Śledzenie zmian w DNS pozwala wyłapać botnety?

Operatorzy botnetów stosują coraz to przemyślniejsze sposoby maskowania aktywności sieci komputerów zombie - powszechnie używają m.in. sieci typu fast-flux oraz najróżniejszych technik generowania domen. Okazuje się jednak, że te przebiegłe sztuczki mogą zadziałać na ich niekorzyść - naukowcy z Institute of Technology stanu Georgia opracowali bowiem metodę detekcji botnetów wykorzystując właśnie mechanizmy jakich botnety używają do ukrywania się.

Polecamy:

• Za kulisami botnetowego biznesu
• Obrazkowy atlas złych hakerów

Zobacz też:

• Quiz: co wiesz o bezpieczeństwie sieci?

Badacze stworzyli system, który stale monitoruje serwery DNS i na podstawie wykrywanych w ich zachowaniu anomalii jest w stanie znacznie wcześniej niż stosowane do tej pory metody wykrywać aktywność botnetów. Z opublikowanych przez Georgia Institute of Technology (GATech) dokumentów wynika, że skuteczność tego systemu sięga 98%.

Na początku tego tygodnia firma Damballa - specjalizująca się w bezpieczeństwie sieciowym - udostępniła nową usługę wykrywania botnetów, opierającą się właśnie na technologii naukowców z GATech. System FirstAlert stale analizuje zachowania wskazanej sieci i wykrywa w niej anomalie DNS świadczące o pojawieniu się w infrastrukturze klienta komputerów należących do botnetu.

"Skoro jesteśmy w stanie wykryć groźne zachowania na tak wczesnym etapie, to możemy w łatwy sposób zablokować wszelkie szkodliwe oprogramowanie. Zasada działania naszego systemu jest prosta - pozwala nam on błyskawicznie wykryć w systemie klienta dziwne, nietypowe zapytania DNS, przeanalizować je i wykryć ewentualne zagrożenie" - tłumaczy David Holmes, wiceprezes Damballa.

W dokumentacji zostały opisane dwa systemy. Pierwszy z nich, Notos, określa dynamicznie reputację par nazwa domeny/adres IP. System gromadzi odpowiedzi DNS od ich rejestratora i analizuje strukturę domeny ze szczególnym naciskiem na sieć i charakterystykę strefy.

"Nasze rozwiązanie przewiduje stworzenie modeli bezpiecznych i potencjalnie groźny domen - są one następnie wykorzystywane do wyliczenia "reputacji" nowych, nieznanych domen" - tłumaczy Manos Antonakakis, naukowiec z GATech i współautor opracowania. Drugi system - Kopis - wykrywa zmiany w cache DNS danej firmy, dostawcy usług internetowych oraz globalnym DNS Internetu, które mogą świadczyć o pojawieniu się "złośliwych" aktywności. "Kopis potrzebuje ok. 5 dni "treningu", później jest w stanie z dużą precyzją wykrywać zagrożenia. To klasyczny przykład uczącej się maszyny - można ją wytrenować tak, by sprawnie wykrywała pewne zachowania oraz sekwencja zachowań, w oparciu o zapytania DNS" - tłumaczy David Holmes.

Oba systemy zaprojektowano z myślą o ścisłej współpracy - producent twierdzi, że wtedy charakteryzują się najwyższą skutecznością i są w stanie wykrywać wszystkie popularne obecnie typy botnetów.