Sicherheitsexperten Botnetze mit Blick auf die Verteidigung visualisieren

Nicht alle Botnetze sind auf die gleiche Weise organisiert. Das ist die Schlussfolgerung eines Berichts von Damballa, der die dominierenden Strukturen kategorisieren will. Es versucht zu erklären, warum bestimmte Arten des Blockierens und Filterns gegen einige Botnetze und nicht gegen andere wirken.

"Das 'hybride' Bedrohungsbanner wird oft angeklagt", sagt Gunter Ollmann, Vizepräsident für Forschung, Damballa, ein Unternehmen Sicherheitsfirma mit Spezialisierung auf Botnet-Abschwächung "Aber dieses Label bedeutet nichts für Teams, die mit der Verteidigung des Unternehmens beauftragt sind. Durch die Erklärung der Topologien (und ihrer Stärken und Schwächen) können diese Teams die Bedrohung besser visualisieren."

Die Star-Struktur ist die grundlegendste und bietet einzelnen Bots eine direkte Kommunikation mit dem CnC-Server (Command and Control). Es kann in einem sternähnlichen Muster visualisiert werden. Durch direkte Kommunikation mit einem CnC-Server erzeugt das Botnet jedoch einen einzigen Fehlerpunkt. Nehmen Sie den CnC-Server heraus und das Botnet läuft ab. Ollmann sagt, dass das Zeus DIY-Botnet-Kit ein Standardmuster ist, aber dass Botmaster oft upgraden, was es zu einem Multiserver macht.

"In den meisten Fällen können bestimmte Botnets als Mitglied einer einzigen CnC-Topologie klassifiziert werden." - Aber es ist oft der Botnet-Master, welchen sie wählen. "

Multi-Server ist die logische Erweiterung der Star-Struktur mit mehreren CnC-Servern, um Anweisungen an die einzelnen Bots zu übermitteln. Dieser Entwurf, sagt Ollmann, bietet Ausfallsicherheit, sollte ein CnC-Server ausfallen. Es erfordert auch eine ausgeklügelte Planung, um ausgeführt zu werden. Srizbi ist ein klassisches Beispiel für ein CnC-Topologie-Botnet mit mehreren Servern.

Die hierarchische Botnetzstruktur ist stark zentralisiert und wird oft mit mehrstufigen Botnetzen - zum Beispiel Botnetzen, deren Bot-Agenten Wurmausbreitungsfähigkeiten besitzen - in Verbindung gebracht und nutzt super - node-basiertes Peer-to-Peer-CnC. Das bedeutet, dass sich kein Bot über den Standort anderer Bots bewusst ist, was es den Sicherheitsforschern oft schwer macht, die Gesamtgröße des Botnetzes zu bestimmen. Diese Struktur, sagt Damballa, eignet sich am besten für das Leasing oder den Verkauf von Teilen des Botnetzes an andere. Der Nachteil ist, dass die Instruktionen länger brauchen, um ihre Ziele zu erreichen, so dass einige Arten von Angriffen unmöglich zu koordinieren sind.

Zufällig ist die Umkehrung der Hierarchischen Struktur. Dieses Botnetz ist dezentral und nutzt mehrere Kommunikationswege. Der Nachteil besteht darin, dass jeder Bot andere in der Nachbarschaft aufzählen kann, und dass die Kommunikation oft zwischen Bots-Clustern zurückbleibt, wodurch wiederum einige Angriffe unmöglich koordiniert werden können. Storm würde Damballas Random-Modell passen, ebenso wie Botnets auf der Basis der Conficker-Malware

Der Bericht, Botnet Communication Topologies: Verständnis der Feinheiten von Botnet Command-and-Control, ordnete auch verschiedene Methoden des schnellen Flusses, die Methode, mit der ein CnC Server ändert seine Domänen im laufenden Betrieb. Damballa stellte fest, dass Domain Flux, ein Prozess, bei dem mehrere vollqualifizierte Domainnamen für eine einzelne IP-Adresse oder CnC-Infrastruktur geändert werden, am widerstandsfähigsten gegenüber Erkennung und Minderung ist.

Robert Vamosi ist ein Risiko-, Betrugs- und Sicherheitsanalytiker Javelin Strategy & Research und ein unabhängiger Computer-Sicherheitsexperte über kriminelle Hacker und Malware-Bedrohungen.