DNS wskaże tajną sieć

Cyberprzestępcy wykorzystujący przejęte komputery do kradzieży informacji finansowych uodporniają sieci, by utrudnić ich wykrycie. Teraz do wykrywania botnetów można stosować zapytania DNS.

Do zarządzania botnetami powstają bardzo szybko ewoluujące sieci fast-flux, tworzone są dynamicznie domeny (podobną taktykę stosowano przy infekcji Confickerem), niekiedy przy rozpoznawaniu domen tworzone są skróty za pomocą mechanizmów ukrywających prawdziwy adres URL. Taktyka ta może jednak posłużyć do wykrycia sieci tworzonych przez operatorów botnetów. Prace związane z detekcją botnetów za pomocą analizy zmian w DNS prowadzi amerykańska wyższa uczelnia, Georgia Institute of Technology.

Badania prowadzone na tej uczelni udowodniły, że na podstawie dynamicznego wykrywania zmian w systemie DNS można wykrywać wczesne stadia rozwoju botnetów. Gdy zarządzający siecią tworzy infrastrukturę dla swojego botnetu, reputacja domeny zazwyczaj nie wskazuje na zagrożenie. Tymczasem analiza anomalii w DNS umożliwia wykrycie botnetu wraz z zarządzającą domeną z udokumentowanym prawdopodobieństwem wyższym niż 98%. W ubiegłym roku opublikowano dokument, w którym opisane są podstawy modelu detekcji zmian, a także sposób tworzenia bazy danych. Badania te prowadzone są na dość szeroką skalę, obejmując analizę wielu zarejestrowanych domen, by możliwie sprawnie wykrywać wszelkie odmienności, wskazujące na to, że dana domena może być związana z botnetem. Analizy te mogą być przeprowadzane także od środka firmowej sieci.

Domeny statystycznie analizowane

Notos i Kopis pomoże w zwalczaniu spamu

Technologia ta w zamierzeniach twórców nie została opracowana pod kątem samodzielnego działania, w pełni pokaże swoje możliwości w połączeniu z innymi motorami detekcji niepożądanych treści, takimi jak antyspam.

Systemy wykrywania botnetów za pomocą DNS są podzielone na dwie części funkcjonalne. Pierwsza z nich o nazwie Notos dynamicznie określa reputację par adresów nazwa domenowa/adres numeryczny IP. System ten pobiera dane odpytań DNS z registratorów i analizuje strukturę domeny, a szczególnie charakterystyki sieci i zony. Jest to analiza statyczna, która bazuje na wynikach pobranych zapytań oraz informacji o DNS.

Manos Antonakakis, badacz związany z Georgia Institute of Technology oraz współautor projektu, mówi: "System ten buduje modele znanych legalnych domen oraz tych, wykorzystywanych do złośliwego oprogramowania, a następnie wykorzystuje te modele do wyliczenia wyniku dla nowej domeny. Wynik ten wskazuje na to, czy jest to domena wykorzystywana legalnie, czy do celów przestępczości internetowej, między innymi z użyciem botnetów".

Druga część o nazwie Kopis może wykryć zmiany w infrastrukturze DNS w firmie, u dostawcy internetowego, a nawet w globalnej strukturze DNS w Internecie. Analiza tych zmian umożliwia wskazanie domen, które są wykorzystywane do dystrybucji lub zarządzania złośliwym oprogramowaniem. Systemy te wymagają wytrenowania za pomocą zasilania ćwiczebnymi danymi przez około 5 dni, a następnie mogą być wykorzystywane do detekcji botnetów. Kopis wykorzystuje sztuczną inteligencję, która analizuje wzorce zapytań, ich profile i częstotliwości, bazując na rzeczywistym rozrzucie odpytań.

Naprawdę wczesne ostrzeganie

Oba systemy razem mogą wykryć botnety takie jak IMDDOS oraz te, zbudowane z wykorzystaniem SpyEye. Jest to na tyle sprawne narzędzie, że wielokrotnie wykrywa już zorganizowane botnety, które dopiero za kilka tygodni rozpoczną swoją działalność, na przykład rozsyłając spam.

Odpowiedzialność zbiorowa

Wykrywanie botnetów za pomocą analiz stref i odpytań DNS ma także swoje wady. Na przykład Notos ma tendencję do blokowania legalnych stron WWW, które są hostowane u tego samego dostawcy, co malware. Swego rodzaju odpowiedzialność zbiorowa jest niekorzystnym zjawiskiem, ale jeśli technologia ta będzie stosowana konsekwentnie, na pewno zmniejszy prawdopodobieństwo hostowania stron rozsiewających malware z witryn rejestrowanych u poważnych dostawców usług.

Detektor wewnątrz firmowej sieci

Ponieważ odpytywanie DNS można analizować z dowolnej części sieci lokalnej, wyniki badań można wykorzystać w praktyce do wykrywania infekcji w sieci korporacyjnej. Taką usługę pod nazwą FirstAlert zaproponowała niedawno firma Damballa. Najważniejszą zaletą metody wykrywania infekcji złośliwym oprogramowaniem bazującej na statystycznej analizie odpytań DNS jest jej sprawność w początkowych etapach infekcji. Jeśli można wykryć odpytanie domen, o których wiadomo, że służą do rozsiewania złośliwego oprogramowania odpowiednio wcześnie w cyklu infekcji, można zapobiegać późniejszym skutkom. Niekiedy wykrywa się odpytania do nieznanych dotąd domen, ale wskazujące na to, że nowa domena być może służy do kontroli jakiegoś botnetu. Wtedy można przeprowadzić dodatkowe analizy - jeśli rzeczywiście jest to domena odpowiedzialna za malware, oznacza to bardzo poważne ostrzeżenie dla działu IT w firmie, gdyż w ich sieci któryś z komputerów jest zarażony złośliwym oprogramowaniem. Równie poważne ostrzeżenie jest generowane w przypadku znanych botnetów i domen.


TOP 200