Wykrywanie botnetów przez analizę zachowań
Od dwóch lat cyberprzestępcy wykorzystują zainfekowane komputery jako sieciowe platformy takich działań, jak wysyłanie spamu, ataki DDoS (Distributed Denial of Service) czy kradzież danych i pieniędzy z kont bankowych na dużą skalę.
Botnet (od angielskiego wyrażenia "roBot Network") kontroluje od kilkudziesięciu do kilkuset tysięcy komputerów "zombie" oraz wolnych zasobów sieciowych i obliczeniowych, najczęściej w sposób niezauważalny dla właściciela. Przykładami takich szkodliwych infrastruktur są Conficker, Storm i Waledac. Zostały one zaprojektowane tak, aby były odporne na programy antywirusowe i działania instytucji prawnych.
Cele i zadania
Celem tych badań jest zastąpienie nieefektywnych narzędzi, takich jak programy antywirusowe i osobiste zapory, przez systemy wykrywania sieci. Po pierwsze, sygnatury plików tych wirusów są zmieniane za każdym razem poprzez przepakowywanie, szyfrowanie i polimorfizm kodu binarnego. Wirusy te (tzw. rootkity) stają się więc niewidoczne dla systemu operacyjnego, a oprogramowanie antywirusowe nie jest w stanie ich wykryć. Po drugie, niestandardowy protokół sieciowy używany do aktualizacji, kontroli i wydawania poleceń jest szyfrowany, co pozwala na zmylenie zapór i systemów wykrywania włamań.
Po trzecie, takie infrastruktury sieciowe są rozproszone, co znacznie utrudnia walkę z nimi zarówno pod względem technicznym, jak i prawnym.
Innowacje
Chodzi o to, że aby ominąć zaporę, trzeba zastosować protokół operujący czystym, niezaszyfrowanym tekstem w pierwszym kontakcie między zainfekowanym komputerem a węzłem zdalnej kontroli i poleceń. Jest to najczęściej protokół DNS oparty na systemie nazw domen
Celem Alcatel-Lucent jest opis zachowań sieci botnetów, które używają protokołu DNS, umożliwiający klasyfikację legalnych i nielegalnych działań w sieci DNS oraz rozpoznanie zainfekowanych komputerów.
Scenariusz
Wykorzystując dane zgromadzone w kampusie, testowane są metody wykrywania botnetów. Badania są prowadzone we współpracy ze specjalistami ds. statystyki z Bell Labs w Murray Hill. Dzięki temu stworzone zostały narzędzia, które będą wykrywać zainfekowane komputery tylko na podstawie obserwacji ich zachowań w sieci. Dzięki temu Alcatel-Lucent będzie mógł dostarczać na rynek wbudowane rozwiązania sieciowe.
