Biztonsági szakértők a botnetek szemrevételezésével a védelemhez

Az összes botnet nem ugyanúgy szerveződik. Ez a Damballa által készített jelentés, amely a domináns struktúrák kategorizálására törekszik. Megpróbálja megmagyarázni, hogy egyes blokkolási és szűrési módok miért fognak működni egyes botnetek ellen, és nem mások számára.

"A" hibrid "fenyegető banneret gyakran leadják" - mondja Gunter Ollmann, a Damballa kutatási igazgatója, egy vállalkozás a botnet mérséklésére szakosodott biztonsági cég "De ez a címke semmit sem jelent a csapatok védelmére felszólított csapatoknak, a topológiák (és erősségeik és gyengeségeik magyarázatával) ezek a csapatok jobban képesek felismerni a fenyegetést."

A csillagszerkezet a legalapvetőbb és egyedi botokat kínál közvetlen kommunikációra a Command and Control (CnC) szerverrel. Ez látható egy csillagszerű mintában. Ugyanakkor egy CnC kiszolgálóval történő közvetlen kommunikáció révén a botnet egyetlen hibahelyet hoz létre. Vegye ki a CnC szervert és a botnet lejár. Ollmann szerint a Zeus barkács botnett készlet a dobozon kívül csillagminta, de a botmesterek gyakran frissítik, így többszörösek.

"A legtöbb esetben egyes botnetek csak egy CnC topológiának tagjai lehetnek, - de gyakran a botnet mesterhez tartozik, amelyiket választanak. "

A Multi-Server a csillag struktúrájának logikai kiterjesztése több CnC szerver segítségével az egyes robotok utasításainak betöltésére. Ez a design, mondja Ollmann, rugalmasságot kínál, ha bármelyik CnC szerver leesik. Ehhez kifinomult tervezést is igényel a végrehajtás érdekében. A Srizbi egy többcélú CnC topológia botnet klasszikus példája.

A hierarchikus botnet struktúra erősen központosított, és gyakran kapcsolódik a többfázisú botnetekhez - például olyan botnetekhez, amelyeknek bot ügynökei vannak féregszaporítási képességekkel - és szuper -node-alapú peer-to-peer CnC. Ez azt jelenti, hogy egyetlen bot sem ismeri más botok helyét, gyakran megnehezítve a biztonsági kutatók számára a botnet teljes méretét. Ez a szerkezet, mondja Damballa, a legalkalmasabb a lízing vagy eladási része a botnet másoknak. A hátránya az, hogy az utasítások hosszabb ideig tartanak a célok elérése érdekében, így bizonyos típusú támadások nem lehetnek koordinálva.

A véletlenszerű a Hierarchikus struktúra fordítottja. Ez a botnet decentralizált és több kommunikációs útvonalat használ. A hátránya az, hogy minden bot felsorolhat másokat a szomszédságban, és gyakran a kommunikáció elmarad a botok csoportjaitól, és újra megakadályozza a támadások koordinálását. A Storm a Damballa Random modelljéhez illeszkedne, ahogyan a Conficker rosszindulatú szoftverekből álló botnetek is.

A jelentés, Botnet Communication Topologies: A botnet Command-and-Control bonyolultságainak megértése mellett a gyors fluxus különböző módszereit, a CnC a kiszolgáló megváltoztatja domainjeit. Damballa úgy találta, hogy a Domain Flux, amely több, teljesen teljesen minősített domainnévnek egyetlen IP-címmel vagy CnC infrastruktúrával történő módosítását és elosztását jelenti, a legmegfelelőbb a felfedezéshez és az enyhítéshez.

Robert Vamosi kockázati, csalás és biztonsági elemző Javelin Strategy & Research és egy független számítógépes biztonsági író, amely bűnözői hackereket és rosszindulatú programokat fenyeget.