Esperti di sicurezza Visualizza botnet con un occhio verso la difesa

Non tutte le botnet sono organizzate nello stesso modo. Questa è la conclusione di un rapporto di Damballa che cerca di classificare le strutture dominate. Cerca di spiegare perché determinati tipi di blocco e filtraggio funzioneranno contro alcune botnet, e non per altri.

"Spesso viene lanciato il banner delle minacce" ibrido ", afferma Gunter Ollmann, VP of Research, Damballa, un'azienda società di sicurezza specializzata nella mitigazione delle botnet "Ma questa etichetta non significa nulla per i team incaricati di difendere l'impresa. Spiegando le topologie (e i loro punti di forza e debolezza) queste squadre possono visualizzare meglio la minaccia."

La struttura Star è la più basilare e offre ai singoli robot una comunicazione diretta con il server Command and Control (CnC). Può essere visualizzato in uno schema a stella. Tuttavia, fornendo comunicazioni dirette con un server CnC, la botnet crea un singolo punto di errore. Estrarre il server CnC e la botnet scade. Ollmann afferma che il kit di botnet di Zeus DIY, fuori dagli schemi, è un pattern a stella, ma che i botmaster spesso aggiornano, rendendolo multiserver.

"Nella maggior parte dei casi, particolari botnet possono essere classificate come membri di una sola topologia CnC- -ma spesso si tratta del botnet master che si sceglie. "

Multi-Server è l'estensione logica della struttura Star che utilizza più server CnC per alimentare le istruzioni ai singoli robot. Questo design, dice Ollmann, offre resilienza nel caso in cui un server CnC dovesse andare giù. Richiede anche una pianificazione sofisticata per l'esecuzione. Srizbi è un classico esempio di una botnet di topologia CnC multi-server.

La struttura di botnet gerarchica è altamente centralizzata e spesso associata a botnet a più stadi - ad esempio botnet con agenti di bot con capacità di propagazione di worm - e utilizza super CnC peer-to-peer basato su nodo. Ciò significa che nessuno dei bot è a conoscenza della posizione di altri bot, spesso rendendo difficile per i ricercatori della sicurezza misurare le dimensioni complessive della botnet. Questa struttura, dice Damballa, è più adatta per il leasing o la vendita di parti della botnet ad altri. Il rovescio della medaglia è che le istruzioni impiegano più tempo per raggiungere i loro obiettivi, quindi alcuni tipi di attacchi impossibili da coordinare.

Il casuale è il rovescio della struttura gerarchica. Questa botnet è decentralizzata e utilizza più percorsi di comunicazione. Il rovescio della medaglia è che ogni bot può enumerare gli altri nel vicinato e spesso i ritardi di comunicazione tra i cluster di bot, rendendo nuovamente impossibile coordinare alcuni attacchi. Storm sarebbe compatibile con il modello Random di Damballa, così come i botnet basati sul malware Conficker

Il report, Topologie di comunicazione Botnet: Comprendere le complessità del comando e controllo di botnet, ha anche classificato diversi metodi di flusso veloce, il metodo con cui un CnC server cambia i suoi domini al volo. Damballa ha scoperto che Domain Flux, un processo che modifica e assegna più nomi di dominio completi a un singolo indirizzo IP o infrastruttura CnC, è il più resiliente alla scoperta e alla mitigazione.

Robert Vamosi è un analista di rischio, frode e sicurezza per Javelin Strategy & Research e uno scrittore indipendente di sicurezza informatica che si occupa di hacker criminali e minacce malware.