Artikel top billede

Ny teknik får de skjulte botnet frem i lyset

Forskere har fundet frem til en metode til finde de botnet, der skjuler sig bag tilfældigt genererede domænenavne.

Computerworld News Service: Forskere ved Texas A&M University har fundet en ny metode til at opdage botnet, der skjuler sig bag konstant skiftende domænenavne.

Dr. Narasimha Reddy fra universitetets institut for elektroteknik og datalogi har samarbejdet med to studerende, Sandeep Yadav og Ashwath Reddy, samt med Supranamaya "Soups" Ranjan fra firmaet Narus om udviklingen af den nye metode.

Den kan bruges til at opdage botnet såsom Conficker, Kraken og Torpig, som anvender såkaldt DNS domain-fluxing i deres kommando-infrastruktur.

Sådanne bots generer tilfældige domænenavne. En bot forespørger en række domænenavne, men domæne-ejeren registrerer kun et enkelt.

Som eksempel peger forskningen på Conficker-A, der genererede 250 domæner hver tredje time. For at gøre det sværere for sikkerhedsleverandørerne at registrere domænenavnene på forhånd øgede den næste version, Conficker-C, antallet af tilfældigt genererede domænenavne per bot til 50.000.

Forskningen peger også på, at bots fra Torpig-netværket "anvender et interessant trick, hvor udgangspunktet for generatoren af tilfældige strenge er baseret på et af de mest populære aktuelle emner på Twitter."

Kraken anvender ifølge forskningen en langt mere sofistikeret generator af tilfældige ord til at konstruere tilfældige nye ord, der tilsyneladende er engelsksprogede med korrekt sammensatte vokaler og konsonanter. Det tilfældigt genererede ord kombineres med en endelse, der vælges tilfældigt fra en pulje af almindelige endelser fra engelske substantiver, verber, adjektiver og adverbier, forklarer forskerne.

Nuværende metoder til opdagelse af botnet kræver, at analytikere udfører reverse engineering af bot-malwaren for at kunne forudsige de genererede domæner, så de kan finde frem til kommando-serveren. Sikkerhedsleverandørerne er nødt til at registrere alle de domæner som en bot sender forespørgsler til hver dag, endda før botnettets ejer registrerer dem. Det er en tidskrævende proces, fremhæves det i forskningsartiklen.

Mønstre og tilfældigheder

Texas A&M udtaler at Reddys metode søger efter mønstre og distributionen af alfabetiske tegn i domænenavnet for at afgøre om det er skadeligt eller legitimt. Det gør det muligt at bruge metoden til at opdage de algoritmisk genererede domænenavne relateret til botnet.

"Vores metode analyserer blot DNS-trafik og kan derfor let skaleres til store netværk," siger Reddy.

"Den kan opdage tidligere ukendte botnet ved at analysere en lille brøkdel af netværkstrafikken."

Botnet, der både anvender såkaldt IP fast-flux og domain fast-flux, kan ifølge Reddy også opdages af den foreslåede teknik.

IP fast-flux er en metode, hvor skadelige websites er i konstant rotation mellem adskillige IP-adresser, hvilket ændrer deres DNS-oplysninger og forhindrer at de bliver opdaget af analytikere, internetudbydere eller politi.

Reddys nye detektionsmetode har allerede opdaget to tidligere ukendte botnet. Det ene af de to nye botnet genererer tilfældige navne, der består af 57 tegn, mens det andet genererer navne ved hjælp af sammenkædning af to tilfældige ordbogsopslag.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere