Computerworld News Service: Forskere ved Texas A&M University har fundet en ny metode til at opdage botnet, der skjuler sig bag konstant skiftende domænenavne.
Dr. Narasimha Reddy fra universitetets institut for elektroteknik og datalogi har samarbejdet med to studerende, Sandeep Yadav og Ashwath Reddy, samt med Supranamaya "Soups" Ranjan fra firmaet Narus om udviklingen af den nye metode.
Den kan bruges til at opdage botnet såsom Conficker, Kraken og Torpig, som anvender såkaldt DNS domain-fluxing i deres kommando-infrastruktur.
Sådanne bots generer tilfældige domænenavne. En bot forespørger en række domænenavne, men domæne-ejeren registrerer kun et enkelt.
Som eksempel peger forskningen på Conficker-A, der genererede 250 domæner hver tredje time. For at gøre det sværere for sikkerhedsleverandørerne at registrere domænenavnene på forhånd øgede den næste version, Conficker-C, antallet af tilfældigt genererede domænenavne per bot til 50.000.
Forskningen peger også på, at bots fra Torpig-netværket "anvender et interessant trick, hvor udgangspunktet for generatoren af tilfældige strenge er baseret på et af de mest populære aktuelle emner på Twitter."
Kraken anvender ifølge forskningen en langt mere sofistikeret generator af tilfældige ord til at konstruere tilfældige nye ord, der tilsyneladende er engelsksprogede med korrekt sammensatte vokaler og konsonanter. Det tilfældigt genererede ord kombineres med en endelse, der vælges tilfældigt fra en pulje af almindelige endelser fra engelske substantiver, verber, adjektiver og adverbier, forklarer forskerne.
Nuværende metoder til opdagelse af botnet kræver, at analytikere udfører reverse engineering af bot-malwaren for at kunne forudsige de genererede domæner, så de kan finde frem til kommando-serveren. Sikkerhedsleverandørerne er nødt til at registrere alle de domæner som en bot sender forespørgsler til hver dag, endda før botnettets ejer registrerer dem. Det er en tidskrævende proces, fremhæves det i forskningsartiklen.
Mønstre og tilfældigheder
Texas A&M udtaler at Reddys metode søger efter mønstre og distributionen af alfabetiske tegn i domænenavnet for at afgøre om det er skadeligt eller legitimt. Det gør det muligt at bruge metoden til at opdage de algoritmisk genererede domænenavne relateret til botnet.
"Vores metode analyserer blot DNS-trafik og kan derfor let skaleres til store netværk," siger Reddy.
"Den kan opdage tidligere ukendte botnet ved at analysere en lille brøkdel af netværkstrafikken."
Botnet, der både anvender såkaldt IP fast-flux og domain fast-flux, kan ifølge Reddy også opdages af den foreslåede teknik.
IP fast-flux er en metode, hvor skadelige websites er i konstant rotation mellem adskillige IP-adresser, hvilket ændrer deres DNS-oplysninger og forhindrer at de bliver opdaget af analytikere, internetudbydere eller politi.
Reddys nye detektionsmetode har allerede opdaget to tidligere ukendte botnet. Det ene af de to nye botnet genererer tilfældige navne, der består af 57 tegn, mens det andet genererer navne ved hjælp af sammenkædning af to tilfældige ordbogsopslag.
Oversat af Thomas Bøndergaard
