Bezpečnostní experti vizualizují botnety s pohledem na obranu

Ne všechny botnety jsou organizovány stejným způsobem. To je závěr zprávy Dambally, která se snaží kategorizovat dominantní struktury. Pokouší se vysvětlit, proč některé typy blokování a filtrování budou fungovat proti některým botnetům, a nikoli jiným.

"Hybridní banner ohrožení je často obsazen," říká Gunter Ollmann, viceprezident společnosti Damballa, společnost bezpečnostní společnost specializující se na zmírňování botnetů "Ale tento štítek neznamená nic pro týmy pověřené obhajováním podniku. Vysvětlením topologií (a jejich silných a slabých stránek) tyto týmy lépe vizualizují hrozbu."

Struktura Star je nejzákladnější a nabízí jednotlivým robotům přímou komunikaci se serverem Command and Control (CnC). Může být zobrazen ve hvězdném vzoru. Avšak přímou komunikací s jedním CnC serverem vytvoří botnet jediný bod selhání. Vyndejte server CnC a botnet vyprší. Ollmann říká, že balíček botnetů Zeus DIY je z hvězdokupy hvězdný vzorek, ale boty často upgradují a dělají to jako multiserver.

"Ve většině případů mohou být konkrétní botnety zařazeny jako člen jedné topologie CnC - - ale často je to na botnet master, které si zvolí. "

Multi-Server je logické rozšíření struktury Star používající více serverů CnC k tomu, aby přinesl pokyny jednotlivým robotům. Tento návrh, říká Ollmann, nabízí pružnost, pokud by se nějaký server CnC snížil. To také vyžaduje sofistikované plánování, aby bylo možné provést. Srizbi je klasickým příkladem botnetu pro topologie CnC s více servery.

Hierarchická struktura botnetu je vysoce centralizovaná a často je spojena s vícestupňovými botnety - například s botnety, kteří jsou agenti bot, mají schopnosti šíření červů - a využívají super -node-based peer-to-peer CnC. To znamená, že žádný bot si není vědom umístění jakýchkoli jiných robotů, což často vede k tomu, že výzkumníci v oblasti bezpečnosti často obtížně posuzují celkovou velikost botnetu. Tato struktura, říká Damballa, je nejvhodnější pro pronájem nebo prodej částí botnetu jiným. Nevýhodou je, že instrukce trvají déle na dosažení cílů, takže některé druhy útoků jsou nemožné koordinovat.

Náhodná je opačná hierarchická struktura. Tento botnet je decentralizovaný a využívá více komunikačních cest. Nevýhodou je, že každý bot může vyčíslit další v sousedství a často komunikace zaostává mezi skupinami robotů a opět umožňuje některé útoky nemožné koordinovat. Storm by vyhovoval modelu Damballa Random, stejně jako botnety založené na škodlivém softwaru Conficker

Zpráva Botnet Komunikační topologie: Pochopení komplikací botnet Command-and-Control také zařadil různé metody rychlého toku, metodu, pomocí níž CnC server změní své domény za běhu. Damballa zjistila, že doménový tok, proces, který mění a přiděluje několik plně kvalifikovaných doménových jmen na jednu adresu IP nebo infrastrukturu CnC, je nejvíce odolný vůči objevům a zmírňování.

Robert Vamosi je analytik rizik, podvodů a bezpečnosti Javelin Strategy & Research a nezávislý spisovatel počítačové bezpečnosti, který se zabývá kriminálními hackery a malwarovými hrozbami.