Artikel top billede

Ny teknik får de skjulte botnet frem i lyset

Forskere har fundet frem til en metode til finde de botnet, der skjuler sig bag tilfældigt genererede domænenavne.

Computerworld News Service: Forskere ved Texas A&M University har fundet en ny metode til at opdage botnet, der skjuler sig bag konstant skiftende domænenavne.

Dr. Narasimha Reddy fra universitetets institut for elektroteknik og datalogi har samarbejdet med to studerende, Sandeep Yadav og Ashwath Reddy, samt med Supranamaya "Soups" Ranjan fra firmaet Narus om udviklingen af den nye metode.

Den kan bruges til at opdage botnet såsom Conficker, Kraken og Torpig, som anvender såkaldt DNS domain-fluxing i deres kommando-infrastruktur.

Sådanne bots generer tilfældige domænenavne. En bot forespørger en række domænenavne, men domæne-ejeren registrerer kun et enkelt.

Som eksempel peger forskningen på Conficker-A, der genererede 250 domæner hver tredje time. For at gøre det sværere for sikkerhedsleverandørerne at registrere domænenavnene på forhånd øgede den næste version, Conficker-C, antallet af tilfældigt genererede domænenavne per bot til 50.000.

Forskningen peger også på, at bots fra Torpig-netværket "anvender et interessant trick, hvor udgangspunktet for generatoren af tilfældige strenge er baseret på et af de mest populære aktuelle emner på Twitter."

Kraken anvender ifølge forskningen en langt mere sofistikeret generator af tilfældige ord til at konstruere tilfældige nye ord, der tilsyneladende er engelsksprogede med korrekt sammensatte vokaler og konsonanter. Det tilfældigt genererede ord kombineres med en endelse, der vælges tilfældigt fra en pulje af almindelige endelser fra engelske substantiver, verber, adjektiver og adverbier, forklarer forskerne.

Nuværende metoder til opdagelse af botnet kræver, at analytikere udfører reverse engineering af bot-malwaren for at kunne forudsige de genererede domæner, så de kan finde frem til kommando-serveren. Sikkerhedsleverandørerne er nødt til at registrere alle de domæner som en bot sender forespørgsler til hver dag, endda før botnettets ejer registrerer dem. Det er en tidskrævende proces, fremhæves det i forskningsartiklen.

Mønstre og tilfældigheder

Texas A&M udtaler at Reddys metode søger efter mønstre og distributionen af alfabetiske tegn i domænenavnet for at afgøre om det er skadeligt eller legitimt. Det gør det muligt at bruge metoden til at opdage de algoritmisk genererede domænenavne relateret til botnet.

"Vores metode analyserer blot DNS-trafik og kan derfor let skaleres til store netværk," siger Reddy.

"Den kan opdage tidligere ukendte botnet ved at analysere en lille brøkdel af netværkstrafikken."

Botnet, der både anvender såkaldt IP fast-flux og domain fast-flux, kan ifølge Reddy også opdages af den foreslåede teknik.

IP fast-flux er en metode, hvor skadelige websites er i konstant rotation mellem adskillige IP-adresser, hvilket ændrer deres DNS-oplysninger og forhindrer at de bliver opdaget af analytikere, internetudbydere eller politi.

Reddys nye detektionsmetode har allerede opdaget to tidligere ukendte botnet. Det ene af de to nye botnet genererer tilfældige navne, der består af 57 tegn, mens det andet genererer navne ved hjælp af sammenkædning af to tilfældige ordbogsopslag.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Tieto Denmark A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
The intelligent business: From neat idea to reality

The choice to become a more intelligent business and optimize workflows is not always straightforward, but it requires that you take a step back and see the possibilities in other ways. Come inside when we try to focus on the intelligent business. Hear how SAP S / 4HANA makes processes intelligent and transforms traditional workflows.

01. juli 2021 | Læs mere


AI i praksis: Fokus på teknologi og best practice

Tag med os på en rejse ind i AI’s verden, hvor vi udforsker anvendelsesmulighederne og belyser, hvordan AI kan gøre en positiv forskel. Vi kigger nærmere på de teknologier og platforme, som det kan give mening for din virksomhed at satse på, og eksperterne giver dig gode råd til, hvordan man kan arbejde innovativt og agilt med kunstig intelligens-løsninger.

19. august 2021 | Læs mere


MS Power Platform - hvad kan det for dig?

Med Microsoft Power Platform kan virksomhederne både visualisere og dele deres data helt uden kendskab til at kunne kode og digitalisere arbejdsgange. Hør hvordan en række danske virksomheder anvender platformen i store dele af virksomheden – og med succes.

24. august 2021 | Læs mere






Premium
Den store app-bombe fra Microsoft og Amazon: Tilbyder Android-apps i Windows 11
Alt om Windows 11: Et uventet samarbejde mellem de to største cloud-giganter bringer nu millionvis af apps til Windows-økosystemet.
Computerworld
I aften går det løs: Windows 11 slippes løs – følg med her
Det er intet mindre end 'årtiets opdatering', som Microsoft forventes at løfte sløret for senere på dagen.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
White paper
Er de cyberkriminelle allerede trængt ind – uden at du har opdaget det?
Optimér din sikkerhed ved at kombinere indsatsen for at holde IT-kriminelle ude med en konstant antagelse om, at de muligvis allerede er trængt ind på dit netværk.