DIY Botnet Deteksjon: Teknikker Og Utfordringer
Botnett har eksistert i over to tiår, Og med fremveksten Av Tingenes Internett (Iot), har De spredt seg videre til enheter ingen trodde de ville: rutere, mobile enheter og til og med brødristere.
noen botnett er legioner av botsoldater som venter på en kommando for å angripe en målserver, vanligvis for å overvelde serveren med et distribuert Tjenestenektangrep (DDoS). Andre botnets målrette bestemte enheter ved å stjele passord eller gruvedrift kryptovaluta. Cryptocurrency mining, spesielt, har vært en dramatisk voksende trussel for organisasjoner nylig, med botnets som Coinhive og CryptoLoot som gjør det mulig for cyberkriminelle å tjene så mye som $100 millioner i året på bekostning av ofrenes datakraft. Smominru, blant de største cryptocurrency-mining botnets, har smittet over en halv million maskiner ved hjelp av den beryktede EternalBlue utnytte lekket fra NSA.
for å forhindre botnetinfeksjoner må organisasjoner kunne oppdage dem. Men botnet deteksjon er ikke lett. La oss utforske noen av de beste teknikkene og utfordringene i botnet deteksjon.
Metoder For Botnetdeteksjon
Så, hva er et botnet? Enkelt sagt, det er en klynge av bots-kompromitterte datamaskiner og enheter — som utfører kommandoer gitt av botnet-eieren. Vanligvis vil botnet-eieren dedikere en kommando – og kontrollserver (C2), en kompromittert server for kommunikasjon med botsene, vanligvis via Internet Relay Chat-kommandoer. Botnet-eieren bruker C2-serveren til å bestille botnett til å utføre angrep, enten Det er DDoS-angrep, datatyveri, identitetstyveri eller en annen type angrep. Dermed er røykepistolen som peker på et botnet, Dens C2-server.
Dessverre er det ikke vanligvis en enkel oppgave å finne C2. Mange botnet-kommandoer dukker opp fra flere servere eller tar skjulte former, maskerer de ondsinnede kommandoene som ufarlig aktivitet som Tor-nettverkstrafikk, sosial medietrafikk, trafikk mellom peer-to-peer-tjenester eller domenegenerasjonsalgoritmer. Videre kompliserende saker, kommandoene er ofte svært subtile, noe som gjør det vanskelig å oppdage eventuelle anomalier.
En metode for å forsøke å oppdage C2s er å bryte ned og analysere malware-koden. Organisasjoner kan prøve å demontere den kompilerte koden, hvorfra de noen ganger kan identifisere rotkilden til botnets kommandoer. Men siden botnet-skapere og administratorer i økende grad bruker integrert kryptering, er denne teknikken mindre og mindre effektiv.
generelt Krever c2-deteksjon synlighet i kommunikasjonen Mellom En C2-server og dens bots, men bare sikkerhetsløsninger som spesifikt beskytter C2-servere, vil ha denne typen synlighet. En mer vanlig tilnærming for å oppdage botnett er å spore og analysere angrepene selv-i hvilke standard sikkerhetsløsninger gir synlighet-og bestemme hvilke angrep som stammer fra botnett.
når du ser på utnyttelsesforsøk, er det noen mulige indikasjoner på et botnet. For eksempel, hvis DE SAMME IP-adressene angriper de samme nettstedene, samtidig, med samme nyttelast og angrepsmønstre, er det en god sjanse for at DE er en del av et botnet. Dette gjelder spesielt hvis mange Ip-Er og nettsteder er involvert. Et fremtredende eksempel er Et DDoS-forsøk av et botnet på en webtjeneste.
Falske Positiver
sannsynligheten for falske positiver gjør botnet deteksjon spesielt vanskelig. Noen nyttelaster er mye brukt, og øker sannsynligheten for at et tilfeldig forekommende mønster utløser en falsk positiv. I tillegg kan angripere endre IP-adressene sine ved å bruke et virtuelt privat nettverk eller en proxy, slik at det ser ut som mange angripere eller bots er involvert når det egentlig bare er en.
Hackingsverktøy og sårbarhetsskannere oppfører seg også på samme måte som botnett til ofte å returnere falske positiver. Dette skyldes at hackingsverktøy genererer samme nyttelast og angrepsmønstre, og mange hackere bruker dem, uavhengig av fargen på hatten. Og hvis forskjellige spillere tilfeldigvis utfører en penetrasjonstest på de samme nettstedene samtidig, kan det se ut som et botnetangrep.
Organisasjoner kan ofte identifisere falske positiver ved Å Google nyttelasten og referere til all dokumentert informasjon rundt den. En annen teknikk innebærer bare sanking all informasjon lett tilgjengelig i rå forespørselen i sikkerhetsløsningen. For eksempel, hvis en sårbarhetsskanner skyldes, vil de fleste sikkerhetsløsninger avsløre det ved å identifisere det, spesielt hvis det er en av de vanligste sårbarhetsskannerne.
Falske positiver er en uunngåelig utfordring i botnetdeteksjon gitt den enorme mengden potensielle hendelser; nyere forskning viser at 27% AV IT-fagfolk mottar over 1 million sikkerhetsvarsler hver dag, mens 55% mottar mer enn 10.000. Men med de riktige teknikkene og flid, organisasjoner kan skjelne ufarlig trafikk fra ondsinnet, botnet-drevet trafikk.
Relatert Innhold:
- 7 Ikke-Datamaskin Hacks Som Aldri Skal Skje
- Ny Botnet Viser Utviklingen Av Tech Og Kriminell Kultur
- Paul Vixie PÅ DNS-Sikkerhet & Botnet Takedowns (video)
- Anti-Botnet Guide Tar sikte På Å Takle Automatiserte Trusler
Bli Med Dark Reading LIVE for to toppmøter innen cybersikkerhet På Interop 2019. Lær av bransjens mest kunnskapsrike IT-sikkerhetseksperter. Sjekk Ut interop agenda her.