БОТНЕТ СЕТИ И ИХ ТРАФИК
Ковалевский Алексей Иванович
программист, SolBegSoft Белорусский государственный университет информатики и радиоэлекстроники, Республика Беларусь, г. Минск
E-mail: alexey. kavaleuski@gmail. com
BOTNETS TRAFFIC FLOWS
Alex Kavaleuski
senior .Net developer, SolBegSoft Belarusian State University of Informatics and
Radioelectronics, Republic of Belarus, Minsk
АННОТАЦИЯ
Бот-сети в настоящее время являются основной платформой для многих интернет-атак, таких как спам, распределенный отказ в обслуживании (DDoS), кражи идентификационных данных и фишинг. Большинство современных подходов обнаружения ботнета работают только на конкретной команде контроля ботнет (C&C) протоколе (например, IRC), и структуры (например, централизованной), и может стать неэффективным, так как ботнеты могут изменить свои методы C&C. В этой статье я представляю общие рамки определения, что является бот-сетью, независимо от C&C протокола и структуры, а также не требует особых данных о ботнете (например, захваченных двоичных данных бота и, следовательно, подписей ботнетов и имен серверов C&C / адресов). Исходя из определения и основных свойств ботнетов. Ботнет — это скоординированная группа вредоносных экземпляров, которые находятся под контролем с помощью каналов связи C&C.
ABSTRACT
The Botnets are now the key platform for many Internet attacks, such as spam, distributed denial-of-service (DDoS), identity theft, and phishing. Most of the current botnet detection approaches work only on specific botnet command and control (C&C) protocols (e.g.,IRC) and structures (e.g., centralized), and can become ineffective as botnets change their C&C techniques. In this paper, I present a general detection framework that is independent of botnet C&C protocol and structure, and requires no a
Created by DocuFreezer | www.DocuFreezer.c<
m
priori knowledge of botnets (such as captured bot binaries and hence the botnet signatures, and C&C server names/addresses). I start from the definition and essential properties of botnets. We define a botnet as a coordinated group of malware instances that are controlled via C&C communication channels.
Ключевые слова: Ботнет; DDOS; спам, фишинг; кликфрод; C&C; IRC; HTTP; централизованная; децентрализованная; Cisco.
Keywords: Botnets; DDOS; spam; phishing; click fraud; C&C; IRC; HTTP; centralized; distributed; Cisco.
Ботнет — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами (специальная программа, выполняющая автоматически и/или по заданному расписанию какие-либо действия через те же интерфейсы, что и обычный пользователь). Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера.
Из огромного количества вредоносных программ ботнеты являются одной из самых распространенных и серьезных угроз кибер-атак. Ботнет сегодня одна из ключевых платформа, для таких интернет атак как:
• DDOS (Distributed Denial of Service, распределённая атака типа отказ в обслуживании). В ходе такой атаки с зараженных компьютеров на сервер посылается большой поток ложных запросов до тех пор, пока сервер не будет перегружен и станет не доступен пользователям;
• спам. По подсчетам экспертов приблизительно 80 % спама рассылается как раз при помощи бот-сетей. Среднестатистический спамер зарабатывает приблизительно 50—100 тысяч долларов в год на таких сетях. Бот-сети,
предназначенные для рассылки спама, так же могут собирать адреса электронной почты на зараженных машинах;
• фишинг. Вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей.
• кража личных данных;
• кликфрод — один из видов сетевого мошенничества, представляющий собой обманные клики на рекламную ссылку лицом, не заинтересованным в рекламном объявлении;
• использование компьютерных мощностей;
Ботнет это скоординированная группа зараженных машин, которые контролируются по средством C&C (Command and Control) канала. Главная особенность ботнета, то что боты коммуницируют с C&C серверами, выполняют вредоносную деятельность и делают это скоординировано. Исследователи предложили несколько подходов для определения существования ботнетов в контролируемой среде. Большинство из этих подходов спроецированы для детекции ботнетов которые используют IRC и HTTP основанные на C&C.
Ботнеты достаточно гибкие и в течение жизни может менять свой C&C серверный адрес. Таким образом виды детекции ботнетов, базирующихся на IRC или HTTP могут быть неэффективными. Вот почему нам необходимо развивать следующее поколение детекционной системы ботнетов, которая могла бы быть независимой от C&C протокола, структуры и быть гибкой по отношению к изменению серверного адреса C&C.
Для того чтобы разработать такую общую детекционную систему, независящую от изменения от серверного адреса C&C нужно изучить большую
часть ботнет коммуникаций и характерную активность, которая остается обнаруженной специальными алгоритмами.
Можно заключить, что ботнет характеризуется и C&C коммуникационным каналом (из которого команды ботмастера получаются) и вредоносной деятельностью (когда команды исполняются). С другой стороны, некоторые приложения могут показывать коммуникацию схожую с C&C каналом, но они не наносят никакой вредоносной деятельности.
