Sikkerhetseksperter Visualiser Botnets Med Et Øye Mot Forsvar

Ikke alle botnettene er organisert på samme måte. Det er konklusjonen av en rapport fra Damballa som søker å kategorisere dominante strukturer. Det forsøker å forklare hvorfor visse typer blokkering og filtrering vil fungere mot noen botnets, og ikke for andre.

"Bomberet for hybrid-trussel blir ofte kastet om," sier Gunter Ollmann, forskningsdirektør, Damballa, et foretak sikkerhetsselskap som spesialiserer seg på botnetreduksjon "Men denne etiketten betyr ingenting for lag som har til oppgave å forsvare bedriften. Ved å forklare topologiene (og deres sterke og svake sider) kan disse lagene bedre visualisere truselen."

Stjernestrukturen er den mest grunnleggende og tilbyr individuelle bots en direkte kommunikasjon med Command and Control (CnC) serveren. Den kan visualiseres i et stjerne-lignende mønster. Men ved å skaffe direkte kommunikasjon med en CnC-server, oppretter botnet et enkelt feilpunkt. Ta ut CnC-serveren og botnet utløper. Ollmann sier at Zeus DIY botnet kit, ut av boksen, er et stjernemønster, men at botmasters ofte oppgraderer, noe som gjør det multiserver.

"I de fleste tilfeller kan bestemte botnetter klassifiseres som medlem av bare en CnC topologi- men det er ofte ned til botnetmesteren hvilken som helst de velger. "

Multiserver er den logiske utvidelsen av stjernestrukturen ved hjelp av flere CnC-servere for å gi instruksjoner til de individuelle botsene. Denne designen, sier Ollmann, gir fleksibilitet hvis en CnC-server skulle gå ned. Det krever også sofistikert planlegging for å kunne utføre. Srizbi er et klassisk eksempel på en multi-server CnC topologi botnet. Den hierarkiske botnetstrukturen er svært sentralisert og er ofte assosiert med flertrinns botneter - for eksempel botnets hvem som har botmagasiner har ormutbredelsesevner - og benytter super -node-basert peer-to-peer CnC. Det betyr at ingen bot er klar over plasseringen av andre bots, noe som ofte gjør det vanskelig for sikkerhetsforskere å få den totale størrelsen på botnet. Denne strukturen, sier Damballa, er best egnet for leasing eller salg av deler av botnet til andre. Ulempen er at instruksjonene tar lengre tid å nå sine mål slik at noen typer angrep er umulig å koordinere.

Tilfeldig er omvendt av den hierarkiske strukturen. Denne botnet er decentralisert og bruker flere kommunikasjonsveier. Ulempen er at hver bot kan oppregne andre i nabolaget, og ofte kommuniserer kommunikasjon mellom klumper av bots, noe som igjen gjør noen angrep umulig å koordinere. Storm ville passe til Damballa's Tilfeldige modell, som ville botnets basert på Conficker-malware

Rapporten, Botnet Communication Topologies: Forstå de intricacies botnet Command and Control, også rangerte forskjellige metoder for rask flux, metoden ved hvilken en CnC serveren endrer sine domener på fluen. Damballa fant at Domain Flux, en prosessendring og allokering av flere fullt kvalifiserte domenenavn til en enkelt IP-adresse eller CnC-infrastruktur, er den mest motstandsdyktig mot oppdagelse og begrensning.

Robert Vamosi er en risiko-, svindel- og sikkerhetsanalytiker for Javelin Strategy & Research og en uavhengig datasikkerhetsforfatter som dekker kriminelle hackere og malware trusler.