Znaleźć igłę w stogu siana

Wykorzystywany w BotHunterze model propagacji złośliwego oprogramowania klasyfikuje akcje na podstawie tych połączeń wychodzących z sieci lokalnej, które wskazują na zachowanie typowe dla malware. Tam, gdzie jest to możliwe, opcjonalnie kojarzy się je także z aktywnością w sieci lokalnej. Typowy proces infekcji rozpoczyna się za pomocą eksploita pobranego ze strony WWW lub przesłanego pocztą elektroniczną. Następnie, po infekcji hosta, pobierane są dalsze składniki, są one instalowane i zgłaszają się do koordynującego serwera (jeśli to jest infekcja w celu dołączenia maszyny do botnetu, uruchomienia spyware itp.).

Kolejnym etapem jest propagacja infekcji na inne maszyny, co powoduje wykrywalne działania - skanowanie sieci, kolejne użycie eksploitów - albo też działanie samego złośliwego kodu - wysyłanie spamu, przygotowanie do następnych ataków. Gdy malware próbuje połączyć się ze swoimi serwerami kontrolującymi botnet (zwanymi C&C), BotHunter może rozpoznać je za pomocą wzorców, znanych adresów IP lub klas adresów podejrzewanych o pracę serwerów C&C.

Każdy z tych sygnałów może świadczyć o zarażeniu komputerów przez malware, ale nie zawsze występują wszystkie z nich, nie zawsze jest też zachowana kolejność zgłoszeń, dlatego przypisywane są im odpowiednie wagi i dopiero końcowy wynik świadczy o tym, czy jest to fałszywy alarm, czy informacja o prawdziwej infekcji. Aby zredukować ilość fałszywych alarmów, dopracowano ogólne warunki bazujące na wagach zdarzeń (zmiennych od 0,8 do 3,8 - im wyżej, tym bardziej specyficzne jest to zdarzenie). Wystąpienie przynajmniej jednego z nich oznacza wysokie prawdopodobieństwo prawdziwej infekcji w sieci lokalnej firmy. Aby program dobrze działał, należy go włączyć w to miejsce sieci lokalnej, w którym będzie mógł rejestrować ruch wychodzący i przychodzący. Idealnym miejscem jest włączenie za pomocą narzędzia Tap do portu wewnętrznego zapory sieciowej albo ustawienie duplikowania ruchu na port analizujący na przełączniku sieciowym.

BotHunter jest oprogramowaniem dostępnym w modelu freeware, ale nie jest to projekt open source. Wspierane są systemy typu UNIX (Fedora, Red Hat Enterprise Linux, Debian, Ubuntu oraz SuSE, FreeBSD 7.0, MacOS X Tiger, Leopard 10.4 i 10.5) oraz Windows XP (tylko wersja 32 bit). Program można prosto uruchomić przy pomocy LiveCD, będącego odpowiednio przygotowaną dystrybucją Ubuntu wyposażoną w to oprogramowanie. Wersja dla Windows Vista jest zaplanowana, ale nie jest jeszcze dostępna.