Эксперты по безопасности Визуализируют ботнеты с глазом к защите

Не все ботнеты организованы одинаково. Это заключение отчета от Дамбаллы, которое стремится классифицировать доминирующие структуры. Он пытается объяснить, почему некоторые типы блокировки и фильтрации будут работать против некоторых бот-сетей, а не для других.

«Гигантский баннер угроз часто публикуется», - говорит Гюнтер Оллманн, вице-президент Research, Дамбалла, предприятие защищающей компанию, специализирующейся на смягчении бот-сетей ». Но этот ярлык не означает ничего для команд, которым поручено защищать предприятие. Объясняя топологии (и их сильные и слабые стороны), эти команды могут лучше визуализировать угрозу».

Структура Star является самой простой и предлагает отдельным ботам прямую связь с сервером Command and Control (CnC). Он может быть визуализирован в виде звезды. Однако, обеспечивая прямую связь с одним сервером CnC, ботнет создает единую точку отказа. Выньте сервер CnC, и бот-сеть истекает. Оллманн говорит, что комплект ботнета Zeus DIY, из коробки, является звездным узором, но ботмастеры часто модернизируются, делая его мультисерверным.

«В большинстве случаев отдельные бот-сети могут быть классифицированы как члены только одной топологии CnC - - но это часто до мастера бот-сетей, который он выбирает ».

Multi- Server - это логическое расширение структуры Star, использующее несколько серверов CnC для подачи инструкций отдельным ботам. Этот дизайн, говорит Ollmann, предлагает отказоустойчивость, если любой сервер CnC будет работать. Это также требует сложного планирования для выполнения. Srizbi является классическим примером ботнета топологии с несколькими серверами CnC.

Структура иерархического ботнета очень централизована и часто связана с многоступенчатыми ботнетами - например, ботнеты, у которых бот-агенты обладают возможностями распространения червя, и используют супер -node-одноранговый CnC. Это означает, что ни один бот не знает о местонахождении каких-либо других ботов, часто затрудняя исследователям безопасности измерять общий размер ботнета. Эта структура, говорит Дамбалла, лучше всего подходит для аренды или продажи частей ботнета другим. Недостатком является то, что инструкции занимают больше времени, чтобы достичь своих целей, поэтому некоторые виды атак невозможно координировать.

Случайный - это обратная сторона иерархической структуры. Этот ботнет децентрализован и использует несколько путей коммуникации. Недостатком является то, что каждый бот может перечислить других по соседству, и часто связь отстает между кластерами ботов, снова делая некоторые атаки невозможными для координации. Storm соответствовала бы случайной модели Damballa, как и ботнеты, основанные на вредоносном ПО Conficker

. Отчеты, топологии связи Botnet: понимание тонкостей командного контроля и ботнета, также оценивали различные методы быстрого потока, метод, с помощью которого CnC сервер меняет свои домены на лету. Дамбалла обнаружил, что Domain Flux, процесс изменения и распределения нескольких полностью квалифицированных доменных имен для одного IP-адреса или инфраструктуры CnC, является наиболее устойчивым для обнаружения и смягчения.

Роберт Вамоси - аналитик по рискам, мошенничеству и безопасности для Javelin Strategy & Research и независимый автор компьютерной безопасности, охватывающий криминальных хакеров и вредоносных угроз.