Pakar Keamanan Memvisualisasikan Botnet Dengan Mata Menuju Pertahanan

Tidak semua botnet diatur dengan cara yang sama. Itu adalah kesimpulan dari laporan dari Damballa yang berusaha mengkategorikan struktur yang mendominasi. Ini mencoba untuk menjelaskan mengapa beberapa jenis pemblokiran dan penyaringan akan bekerja melawan beberapa botnet, dan bukan untuk yang lain.

"Banner ancaman 'hibrida' sering dilemparkan," kata Gunter Ollmann, VP of Research, Damballa, sebuah perusahaan perusahaan keamanan yang mengkhususkan diri dalam mitigasi botnet "Tapi label itu tidak berarti apa-apa bagi tim yang ditugaskan membela perusahaan. Dengan menjelaskan topologi (dan kekuatan dan kelemahan mereka) tim ini dapat memvisualisasikan ancaman dengan lebih baik."

Struktur Bintang adalah yang paling dasar dan menawarkan bot individu komunikasi langsung dengan server Command and Control (CnC). Ini dapat divisualisasikan dalam pola bintang-seperti. Namun, dengan menyediakan komunikasi langsung dengan satu server CnC, botnet menciptakan satu titik kegagalan. Keluarkan server CnC dan botnet kedaluwarsa. Ollmann mengatakan kit botnet DIY Zeus, di luar kotak, adalah pola bintang, tetapi botmasters itu sering memutakhirkan, membuatnya multiserver.

"Dalam banyak kasus, botnet tertentu dapat digolongkan sebagai anggota hanya satu topologi CnC- -tetapi itu sering turun ke master botnet yang mana yang mereka pilih. "

Multi-Server adalah ekstensi logis dari struktur Star menggunakan beberapa server CnC untuk memberi makan instruksi ke bot individu. Desain ini, kata Ollmann, menawarkan ketahanan jika ada server CnC yang turun. Ini juga membutuhkan perencanaan yang rumit untuk dapat dieksekusi. Srizbi adalah contoh klasik dari botnet topologi CnC multi-server.

Struktur botnet Hierarkis sangat terpusat dan sering dikaitkan dengan botnet multi-tahap - misalnya botnet yang agen botnya memiliki kemampuan propagasi worm - dan memanfaatkan super -node berbasis peer-to-peer CnC. Itu berarti tidak ada satu pun bot yang mengetahui lokasi bot lain, sering membuat para peneliti keamanan kesulitan untuk mengukur ukuran keseluruhan botnet. Struktur ini, kata Damballa, paling cocok untuk menyewakan atau menjual bagian-bagian botnet kepada orang lain. Kelemahannya adalah bahwa instruksi membutuhkan waktu lebih lama untuk mencapai target mereka sehingga beberapa jenis serangan tidak mungkin untuk berkoordinasi.

Acak adalah kebalikan dari struktur Hirarkis. Botnet ini terdesentralisasi dan menggunakan beberapa jalur komunikasi. Kelemahannya adalah bahwa setiap bot dapat menyebutkan satu sama lain di lingkungan, dan sering komunikasi tertinggal antara kelompok bot, lagi membuat beberapa serangan tidak mungkin untuk berkoordinasi. Badai akan cocok dengan model Acak Damballa, seperti botnet berdasarkan malware Conficker

Laporannya, Botnet Communication Topologies: Memahami seluk-beluk botnet Command-and-Control, juga memberi peringkat metode fluks cepat yang berbeda, metode dimana CnC server mengubah domainnya dengan cepat. Damballa menemukan bahwa Domain Flux, sebuah proses yang mengubah dan mengalokasikan beberapa Nama Domain Sepenuhnya Berkualitas ke satu alamat IP atau infrastruktur CnC, adalah yang paling tahan terhadap penemuan dan mitigasi.

Robert Vamosi adalah seorang analis risiko, penipuan, dan keamanan untuk Javelin Strategy & Research dan penulis keamanan komputer independen yang mencakup peretas kriminal dan ancaman malware.