Semalt: A Botnet tevékenységeinek megértése a Botnet beszivárgása révén

A botnetek az egyik legnagyobb informatikai biztonsági kihívás a számítógépes felhasználók előtt. Botmesterek ezrei dolgoznak éjjel-nappal a biztonsági társaságok és más érintett ügynökségek által kidolgozott biztonsági útblokkok elkerülése érdekében. A botnet-gazdaság komplexitása óriási növekedést mutat. Ebben a tekintetben Frank Abagnale, a Semalt ügyfél-menedzser szeretné elmondani neked a Cisco számítógépgyártó félelmetes gyakorlatát.

A Cisco biztonsági kutatócsoportjának egy nemrégiben elvégzett tanulmányában kiderült, hogy vannak botmesterek, akik heti 10 000 dollárt keresnek a bot tevékenységekből. Az ilyen személyek motivációjának köszönhetően, akiket érdekelne a kezükbe jutás a bűncselekménybe, a gyanútlan számítógépes felhasználók milliárdjai nagyobb kockázatnak vannak kitéve a botnet támadások következményeinek.

A Cisco kutatócsoport kutatása során arra törekedett, hogy megértse azokat a különféle technikákat, amelyeket a botmesterek használnak a gépek kompromittálására. Íme néhány dolog, amelyeket erőfeszítéseik segítettek felfedezni:

Óvakodj az Internet Relay Chat (IRC) forgalmától

A botnetek többsége az Internet Relay Chat (IRC) parancs-irányítási keretrendszert használja. Az IRC forráskódja könnyen elérhető. Így az új és tapasztalatlan botmesterek IRC forgalmat használnak az egyszerű botnetek terjesztésére.

Sok gyanútlan felhasználó nem érti a chat-hálózathoz való csatlakozás lehetséges kockázatait, különösen akkor, ha gépeiket nem védi a behatolás-megelőző rendszer valamilyen formája általi kizsákmányolások ellen.

A behatolás-érzékelő rendszer fontossága

A behatolás-érzékelő rendszer a hálózat szerves része. Rendszeresen tárolja a telepített internetes biztonságkezelő eszköz riasztásait, és lehetővé teszi egy botnet-támadást elszenvedő számítógépes rendszer kijavítását. Az észlelési rendszer lehetővé teszi a biztonsági kutató számára, hogy megtudja, mit csinált a botnet. Ez azt is segíti, hogy meghatározzuk, milyen információ került veszélybe.

Minden botmester nem számítógépes geikus

Sokan állításával ellentétben a botnet működtetéséhez nincs szükség fejlett számítógépes tapasztalatokra vagy a kódolás és a hálózatépítés szaktudására. Vannak botmesterek, akik tényleg hozzáértőek tevékenységükhöz, mások egyszerűen amatőrök. Következésképpen egyes botok nagyobb jártassággal készülnek, mint mások. Fontos, hogy a hálózat védelmének megtervezésekor mindkét típusú támadót szem előtt tartsuk. De mindegyikük számára az elsődleges motivátor a könnyű pénz megszerzése minimális erőfeszítéssel. Ha egy hálózat vagy gép túl sokáig vesz igénybe a kompromisszumot, egy botmester továbbmegy a következő célpontra.

Az oktatás fontossága a hálózati biztonság szempontjából

A biztonsági erőfeszítések csak a felhasználói oktatás mellett eredményesek. A rendszergazdák általában javítják a kiszolgáltatott gépeket vagy telepítenek egy IPS-t, hogy megvédjék a gépet a kizsákmányolásoktól. Ha azonban a felhasználót nem ismeri jól a biztonsági fenyegetések, például a botnetek elkerülésének különféle módjai, akkor a legújabb biztonsági eszközök hatékonysága is korlátozott.

A felhasználót folyamatosan oktatni kell a biztonságos viselkedésről. Ez azt jelenti, hogy egy vállalkozásnak növelnie kell a felhasználói oktatásra fordított költségvetését, ha csökkenti a spam-kiszolgálók, az adatlopások és más számítógépes fenyegetések kiszolgáltatottságát.

A botnetek gyakran furcsaságként fordulnak elő egy hálózatban. Ha a hálózat egyik vagy több gépének forgalma kiemelkedik a többitől, akkor a gép (ek) veszélybe kerülhetnek. Az IPS-sel könnyű felismerni a botnet sebezhetőségét, de a felhasználó számára fontos, hogy tudja, hogyan érzékelheti a biztonsági rendszerek, például az IPS által keltett riasztásokat. A biztonsági kutatóknak figyelmeztetniük kell azokat a gépeket is, amelyek bizonyos furcsa viselkedést mutatnak.