Semalt: Forståelse af et Botnets aktiviteter gennem Botnet-infiltration

Botnets er en af de største IT-sikkerhedsudfordringer, som computerbrugere står overfor i dag. Tusinder af botmasters arbejder døgnet rundt for at undgå sikkerhedsspærringer udviklet af sikkerhedsfirmaer og andre berørte agenturer. Botnetøkonomien vokser enormt i sin kompleksitet. I denne forbindelse vil Frank Abagnale, Semalt Customer Success Manager, gerne fortælle dig om en fantastisk praksis fra Cisco computerfirma.

I en nylig undersøgelse foretaget af et Cisco-sikkerhedsforskningsteam blev det konstateret, at der er botmasters, der udgør $ 10.000 om ugen fra botaktiviteter. Med denne form for motivation til enkeltpersoner, der ville være interesseret i at få deres hænder ind i forbrydelsen, er milliarder af intetanende computerbrugere i større risiko for virkningen af botnetangreb.

Cisco-forskerteamet har i deres forskning sigter mod at forstå de forskellige teknikker, som botmasters bruger til at kompromittere maskiner. Her er et par ting, som deres indsats hjalp med at opdage:

Pas på Internet Relay Chat (IRC) -trafik

Størstedelen af botnets bruger Internet Relay Chat (IRC) som en kommando-og-kontrol ramme. Kildekode til IRC er let tilgængelig. Således bruger nye og uerfarne botmasters IRC-trafik til at sprede enkle botnet.

Mange intetanende brugere forstår ikke de potentielle risici ved at blive medlem af et chatnetværk, især når deres maskine ikke er beskyttet mod udnyttelse af en eller anden form for indtrængenforebyggelsessystem.

Betydningen af et intrusionsdetekteringssystem

Et intrusionsdetekteringssystem er en integreret del af et netværk. Det holder en historie med advarsler fra et implementeret værktøj til internetsikkerhedsadministration og giver mulighed for at afhjælpe et computersystem, der har lidt et botnetangreb. Detektionssystemet gør det muligt for sikkerhedsforskeren at vide, hvad botnet laver. Det hjælper også med at bestemme, hvilke oplysninger der er kompromitteret.

Alle botmasters er ikke computergeeks

I modsætning til, hvad mange antager, kræver det at køre et botnet ikke avanceret computererfaring eller ekspertviden om kodning og netværk. Der er botmasters, der virkelig er dygtige til deres aktiviteter, men andre er simpelthen amatører. Derfor oprettes nogle bots med mere dygtighed end andre. Det er vigtigt at huske begge typer angribere, når man designer forsvar til et netværk. Men for dem alle får den primære motivator nemme penge med minimal anstrengelse. Hvis et netværk eller en maskine tager for lang tid at gå på kompromis, går en botmaster videre til det næste mål.

Uddannelsens betydning for netværkssikkerhed

Sikkerhedsindsats er kun effektiv med brugeruddannelse. Systemadministratorer lapper normalt eksponerede maskiner eller implementerer en IPS for at beskytte maskinen mod udnyttelse. Hvis brugeren ikke er velinformeret om de forskellige måder at undgå sikkerhedstrusler som f.eks. Botnets, er effektiviteten af selv de nyeste sikkerhedsværktøjer begrænset.

Brugeren skal konstant undervises i sikker adfærd. Dette betyder, at en virksomhed skal øge sit budget for brugeruddannelse, hvis det skal reducere sin sårbarhed over for hosting af spam-servere, datatyveri og andre cybertrusler.

Botnetter forekommer ofte som mænd i et netværk. Hvis trafik fra en eller flere maskiner i et netværk skiller sig ud fra de andre, kan maskinen (e) blive kompromitteret. Med en IPS er det nemt at opdage botnet-sårbarheder, men det er vigtigt for brugeren at vide, hvordan man registrerer alarmer, der leveres af sikkerhedssystemer som IPS. Sikkerhedsforskere bør også holde sig opmærksomme på at bemærke maskiner, der deler en bestemt mærkelig opførsel.

mass gmail