Eksperci ds. Bezpieczeństwa wizualizują botnety z okiem w stronę obrony

Nie wszystkie botnety są zorganizowane w ten sam sposób. Taki jest wniosek raportu Damballa, który stara się kategoryzować dominujące struktury. Próbuje wyjaśnić, dlaczego niektóre rodzaje blokowania i filtrowania będą działać przeciwko niektórym botnetom, a nie dla innych.

"Hybrydowy" baner zagrożenia jest często rzucany ", mówi Gunter Ollmann, wiceprezes działu badań, Damballa, przedsiębiorstwo firma ochroniarska specjalizująca się w łagodzeniu botnetów "Ale ta etykieta nic nie znaczy dla zespołów odpowiedzialnych za obronę przedsiębiorstwa. Wyjaśniając topologie (oraz ich mocne i słabe strony), zespoły te mogą lepiej zwizualizować zagrożenie."

Struktura gwiazdy jest najbardziej podstawowa i oferuje indywidualne boty bezpośrednią komunikację z serwerem Command and Control (CnC). Można go wizualizować w podobny do gwiazdy wzór. Jednak dzięki bezpośredniej komunikacji z jednym serwerem CnC botnet tworzy pojedynczy punkt awarii. Wyjmij serwer CnC i wygasa botnet. Ollmann mówi, że zestaw botnetów Zeus DIY jest gotowy do użycia, jest wzorcem gwiazdy, ale botmasterzy często go aktualizują, co czyni go serwerem multiserver.

"W większości przypadków poszczególne botnety można zaklasyfikować jako członków tylko jednej topologii CnC. - ale często zależy to od tego, którego z nich wybiorą.

Multiserwer jest logicznym rozszerzeniem struktury gwiazdy przy użyciu wielu serwerów CnC, które przekazują instrukcje poszczególnym botom. Ten projekt, mówi Ollmann, oferuje elastyczność w przypadku awarii jednego serwera CnC. Wymaga to również wyrafinowanego planowania w celu wykonania. Srizbi jest klasycznym przykładem botnetu topologii CnC z wieloma serwerami.

Hierarchiczna struktura botnetów jest wysoce scentralizowana i często kojarzona jest z wieloetapowymi botnetami - na przykład botnety, których agenci mają możliwości propagacji robaka - i wykorzystują super-botnety -node-peer-to-peer CnC. Oznacza to, że nikt nie jest świadomy lokalizacji innych botów, co często utrudnia badaczom bezpieczeństwa zmierzenie ogólnego rozmiaru botnetu. Ta struktura, mówi Damballa, najlepiej nadaje się do wynajmu lub sprzedaży części botnetu innym. Minusem jest to, że instrukcje zabierają więcej czasu na osiągnięcie swoich celów, więc niektóre rodzaje ataków są niemożliwe do uzgodnienia.

Losowe jest odwrotnością hierarchicznej struktury. Ten botnet jest zdecentralizowany i wykorzystuje wiele ścieżek komunikacyjnych. Minusem jest to, że każdy bot może wyliczyć inne w sąsiedztwie, a często opóźnienia komunikacyjne między grupami botów, ponownie uniemożliwiając koordynację niektórych ataków. Burza pasowałaby do losowego modelu Damballa, podobnie jak botnety oparte na szkodliwym oprogramowaniu Conficker

Raport, Topologie komunikacji botnetowej: Zrozumienie zawiłości botnetu Command-and-Control, również uszeregowało różne metody szybkiego strumienia, metodę, za pomocą której CnC serwer zmienia swoje domeny w locie. Damballa stwierdził, że Domain Flux, proces zmieniający się i przydzielanie wielu w pełni kwalifikowanych nazw domen do pojedynczego adresu IP lub infrastruktury CnC, jest najbardziej odporny na odkrywanie i łagodzenie.

Robert Vamosi jest analitykiem ryzyka, oszustów i bezpieczeństwa dla Javelin Strategy & Research i niezależny program komputerowy zajmujący się bezpieczeństwem obejmujący hakerów i złośliwe oprogramowanie przestępcze.