Experți în securitate vizualizează botneți cu un ochi spre apărare

Nu toate botneturile sunt organizate în același mod. Aceasta este concluzia unui raport al lui Damballa care încearcă să clasifice structurile dominate. Acesta încearcă să explice de ce anumite tipuri de blocare și filtrare vor funcționa împotriva unor botneturi, și nu pentru alții.

"Bannerul" hibrid "de amenințare este adesea exprimat", spune Gunter Ollmann, VP of Research, Damballa, o întreprindere o companie de securitate specializata in diminuarea sistemelor botnet "Dar aceasta eticheta nu inseamna nimic pentru echipele care au sarcina de a-si proteja afacerea. Explicand topologiile (si punctele lor forte si punctele slabe), aceste echipe pot vizualiza mai bine amenintarea."

Structura Star este cea mai de baza și oferă bots individuale o comunicare directă cu serverul de comandă și control (CnC). Acesta poate fi vizualizat într-un model asemănător stelei. Totuși, prin furnizarea de comunicări directe cu un server CnC, botnet-ul creează un singur punct de eșec. Scoateți serverul CnC și botnet-ul expiră. Ollmann spune că kitul de botnet DIus, din cutie, este un model de tip stea, dar că botmasterii deseori fac upgrade, făcându-l să fie multiserver.

"În majoritatea cazurilor, anumite botnete pot fi clasificate ca membri ai unei singure topologii CnC - - dar de multe ori este la masterul botnet pe care o aleg. "

Multi-Server este extensia logică a structurii Star utilizând mai multe servere CnC pentru a alimenta instrucțiunile către roboții individuali. Acest design, spune Ollmann, oferă rezistență în cazul în care un server CnC va coborî. De asemenea, necesită o planificare sofisticată pentru a fi executată. Srizbi este un exemplu clasic de botnet de topologie multi-server CnC.

Structura ierarhică botnet este extrem de centralizată și este adesea asociată cu botneturi în mai multe etape - de exemplu botnții care sunt agenți bot care au capacități de propagare a viermilor - -CnC peer-peer pe bază de noduri. Asta inseamna ca niciun bot nu este constient de locatia oricarui alt robot, adesea facandu-i greu cercetatorilor de securitate sa gaseasca dimensiunile globale ale botnet-ului. Această structură, spune Damballa, este cea mai potrivită pentru leasing sau vânzarea de părți ale botnet-ului altora. Dezavantajul este că instrucțiunile iau mai mult timp pentru a-și atinge obiectivele, astfel încât unele tipuri de atacuri imposibil de coordonat.

Random este inversa structurii ierarhice. Acest botnet este descentralizat și utilizează mai multe căi de comunicare. Dezavantajul este că fiecare bot poate enumera alții în cartier și, adesea, comunicarea se situează între grupuri de roboți, făcând din nou unele atacuri imposibil de coordonat. Storm s-ar potrivi cu modelul Randbal al lui Damballa, așa cum ar fi botneturile bazate pe malware Conficker

Raportul, topologiile comunicării Botnet: Înțelegerea complexității comenzii și comenzii botnet, clasifică, de asemenea, diferite metode de flux rapid, metoda prin care un CnC server își schimbă domeniile în zbor. Damballa a descoperit că Domain Flux, un proces de schimbare și alocare a mai multor nume de domenii complet calificate într-o singură adresă IP sau într-o infrastructură CnC, este cel mai rezistent la descoperire și atenuare.

Robert Vamosi este un analist de risc, fraudă și securitate pentru Javelin Strategy & Research și un scriitor independent de securitate pentru calculatoare care acoperă hackeri și amenințări malware.