Log ind
Publiceret d. 16. oktober 2009 kl. 07.28
ANNONCE:
Indholdsfortegnelse:
Læs også: DK-CERT: Sådan får vi bugt med botnet.
Deres underliggende kodestrukturer benytter almene metoder til at undgå at blive opdaget.
Mange af dem anvender endda kommerciel kode, som eksempelvis digital kopibeskyttelse og beskyttelse mod reverse engineering.
"Folk forstår ofte ikke, hvordan deres computere er blevet inficerede, da de har hele tiden har haft antivirusprogrammer. Det kommer fuldstændigt bag på dem," siger Gunter Ollmann, som er vice president for efterforskning ved sikkerhedsfirmaet Dambella, der specialiserer sig i opdagelse af botnet.
Avanceret undvigelse
Problemet er, at botnet-kode, der er designet til at inficere computere, typisk gør brug af undvigelsesteknikker såsom "noise insertion" og "chaffing," der begge genererer enorme mængder overskydende strenge af kode, som ikke gør andet end at gøre det sværere for antivirus eller andre opdagelsesmetoder at finde malwaren.
Det "afholder et strenge-inspektions-system fra at opdage dem," forklarer Ollmann, som har 20 års erfaring med analyse af malware blandt andet fra en stilling som ledende sikkerhedsanalytiker hos IBM.
Botnet-kode gemmer sig ofte ved hjælp af "crypters," som er specialiserede værktøjer med navne som "God of War Crypter."
De gemmer malwaren med kryptering.
Dette er alt sammen blot komponenter, der kan bruges i botnet.
Og i løbet af det sidste års tid er der i produktionen af botnets blevet brugt såkaldte "protectors," som forhindrer andre i at bruge fejlfindings- og analyseteknikker til at reverse engineer botnet-koden, siger Gunter Ollmann.
Fortsættes ...
|
