Botnet er høyt utviklet versjoner av DoS verktøy og fjernkontroll trojanere som hackere utviklet på slutten av 90-tallet. I stedet for å kontrollere noen hundre maskiner, kan dagens botnets styre opp til 25.000 zombier. Hackere bruker dem ikke bare å krasje målet nettverk, men å sende spam og generere klikk-throughs til ad-laden pornosider.
Når på en kompromittert nettverk, roboter logge seg inn på private IRC kanaler og vente på ordre. Bruke bot for å laste ned flere angrep verktøy og skape mer kaos, kan hackeren godt spise inn i et nettverk, selv om det er bak en brannmur, siden de fleste brannmurer tillater inne-ute-tilkoblinger. Bots meste bruke IRC for kommunikasjon, men de kunne bruke noen annen tjeneste som brannmuren tillater. SSL, HTTP, DNS, ICMP, etc. De effektivt gjengi brannmuren transparent for skurkene
Her er et par måter å oppdage og blokkere roboter:
Monitoring
. De fleste IDSer kan identifisere IRC trafikkbærende bot kommunikasjon. Du ønsker kanskje å overvåke for toppene i ICMP eller UDP-trafikk gjennom brannmuren, noe som kan tyde på nettverket blir brukt for et DDoS-angrep. Fundamentalt, oppdager ulovlig handel betyr å ha en klar definisjon av tillatte trafikk og leter etter brudd på retningslinjene.
Herding
. Bots utnytte åpne porter og unødvendige tjenester som tillates av permissively konfigurert brannmurer. Dette er et brød-og-smør konsept som sikkerhets graybeards har vært talsmann ad infinitum. Lukke ubrukte porter, forby unødvendige eller risikabelt tjenester, installere sabotasjedeteksjon på viktige interne systemer, strip e-postvedlegg på gatewayer og compartmentalize nettverket. Når du er i tvil, standard benekte. .
Revisjon
. Siden de fleste botnets stole på IRC, er revisjon IRC trafikk sannsynlig å oppdage tidlige tegn på penetrasjon. Hvis du forstår bruken og hensikten med nettverket ditt, er det mye vanskeligere for en inntrenger å kapre den. Hvis du har en stor bestand av IRC-brukere, må du kanskje å sette opp din egen stafett og revisjon eller blokkere trafikken som forsøker å omgå det.
Bevissthet trening
. Det er det samme som med e-post-borne virus: Ikke dobbeltklikker på vedlegget eller treffer merkelige nettadresser. Brukere er ofte " botted " gjennom booby-fanget fildelinger, ondsinnede e-postvedlegg eller nettadresser som overføres via IRC eller direktemeldinger. Hackere bare fortelle naive brukere " kjøre dette, " og de gjør. Fortell brukere. Når du er i tvil, må du slette
Det er fristende å være hardhendte og blokk IRC, men selv at tilnærmingen er ikke idiotsikker. Fundamentalt, botnett er et symptom på et dypere problem. De fleste bedrifter er uvitende om hvordan deres nettverk blir brukt, og sikkerhetspolitikk konsekvent ta andreplassen til tilkoblingskrav
Bedrifter trenger å forstå det, før eller senere, de må forholde seg til en fjernstyrt kompromiss. De trenger å planlegge deretter og være forberedt på å revisjon, backtrack og reparere dusinvis eller hundrevis av kompromitterte verter.
Ved å behandle botnets som katastrofeberedskap problem, vil bedriftene være på rett spor.
Om forfatteren
Marcus J. Ranum er seniorforsker ved TruSecure Corp og forfatter av The Myth of Homeland Security plakater (Wiley, 2003)
Merk.: Denne kolonnen opprinnelig dukket opp i august utgaven av Information Security magazine. Abonner på Information Security magazine.