Overvåk Botnet Threats Antivirus kan ikke se

Mens tradisjonell sikkerhetsprogramvare vanligvis bare inspiserer innkommende kommunikasjon og nedlastinger for skadelig programvare, et gratis sikkerhetsverktøy. BotHunter korrelerer i stedet toveiskommunikasjon mellom sårbare datamaskiner og hackere. BotHunter "flipper sikkerhetsparadigmet" ved å fokusere på utgangen, sier Phillip Porras, en datasikkerhetsekspert hos SRI International og en av sine skapere.

Botnets er skyggefulle nettverk av kompromitterte datamaskiner. Vanligvis blir PCen smittet med skadelig programvare fra e-post eller fra å besøke et kompromittert nettsted. Infeksjonen kan ligge litt for en stund før det ringer til en kommando- og kontrollserver som kan laste ned skadelig programvare, eller innhente PCen i en nettsøppelkampanje eller avslag på tjenesten.

Med BotHunter kan en nettverksadministrator se hvilket system på et nettverk kommuniserer med en ukjent ekstern server og handler raskt for å stoppe det. BotHunter produserer en rapport som viser alle relevante hendelser og hendelseskilder som fører til at den avsluttes av en infeksjon. Det er en poengsum på sannsynligheten for at kampen er skadelig.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

BotHunter - et program som vokste ut av SRI Internationals prosjekt for Cyber-Threat Analytics - skiller seg fra tradisjonelle Intrusion Detection Systems ved å holde en logg over datautvekslingene som vanligvis oppstår når en PC er infisert med skadelig programvare. Bare spesifiser nettverket du vil overvåke, og BotHunter lytter deretter passivt, logger anonym trafikk, og sender og sender utgående meldinger til en database med adware, spyware, virus og ormer som vedlikeholdes av SRI International. For tiden samler prosjektet 10.000 nye malware datautvekslinger hver dag, ifølge Porras. Han sa at BotHunter begynte å gjenkjenne Conflicker datautvekslingsmønstre tilbake i november 2008, før den trusselen ble popularisert av andre sikkerhetsleverandører.

Porras sier at både trusseldatabasen og BotHunter-analysemotorer blir konstant kontrollert for nøyaktighet. Dette gjøres ved å infisere SRI honeynets med kjent skadelig programvare for å se om BotHunter nøyaktig oppdager det.

BotHunter, som er gratis, men ikke åpen kildekode, fungerer med Unix, Linux, Max OS og Windows XP (selv på frittstående skrivebord PCer). En Windows Vista-versjon forventes snart. BotHunter er ikke ment å erstatte tradisjonell sikkerhet (brannmur og antivirus), sier Porras, men et komplement. Han sier at det har vært 110 000 nedlastinger over hele verden siden utgivelsen.

Porras innrømmer at det er noen Black Hats, selv noen hvite hatter, som diskuterer ulike måter å omgå BotHunter på nettet. For nå er BotHunter fortsatt en nyttig måte å identifisere og derfor mildne botware på nettverket eller hjemmeanlegget.

Robert Vamosi er en freelance datasikkerhetsforfatter som spesialiserer seg på å dekke kriminelle hackere og ondsinnede trusler.