Detectarea Botnet-urilor DIY: tehnicile și provocările
botnet-urile există de peste două decenii și, odată cu creșterea Internet of Things (IoT), s-au răspândit și mai mult pe dispozitive pe care nimeni nu și le-a imaginat: routere, dispozitive mobile și chiar Prăjitoare de pâine.
unele botnet-uri sunt legiuni de bot-soldați care așteaptă o comandă pentru a ataca un server țintă, în general pentru a copleși serverul cu un atac distribuit de denial-of-service (DDoS). Alte botnet-uri vizează dispozitive specifice prin furtul parolelor sau minarea criptomonedelor. Exploatarea criptomonedelor, în special, a fost o amenințare în creștere dramatică pentru organizații recent, botnet-urile precum Coinhive și CryptoLoot permițând infractorilor cibernetici să câștige până la 100 de milioane de dolari pe an în detrimentul puterii de calcul a victimelor. Smominru, printre cele mai mari botnet-uri miniere de criptocurrency, a infectat peste o jumătate de milion de mașini folosind infamul exploit EternalBlue scurs de la NSA.
pentru a preveni infecțiile cu botnet, organizațiile trebuie să le poată detecta. Dar detectarea botnet-ului nu este ușoară. Să explorăm câteva dintre tehnicile și provocările de top în detectarea botnet-urilor.
metode de detectare Botnet
deci, ce este un botnet? Pur și simplu, este un grup de roboți — computere și dispozitive compromise — care efectuează comenzi date de proprietarul botnet-ului. De obicei, proprietarul botnet-ului va dedica un server de comandă și control (C2), un server compromis pentru comunicarea cu roboții, de obicei prin comenzi de chat cu releu de Internet. Proprietarul botnet-ului folosește serverul C2 pentru a ordona botnetelor să execute atacuri, fie că este vorba de atacuri DDoS, furt de date, furt de identitate sau alt tip de atac. Astfel, arma de fumat care indică un botnet este serverul său C2.
din păcate, găsirea C2 nu este de obicei o sarcină simplă. Multe comenzi botnet apar din mai multe servere sau iau forme ascunse, mascând comenzile rău intenționate ca activitate inofensivă, cum ar fi traficul de rețea Tor, traficul de social media, traficul între serviciile peer-to-peer sau algoritmii de generare a domeniului. Complicând în continuare problemele, comenzile sunt adesea foarte subtile, ceea ce face dificilă detectarea oricăror anomalii.
o metodă pentru încercarea de a detecta C2s este descompunerea și analizarea codului malware. Organizațiile pot încerca să dezasambleze codul compilat, din care uneori pot identifica sursa rădăcină a comenzilor botnet-ului. Cu toate acestea, deoarece creatorii și administratorii de botnet folosesc din ce în ce mai mult criptarea integrată, această tehnică este din ce în ce mai puțin eficientă.
în general, detectarea C2 necesită vizibilitate în comunicarea dintre un server C2 și roboții săi, dar numai soluțiile de securitate care protejează în mod specific serverele C2 vor avea acest tip de vizibilitate. O abordare mai comună pentru detectarea botnetelor este urmărirea și analizarea atacurilor în sine — în care soluțiile standard de securitate oferă vizibilitate — și determinarea atacurilor care provin de la botnete.
când analizăm încercările de exploatare, există câteva indicații posibile pentru o botnet. De exemplu, dacă aceleași adrese IP atacă aceleași site-uri, în același timp, folosind aceleași sarcini utile și modele de atac, există șanse mari să facă parte dintr-o botnet. Acest lucru este valabil mai ales dacă sunt implicate multe IP-uri și site-uri. Un exemplu proeminent este o încercare DDoS de către un botnet pe un serviciu web.
fals pozitive
probabilitatea de fals pozitive face detectarea botnet deosebit de dificilă. Unele sarcini utile sunt utilizate pe scară largă, crescând probabilitatea ca un model care apare Aleatoriu să declanșeze un fals pozitiv. În plus, atacatorii își pot schimba adresele IP folosind o rețea privată virtuală sau un proxy, ceea ce face să pară că mulți atacatori sau roboți sunt implicați atunci când există într-adevăr doar unul.
instrumentele de Hacking și scanerele de vulnerabilitate se comportă, de asemenea, suficient de similar pentru ca botnetele să returneze adesea fals pozitive. Acest lucru se datorează faptului că instrumentele de hacking generează aceleași sarcini utile și modele de atac, iar mulți hackeri le folosesc, indiferent de culoarea pălăriei lor. Și, dacă diferiți jucători se întâmplă să efectueze un test de penetrare pe aceleași site-uri în același timp, poate părea un atac botnet.
organizațiile pot identifica adesea fals pozitive prin căutarea pe Google a sarcinii utile și prin referirea la orice informație documentată din jurul acesteia. O altă tehnică implică pur și simplu spicuire orice informații disponibile în cererea raw în soluția de securitate. De exemplu, dacă un scaner de vulnerabilitate este de vină, Majoritatea soluțiilor de securitate vor dezvălui acest lucru identificându-l, mai ales dacă este unul dintre cele mai frecvente scanere de vulnerabilitate.
falsurile pozitive sunt o provocare inevitabilă în detectarea botnet-urilor, având în vedere numărul enorm de incidente potențiale; cercetările recente arată că 27% dintre profesioniștii IT primesc peste 1 milion de alerte de securitate în fiecare zi, în timp ce 55% primesc mai mult de 10.000. Dar, cu tehnicile și diligența potrivite, organizațiile pot discerne traficul inofensiv de traficul rău intenționat, bazat pe botnet.
conținut similar:
- 7 Hacks Non-Computer care nu ar trebui să se întâmple niciodată
- noul Botnet arată evoluția tehnologiei și a culturii criminale
- Paul Vixie privind securitatea DNS & botnet Takedowns (video)
- Ghidul Anti-Botnet își propune să abordeze amenințările automate
Alăturați-vă Dark Reading LIVE pentru două summit-uri de securitate cibernetică la Interop 2019. Aflați de la cei mai cunoscuți experți în securitate IT din industrie. Consultați agenda Interop aici.