DIY – Botnetdetectie: technieken en uitdagingen

DIY – Botnetdetectie: technieken en uitdagingen

Botnets bestaan al meer dan twee decennia en met de opkomst van het Internet of Things (IoT) hebben ze zich verder verspreid naar apparaten waarvan niemand dacht dat ze dat zouden doen: routers, mobiele apparaten en zelfs Broodroosters.

sommige botnets zijn legioenen botsoldaten die wachten op een commando om een doelserver aan te vallen, meestal om de server te overweldigen met een DDOS-aanval (distributed denial-of-service). Andere botnets richten op specifieke apparaten door het stelen van wachtwoorden of mijnbouw cryptogeld. Cryptogeld mijnbouw, in het bijzonder, is een dramatisch groeiende bedreiging voor organisaties onlangs, met botnets zoals Coinhive en CryptoLoot waardoor cybercriminelen te maken zo veel als $100 miljoen per jaar ten koste van de rekenkracht van de slachtoffers. Smominru, een van de grootste cryptogeld-mijnbouw botnets, heeft besmet meer dan een half miljoen machines met behulp van de beruchte EternalBlue exploit gelekt uit de NSA.

om botnetinfecties te voorkomen, moeten organisaties deze kunnen detecteren. Maar botnet detectie is niet eenvoudig. Laten we verkennen enkele van de top technieken en uitdagingen in botnet detectie.

methoden voor Botnetdetectie
dus, wat is een botnet? Simpel gezegd, het is een cluster van bots — gecompromitteerde computers en apparaten — die opdrachten uit te voeren gegeven door de botnet eigenaar. Meestal, de botnet eigenaar zal wijden een command and control server (C2), een gecompromitteerde server voor de communicatie met de bots, meestal via Internet Relay Chat commando ‘ s. De botneteigenaar gebruikt de C2-server om botnets te bestellen om aanvallen uit te voeren, of dat nu DDoS-aanvallen, gegevensdiefstal, identiteitsdiefstal of een ander type aanval is. Dus, het rokende pistool dat wijst naar een botnet is de C2-server.

helaas is het vinden van de C2 meestal geen eenvoudige taak. Veel botnetcommando ’s komen voort uit meerdere servers of nemen verborgen vormen aan, waarbij de kwaadaardige commando’ s worden gemaskeerd als onschadelijke activiteit, zoals Tor netwerkverkeer, social media verkeer, verkeer tussen peer-to-peer diensten of domein-generatie algoritmen. Verder complicerende zaken, de commando ‘ s zijn vaak zeer subtiel, waardoor het moeilijk om eventuele afwijkingen te detecteren.

een methode om C2s te detecteren is het afbreken en analyseren van de malwarecode. Organisaties kunnen proberen om de gecompileerde code te demonteren, waaruit ze soms de root bron van de commando ‘ s van het botnet kunnen identificeren. Echter, omdat botnet makers en beheerders steeds meer gebruik maken van geïntegreerde encryptie, deze techniek is minder en minder effectief.

in het algemeen vereist C2-detectie zichtbaarheid in de communicatie tussen een C2-server en zijn bots, maar alleen beveiligingsoplossingen die C2-servers specifiek beschermen zullen dit soort zichtbaarheid hebben. Een meer gebruikelijke aanpak voor het detecteren van botnets is het volgen en analyseren van de aanvallen zelf — waarin standaard beveiligingsoplossingen zichtbaarheid bieden — en het bepalen van welke aanvallen afkomstig zijn van botnets.

wanneer we naar exploitpogingen kijken, zijn er enkele mogelijke aanwijzingen voor een botnet. Bijvoorbeeld, als dezelfde IP-adressen dezelfde sites aanvallen, op hetzelfde moment, met dezelfde payloads en aanvalspatronen, is er een goede kans dat ze deel uitmaken van een botnet. Dit geldt vooral als er veel IP ‘ s en sites zijn betrokken. Een prominent voorbeeld is een DDOS-poging door een botnet op een webservice.

False positieven
de waarschijnlijkheid van false positieven maakt botnetdetectie bijzonder moeilijk. Sommige payloads worden veel gebruikt, het verhogen van de kans op een willekeurig voorkomende patroon triggering een vals positief. Bovendien kunnen aanvallers hun IP-adressen wijzigen met behulp van een virtueel privé-netwerk of een proxy, waardoor het lijkt alsof veel aanvallers of bots betrokken zijn wanneer er echt maar één is.

Hacking tools en kwetsbaarheidsscanners gedragen zich ook op dezelfde manier als botnets om vaak valse positieven terug te geven. Dit komt omdat hacking tools genereren dezelfde payloads en aanval patronen, en veel hackers gebruiken ze, ongeacht de kleur van hun hoed. En, als verschillende spelers toevallig een penetratietest uit te voeren op dezelfde sites op hetzelfde moment, het kan lijken op een botnet aanval.

organisaties kunnen vaak valse positieven identificeren door de lading te googlen en alle gedocumenteerde informatie eromheen te verwijzen. Een andere techniek houdt in dat alle informatie die direct beschikbaar is binnen het raw-verzoek in de beveiligingsoplossing wordt verzameld. Bijvoorbeeld, als een kwetsbaarheidsscanner de schuld is, zullen de meeste beveiligingsoplossingen dat onthullen door het te identificeren, vooral als het een van de meest voorkomende kwetsbaarheidsscanners is.

valse positieven zijn een onvermijdelijke uitdaging bij botnetdetectie gezien de enorme hoeveelheid potentiële incidenten; recent onderzoek toont aan dat 27% van de IT-professionals dagelijks meer dan 1 miljoen beveiligingswaarschuwingen ontvangt, terwijl 55% meer dan 10.000 beveiligingswaarschuwingen ontvangt. Maar met de juiste technieken en toewijding, kunnen organisaties het onschadelijke verkeer onderscheiden van het kwaadaardige, botnet-gedreven verkeer.

Gerelateerde Inhoud:

• 7 Niet-Computer Hacks Die Mag Nooit meer Gebeuren
• Nieuw Botnet Toont de Evolutie van de technologie en van de Criminele Cultuur
• Paul Vixie Op de Beveiliging van DNS & Botnet Takedowns (video)
• Anti-Botnet Gids is Gericht op het Aanpakken van Geautomatiseerde Bedreigingen