Turvallisuusasiantuntijat havainnollistavat Botnet-verkkoja silmällä puolustusta vastaan ​​

Kaikki botnetit eivät ole järjestäytyneet samalla tavoin. Tämä on Damballan mietinnön päätelmä, jossa pyritään kategorisoimaan hallitsevat rakenteet. Se yrittää selittää, miksi tietyntyyppiset estäminen ja suodatus toimivat joitain botnet-verkkoja vastaan, eikä muille.

"Hybridi-uhka-banneria haetaan usein", kertoo tutkimuspäällikkö Gunter Ollmann, yritys Botnet-lieventämiseen erikoistunut tietoturva-yhtiö "Mutta tämä etiketti ei merkitse mitään sellaisille joukkueille, joiden tehtävänä on puolustaa yritystä. Selittäen topologiat (ja niiden vahvuudet ja heikkoudet) nämä ryhmät voivat paremmin visualisoida uhan."

Star-rakenne on yksinkertaisin ja tarjoaa yksittäisille robotteille suoran yhteyden Command and Control (CnC) -palvelimeen. Se voidaan visualisoida tähtikuvioisella kuvioinnilla. Kuitenkin tarjoamalla suoraa viestintää yhden CnC-palvelimen kanssa botnet luo yhden epäkohdan. Ota CnC-palvelin ulos ja botnet vanhentuu. Ollmann sanoo, että Zeus DIY botnet-pakkaus on laatikossa, mutta se botmasters usein päivittää, mikä tekee siitä monipalvelua.

"Useimmissa tapauksissa tietyt botnetit voidaan luokitella vain yhden CnC-topologian jäseneksi, - mutta se on usein alas botnet-päällikölle, johon he valitsevat. "

Multi-Server on looginen laajennus Star-rakenteessa useilla CnC-palvelimilla yksittäisten robotien ohjeiden syöttämiseksi. Tämä muotoilu, sanoo Ollmann, tarjoaa joustavuutta, jos jokin CnC-palvelin menee alas. Se edellyttää myös hienostunutta suunnittelua sen toteuttamiseksi. Srizbi on klassinen esimerkki monen palvelimen CnC-topologian botnetista.

Hierarkkinen botnet-rakenne on hyvin keskitetty ja liittyy usein monivaiheisiin botnet-verkkoihin - esimerkiksi bot-agentit, joilla on matoja lisääviä ominaisuuksia - ja hyödyntää super- -node-pohjainen peer-to-peer CnC. Tämä tarkoittaa, että mikään bot ei ole tietoinen muiden robottien sijainnista, mikä usein vaikeuttaa tietoturva-alan tutkijoiden mahdollisuutta havaita botnetin koko. Tämä rakenne, Damballa sanoo, sopii parhaiten vuokrata tai myydä botnet-osia muille. Haittapuolena on, että ohjeet kestävät kauemmin tavoitteensa saavuttamiseksi, joten eräitä hyökkäyksiä ei voida koordinoida.

Satunnaista on hierarkkisen rakenteen taaksepäin. Tämä botnet on hajautettu ja käyttää useita viestintäpolkuja. Haittapuolena on, että jokainen bot voi luetella muita naapurustossa, ja usein viestintä viivästyy bottien klusterien välillä, mikä taas tekee hyökkäyksiä mahdottomaksi koordinoida. Storm sopii Damballan satunnaiseen malliin, samoin kuin botnetit, jotka perustuivat Conficker-haittaohjelmasta

Raportti, Botnet Communication Topologies: Botnet Command-and-Controlin intricacies -tyyppien ymmärtäminen sijoittui myös erilaisiin nopean virtauksen menetelmiin, menetelmään, jolla CnC palvelin muuttaa sen verkkotunnuksia lennossa. Damballa havaitsi, että Domain Flux, joka muuttaa ja jakaa useita täysin määriteltyjä verkkotunnuksia yhdeksi IP-osoitteeksi tai CnC-infrastruktuuriksi, on kaikkein kimmoisa löytää ja vähentää.

Robert Vamosi on riski, petos ja turvallisuusanalyytikko Javelin Strategy & Research ja itsenäinen tietoturva-kirjailija, joka kattaa rikolliset hakkerit ja haittaohjelmat.