弱性スキャナーの責任がある場合、ほとんどのセキュリティソリューションは、特にそれがより一般的な脆弱性スキャナーの1つである場合、そ
偽陽性は、潜在的なインシデントの膨大な量を考えると、ボットネット検出における避けられない課題です。 しかし、適切な技術と勤勉さで、組織は悪意のあるボットネット駆動のトラフィックから無害なトラフィックを識別することができます。
関連コンテンツ:
- 7
- 新しいボットネットは、技術と犯罪文化の進化を示しています
- Paul Vixie ON DNS Security&ボットネットテイクダウン(ビデオ)
- アンチボットネットガイドは、自動化された脅威
Interop2019での2つのサイバーセキュリティサミットのために、Dark Reading LIVEに参加してください。 業界で最も知識のあるITセキュリティ専門家から学ぶ。 ここで相互運用機能の議題をチェックしてください。