DIY Botnet Detection: tekniker och utmaningar

DIY Botnet Detection: tekniker och utmaningar

botnät har funnits i över två decennier, och med uppkomsten av Internet of Things (IoT) har de spridit sig vidare till enheter som ingen föreställde sig att de skulle: routrar, mobila enheter och till och med brödrostar.

vissa botnät är legioner av bot-soldater som väntar på ett kommando för att attackera en målserver, i allmänhet för att överväldiga servern med en DDOS-attack (distributed denial-of-service). Andra botnät riktar sig till specifika enheter genom att stjäla lösenord eller gruvkryptovaluta. Cryptocurrency mining har i synnerhet varit ett dramatiskt växande hot för organisationer nyligen, med botnät som Coinhive och CryptoLoot som gör det möjligt för cyberbrottslingar att tjäna så mycket som $100 miljoner per år på bekostnad av offrens datorkraft. Smominru, bland de största cryptocurrency-mining botnets, har infekterat över en halv miljon maskiner med hjälp av den ökända EternalBlue exploit läckt från NSA.

för att förhindra botnetinfektioner måste organisationer kunna upptäcka dem. Men botnet upptäckt är inte lätt. Låt oss utforska några av de bästa teknikerna och utmaningarna i botnetdetektering.

metoder för Botnetdetektering
så, vad är ett botnet? Enkelt uttryckt är det ett kluster av bots — komprometterade datorer och enheter — som utför kommandon som ges av botnätägaren. Vanligtvis kommer botnätägaren att ägna en command and control server (C2), en komprometterad server för att kommunicera med bots, vanligtvis via Internet Relay Chat-kommandon. Botnätägaren använder C2-servern för att beställa botnät för att utföra attacker, oavsett om det är DDoS-attacker, datastöld, identitetsstöld eller en annan typ av attack. Således är rökpistolen som pekar på ett botnet dess C2-server.

tyvärr är det vanligtvis inte en enkel uppgift att hitta C2. Många botnet-kommandon kommer från flera servrar eller tar dolda former och maskerar de skadliga kommandona som ofarlig aktivitet som Tor-nätverkstrafik, sociala medietrafik, trafik mellan peer-to-peer-tjänster eller domängenereringsalgoritmer. Ytterligare komplicerade saker är kommandona ofta mycket subtila, vilket gör det svårt att upptäcka eventuella avvikelser.

en metod för att försöka upptäcka C2s är att bryta ner och analysera skadlig kod. Organisationer kan försöka demontera den kompilerade koden, från vilken de ibland kan identifiera rotkällan för botnets kommandon. Men eftersom botnätskapare och administratörer i allt högre grad använder integrerad kryptering är denna teknik mindre och mindre effektiv.

generellt kräver C2-detektering synlighet i kommunikationen mellan en C2-server och dess bots, men endast säkerhetslösningar som specifikt skyddar C2-servrar kommer att ha denna typ av synlighet. Ett vanligare tillvägagångssätt för att upptäcka botnät är att spåra och analysera attackerna själva — i vilka standardsäkerhetslösningar ger synlighet — och bestämma vilka attacker som härstammar från botnät.

när man tittar på exploateringsförsök finns det några möjliga indikationer på ett botnet. Till exempel, om samma IP-adresser attackerar samma webbplatser, samtidigt, med samma nyttolast och attackmönster, finns det en god chans att de är en del av ett botnet. Detta gäller särskilt om många IP-adresser och webbplatser är inblandade. Ett framträdande exempel är ett DDoS-försök av ett botnet på en webbtjänst.

falska positiva
sannolikheten för falska positiva gör botnet upptäckt särskilt svårt. Vissa nyttolaster används ofta, vilket ökar sannolikheten för ett slumpmässigt förekommande mönster som utlöser ett falskt positivt. Dessutom kan angripare ändra sina IP-adresser genom att använda ett virtuellt privat nätverk eller en proxy, vilket gör att det ser ut som många angripare eller bots är inblandade när det egentligen bara finns en.

hackverktyg och sårbarhetsskannrar beter sig också på samma sätt som botnät för att ofta returnera falska positiva. Detta beror på att hackverktyg genererar samma nyttolast och attackmönster, och många hackare använder dem, oavsett färgen på deras hatt. Och om olika spelare råkar genomföra ett penetrationstest på samma webbplatser samtidigt kan det se ut som en botnetattack.

organisationer kan ofta identifiera falska positiva genom att googla nyttolasten och referera till dokumenterad information kring den. En annan teknik innebär helt enkelt att samla in all information som är lättillgänglig inom raw-begäran i säkerhetslösningen. Till exempel, om en sårbarhetsskanner är skyldig, kommer de flesta säkerhetslösningar att avslöja det genom att identifiera det, särskilt om det är en av de vanligaste sårbarhetsskannrarna.

falska positiva är en oundviklig utmaning i botnetdetektering med tanke på den enorma mängden potentiella incidenter; ny forskning visar att 27% av IT-proffs får över 1 miljon säkerhetsvarningar varje dag, medan 55% får mer än 10 000. Men med rätt teknik och flit kan organisationer urskilja den ofarliga trafiken från den skadliga, botnetdrivna trafiken.

relaterat innehåll:

• 7 Icke-Datorhackar som aldrig ska hända
• nytt Botnet visar utvecklingen av teknik och kriminell kultur
• Paul Vixie på DNS-säkerhet & Botnet Takedowns (video)
• Anti-Botnet Guide syftar till att ta itu med automatiserade Hot