Śledzenie zmian w DNS pozwala wyłapać botnety?
- IDG News Service,
- Antoni Steliński,
- 22.06.2011, godz. 12:25
Operatorzy botnetów stosują coraz to przemyślniejsze sposoby maskowania aktywności sieci komputerów zombie - powszechnie używają m.in. sieci typu fast-flux oraz najróżniejszych technik generowania domen. Okazuje się jednak, że te przebiegłe sztuczki mogą zadziałać na ich niekorzyść - naukowcy z Institute of Technology stanu Georgia opracowali bowiem metodę detekcji botnetów wykorzystując właśnie mechanizmy jakich botnety używają do ukrywania się.
Zobacz też:
Na początku tego tygodnia firma Damballa - specjalizująca się w bezpieczeństwie sieciowym - udostępniła nową usługę wykrywania botnetów, opierającą się właśnie na technologii naukowców z GATech. System FirstAlert stale analizuje zachowania wskazanej sieci i wykrywa w niej anomalie DNS świadczące o pojawieniu się w infrastrukturze klienta komputerów należących do botnetu.
"Skoro jesteśmy w stanie wykryć groźne zachowania na tak wczesnym etapie, to możemy w łatwy sposób zablokować wszelkie szkodliwe oprogramowanie. Zasada działania naszego systemu jest prosta - pozwala nam on błyskawicznie wykryć w systemie klienta dziwne, nietypowe zapytania DNS, przeanalizować je i wykryć ewentualne zagrożenie" - tłumaczy David Holmes, wiceprezes Damballa.
W dokumentacji zostały opisane dwa systemy. Pierwszy z nich, Notos, określa dynamicznie reputację par nazwa domeny/adres IP. System gromadzi odpowiedzi DNS od ich rejestratora i analizuje strukturę domeny ze szczególnym naciskiem na sieć i charakterystykę strefy.
"Nasze rozwiązanie przewiduje stworzenie modeli bezpiecznych i potencjalnie groźny domen - są one następnie wykorzystywane do wyliczenia "reputacji" nowych, nieznanych domen" - tłumaczy Manos Antonakakis, naukowiec z GATech i współautor opracowania. Drugi system - Kopis - wykrywa zmiany w cache DNS danej firmy, dostawcy usług internetowych oraz globalnym DNS Internetu, które mogą świadczyć o pojawieniu się "złośliwych" aktywności. "Kopis potrzebuje ok. 5 dni "treningu", później jest w stanie z dużą precyzją wykrywać zagrożenia. To klasyczny przykład uczącej się maszyny - można ją wytrenować tak, by sprawnie wykrywała pewne zachowania oraz sekwencja zachowań, w oparciu o zapytania DNS" - tłumaczy David Holmes.
Oba systemy zaprojektowano z myślą o ścisłej współpracy - producent twierdzi, że wtedy charakteryzują się najwyższą skutecznością i są w stanie wykrywać wszystkie popularne obecnie typy botnetów.