Существуют две ботнет структуры:
• Централизованная. В этом типе ботнет сети все компьютеры находятся в центральном управлении, главный минус такой системы то, что главный компьютер (ботмастер), при раскрытии канала C&C, будет обнаружен
• Децентрализованная. В этом типе ботнет сети все компьютеры передают команды между собой).
И в централизованной, и в децентрализованной системах боты внутри одной системы в плане коммуникаций ведут себя одинаково, это главным образом объясняется тем, что боты запрограммированы вести одну и туже C&C логику. В централизованной системе даже если адрес C&C системы будет изменен С&С коммуникационный образец останется неизменным. В случае с децентрализованной системой коммуникация между ботами идет одинаково для всех ботов одной ботнет системы, хотя у каждого бота может быть разный "бот-сосед" и могут общаться по разным портам независимо от системы и все члены ботнета координируются через один C&C канал.
Технические средства защиты от бот-сетей:
1. Устройства обнаружения и подавления DDoS-атак Cisco Guard и Cisco Anomaly Detector. Устройства являются самыми функциональными и мощными из существующих решений для подавления наиболее опасных на сегодняшний день угроз, исходящих от ботнетов, а именно DDoS-атак.
2. Решение Cisco Service Control Engine (Cisco SCE) обладает возможностью контроля трафика абонентов широкополосного доступа в сеть.
3. Устройство IronPort S-series имеет возможность мониторинга трафика на 4 уровне со скоростью 1Гбит/с, обнаруживая и блокируя попытки соединений с вредоносными ресурсами в сети Интернет.
4. Cisco Security Agent защищает серверы, персональные компьютеры и POS-терминалы от наиболее распространенных атак с использованием ботнета: установки ПО бота, шпионских программ, ПО для скрытого удаленного управления, а также целенаправленных и совершенно новых атак.
5. Системы Cisco IPS используют алгоритмы обнаружения аномалий для обнаружения и блокирования атак с использованием ботнетов.
6. Cisco NetFlow — это лучшая из представленных в отрасли реализация Flow-протоколов с функцией телеметрии, позволяющей получать данные о работе маршрутизаторов под управлением Cisco IOS®. Благодаря своей масштабируемости и возможности предоставления отчетов о трафике в сетях любых размеров технология Cisco NetFlow стала стандартным методом получения полезной информации для управления трафиком и обеспечения безопасности в сетях как предприятий, так и операторов связи.
Система управления автоматическим распознаванием реального пользователя и компьютерной программы осуществляет двухуровневую защиту: с одной стороны, на программном и техническом уровне, а с другой — мониторинг сети Интернет и рабочих машин с целью дальнейшего обнаружения и частичной или полной ликвидации бот-сети.
Обнаружение бот-сетей в первую очередь основано на анализе сетевого трафика. Совокупная информация об аномальных изменениях объемов входящего и выходящего трафика дает четкую картину о попытках нарушить работу, осуществить кражу информации и прочих воздействий на систему.
Следовательно, алгоритм для сбора и анализа статистки входного трафика является важной составляющей всей системы.
Нейтрализация источника негативного воздействия на работу организации так же является немаловажной задачей, потому что попытки нарушения работы могут быть неоднократными, а на борьбу с действием бот-сети требуются много ресурсов и времени.
Данный метод обнаружения основан на том, что хост может находиться в одном из трёх состояний — либо легитимный IRC-клиент, либо бот, находящийся в состоянии ожидания команды, либо бот в состоянии атаки. Каждому из этих состояний соответствуют специфические значения средней длины пакета и частоты пересылки пакетов.
Анализируя сегодняшнюю ситуацию развития кибер-преступности, можно прийти к выводам, что бот-сети являются одной из самых доходных сфер, а также, что злоумышленники вряд ли сами откажутся от подобного вида заработков, и, в свою очередь, вряд ли исчезнет конкуренция в сфере бизнеса, где сохранность информации и стабильность работы веб-сайтов является залогом успешного функционирования предприятий и фирм, а также государственных сетей. Хотя эксперты и предупреждают об опасности, которую несут развитие бот-сетей, большинство владельцев бизнеса, государство отказываются предпринимать какие-либо меры по защите от них до тех пор, пока не сталкиваются с подобной проблемой, а зомби-сети все продолжают и продолжают развиваться.
Список литературы:
1. Официальный документ Cisco, Ботнет: новый характер угроз, Cisco Systems, Inc, 2008, 9 с. — [Электронный ресурс] — Режим доступа. — URL: http://www.cisco.com/web/RU/downloads/Botnets.pdf
2. Pub. № US2011/0004936 A1. Pub. Date: Jan. 6, 2011. Botnet early detection using hybrid hidden Markov model algorithm, Hahn-Ming Lee, Ching-Hao Mao, Yu-Jie Chen, Yi-Hsun Wang, Jerome Yeh, Tsu-Han Chen (TW).