Dette er grunnen BotHunter ble opprettet. Fra labs av SRI International, den Army Research Office og National Science Foundation, fungerer BotHunter å oppdage stealth botnet aktivitet på nettverket. BotHunter forsøker å avdekke kompromitterte maskiner ved å samle informasjon fra en rekke sensorer rundt om i verden på jakt etter de avslørende signaturer av bot aktivitet.
Ikke gå glipp av behov-til-vet info!
BotHunter bruker spesialiserte malware pakke sensorer, som ser for skanning, utnytte mønstre, kode nedlasting, bot koordinering kommunikasjon og utgående angrep lanserer. Ved å sammenligne disse kjente botnet trafikkmønstre til trafikken flyter innenfor klarert nettverk, kan det varsle brukerne når det oppdager mistenkelig botnet aktivitet
BotHunter skiller seg fra tradisjonelle IDS i sine metoder for å oppdage aktivitet gjennom ". Infeksjon-dialog -basert " aktivitet: kommando- og kontrollkommunikasjonsmønstre som brukes av botnets. Selv om ingenting utløser antivirus, BotHunter varsler når en datamaskin forsøker å kontakte flere e-postservere og UDP-trafikk kommer til flere datamaskiner, slik som de er kjent for å tilhøre en russisk kriminelt nettverk som blir overvåket av BotHunter. BotHunter bruker denne informasjonen til å tildele en score på hendelser; displayet konsollen logger rettsmedisinske bevis, som viser de infiserte maskiner, botnet kontroll servere, ondsinnet kode-nedlastingsservere og detaljer om utgående skanning som nylig infiserte maskiner kan utføre.
BotHunter er gratis, men lukket kildekode. Den er tilgjengelig for Windows, Linux og Mac-plattformer. Under installasjonen krever BotHunter en inngang på IP-adresseområde til klarert nettverk, SMTP servere og DNS-servere. Når programmet er installert, BotHunter undersøker trafikk som går gjennom NIC kortet du angir. Det meste lytter passivt, men fra tid til annen BotHunter initierer utgående kommunikasjon til automatiserte trussel tjenester drevet av SRI. BotHunter trekker også oppdateringer for botnet kommando og kontroll svarteliste, malware DNS liste og nye malware-deteksjonsregler. Dette gjør BotHunter å opprettholde bevisstheten om de nyeste botnet operatør servere, malware-forbundet DNS-oppslag, kjent-dårlig-serveradresser og malware back-dørs kontroll porter. BotHunter sender anonyme data knyttet til oppdagede botnet aktivitet, malware-nedlasting nettsteder, utnytte servere og registreringsmønster, men det ikke rapporterer noen IP-adresser fra klarerte nettverk. SRI sier at verken de eller deres samarbeidspartnere spore spesifikk informasjon nettverket.
BotHunter er en av noen få verktøy som kan hjelpe oppdage opererer botnets innenfor et nettverk. Dens distribuert intelligens modell og enkel betjening skal få det inn flere hender, som vil hjelpe sin nytte i å oppdage og bekjempe det store utvalget av cybercriminal bedrifter plager Internett.
For mer informasjon
Lær mer om risikoen ved logging på et botnet kontroll kanal.
Kan Intrusion Prevention Systems alene beskytte mot botnets? Les mer
Om forfatteren:..
Scott Sidel er en Isso med Lockheed Martin