Güvenlik Uzmanları Botnet'leri Gözle Savunmadan Gözlerle Görselleştir

Tüm botnet'ler aynı şekilde düzenlenmez. Bu, hakim yapıları kategorize etmeyi amaçlayan Damballa'dan bir raporun sonucudur. Belli tipteki engelleme ve filtrelemenin neden bazı botnetlere karşı çalışacağını açıklamaya çalışıyor. Diğerleri için değil.

"Hibrid" tehdit afişi genellikle hakkında tartışılıyor, "diyor Günter Ollmann, Araştırmadan Sorumlu Başkan Yardımcısı, Damballa, botnet azaltma konusunda uzmanlaşmış güvenlik şirketi "Ancak bu etiket, işletmeyi savunmakla görevlendirilmiş ekiplere hiçbir şey ifade etmiyor. Topolojileri (ve güçlü ve zayıf yanları) açıklayarak bu ekipler, tehdidi daha iyi görselleştirebilir."

Yıldız yapısı en temel ve Komuta ve Kontrol (CnC) sunucusu ile bireysel botlar doğrudan iletişim sunar. Yıldız benzeri bir desende görselleştirilebilir. Ancak, bir CnC sunucusuyla doğrudan iletişim sağlayarak, botnet tek bir hata noktası oluşturur. CnC sunucusunu çıkar ve botnetin süresi dolar. Ollmann, kutunun dışında yer alan Zeus DIY botnet kitinin bir yıldız deseni olduğunu söylüyor, ancak bu bot yöneticileri çoğu zaman yükseltme yapıyor ve çoklulaştırıcı yapıyor.

"Çoğu durumda, belirli botnet'ler yalnızca bir CnC topolojisinin üyesi olarak sınıflandırılabilir. -Ama genellikle seçtikleri botnet ustasına geçiyorlar. "

Multi-Server, Star bot yapısının bireysel botlara talimatları beslemek için birden fazla CnC sunucusu kullanarak mantıksal olarak genişletilmesidir. Bu tasarım, Ollmann'ın herhangi bir CnC sunucusunun aşağı inmesi gerektiğinde esneklik sunduğunu söylüyor. Ayrıca yürütmek için karmaşık planlama gerektirir. Srizbi, çok sunuculu bir CnC topolojisi botnet'inin klasik bir örneğidir.

Hiyerarşik botnet yapısı çok merkezileştirilmiştir ve genellikle çok aşamalı botnet'lerle ilişkilendirilir - örneğin, bot ajanları, bot ajanlarının solucan yayılma kabiliyetine sahiptir - ve süper kullanır -node tabanlı peer-to-peer CnC. Bu, herhangi bir botun başka bir botun yerini bilmediği anlamına gelir, bu da genellikle güvenlik araştırmacılarının botnet'in toplam büyüklüğünü göstermesini zorlaştırır. Bu yapı, Damballa, botnet'in parçalarını başkalarına kiralamak veya satmak için en uygun olanıdır. Bunun dezavantajı, talimatların hedeflerine ulaşmak için daha uzun sürmesidir, böylece bazı tür saldırıların koordine edilmesi imkansızdır.

Rastgele, Hiyerarşik yapının tersidir. Bu botnet merkezi olmayan ve çoklu iletişim yolları kullanıyor. Dezavantajı, her bir botun mahalledeki diğerlerini sıralayabilmesidir ve çoğu zaman iletişim, botların kümeleri arasında kalmaktadır ve yine bazı saldırıların koordine edilmesini imkânsız hale getirmektedir. Fırtına, Conficker kötü amaçlı yazılımına dayanan botnets gibi Damballa'nın Rastgele modeline uyacaktır

Rapor, Botnet İletişim Topolojileri: Botnet Komutanlığı ve Denetimi'nin karışıklıklarını anlamak, aynı zamanda hızlı akı farklı yöntemlerini de sıraladı, bir CnC yöntemi Sunucu etki alanlarını anında değiştirir. Damballa, Çoklu Fully Kalifiye Alan Adlarını tek bir IP adresine veya CnC altyapısına göre değiştiren ve tahsis eden bir süreç olan Domain Flux'un keşif ve hafifletme için en uygun çözüm olduğunu keşfetti.

Robert Vamosi bir risk, sahtekarlık ve güvenlik analisti. Cirit Strategy & Research ve suçlu bilgisayar korsanları ve kötü amaçlı yazılım tehditlerini kapsayan bağımsız bir bilgisayar güvenlik yazarı.