Wykrywanie botnetów przez analizę zachowań

Czwartek, 29 lipca 2010 (16:11)

Od dwóch lat cyberprzestępcy wykorzystują zainfekowane komputery jako sieciowe platformy takich działań, jak wysyłanie spamu, ataki DDoS (Distributed Denial of Service) czy kradzież danych i pieniędzy z kont bankowych na dużą skalę.

Wykrywanie szkodliwego oprogramowania metodą analizy zachowań w sieci fot. Brad Martyna /stock.xchng

Botnet (od angielskiego wyrażenia "roBot Network") kontroluje od kilkudziesięciu do kilkuset tysięcy komputerów "zombie" oraz wolnych zasobów sieciowych i obliczeniowych, najczęściej w sposób niezauważalny dla właściciela. Przykładami takich szkodliwych infrastruktur są Conficker, Storm i Waledac. Zostały one zaprojektowane tak, aby były odporne na programy antywirusowe i działania instytucji prawnych.

Cele i zadania

Celem tych badań jest zastąpienie nieefektywnych narzędzi, takich jak programy antywirusowe i osobiste zapory, przez systemy wykrywania sieci. Po pierwsze, sygnatury plików tych wirusów są zmieniane za każdym razem poprzez przepakowywanie, szyfrowanie i polimorfizm kodu binarnego. Wirusy te (tzw. rootkity) stają się więc niewidoczne dla systemu operacyjnego, a oprogramowanie antywirusowe nie jest w stanie ich wykryć. Po drugie, niestandardowy protokół sieciowy używany do aktualizacji, kontroli i wydawania poleceń jest szyfrowany, co pozwala na zmylenie zapór i systemów wykrywania włamań.

Po trzecie, takie infrastruktury sieciowe są rozproszone, co znacznie utrudnia walkę z nimi zarówno pod względem technicznym, jak i prawnym.

Innowacje

Chodzi o to, że aby ominąć zaporę, trzeba zastosować protokół operujący czystym, niezaszyfrowanym tekstem w pierwszym kontakcie między zainfekowanym komputerem a węzłem zdalnej kontroli i poleceń. Jest to najczęściej protokół DNS oparty na systemie nazw domen <->, który w tym przypadku zostaje użyty nieco inaczej.

Celem Alcatel-Lucent jest opis zachowań sieci botnetów, które używają protokołu DNS, umożliwiający klasyfikację legalnych i nielegalnych działań w sieci DNS oraz rozpoznanie zainfekowanych komputerów.

Scenariusz

Wykorzystując dane zgromadzone w kampusie, testowane są metody wykrywania botnetów. Badania są prowadzone we współpracy ze specjalistami ds. statystyki z Bell Labs w Murray Hill. Dzięki temu stworzone zostały narzędzia, które będą wykrywać zainfekowane komputery tylko na podstawie obserwacji ich zachowań w sieci. Dzięki temu Alcatel-Lucent będzie mógł dostarczać na rynek wbudowane rozwiązania sieciowe.

ródło informacji: INTERIA.PL/informacje prasowe