The Security Experts Who Stopped a Massive Botnet Army in Its Tracks
Nem todas as botnets são organizadas da mesma maneira. Essa é a conclusão de um relatório de Damballa que procura categorizar as estruturas dominantes. Ele tenta explicar por que certos tipos de bloqueio e filtragem funcionam contra algumas botnets, e não para outras.
"A faixa de ameaças 'híbrida' é frequentemente usada", diz Gunter Ollmann, vice-presidente de pesquisa da Damballa, uma empresa empresa de segurança especializada em mitigação de botnet "Mas esse rótulo não significa nada para as equipes encarregadas de defender a empresa. Ao explicar as topologias (e seus pontos fortes e fracos), essas equipes podem visualizar melhor a ameaça."
e oferece aos bots individuais uma comunicação direta com o servidor Command and Control (CnC). Pode ser visualizado em um padrão de estrela. No entanto, ao fornecer comunicações diretas com um servidor CnC, o botnet cria um único ponto de falha. Retire o servidor CnC e a botnet expira. Ollmann diz que o kit de botnets Zeus DIY, fora da caixa, é um padrão de estrela, mas que botmasters frequentemente atualizam, tornando-o multiservidor.
"Na maioria dos casos, botnets particulares podem ser classificadas como membros de apenas uma topologia de CnC. - mas é comum o mestre de botnets escolher o que eles escolhem. "
Multiservidor é a extensão lógica da estrutura Star usando múltiplos servidores CnC para alimentar instruções para bots individuais. Esse design, diz Ollmann, oferece resiliência se qualquer servidor CnC for desativado. Também requer planejamento sofisticado para executar. O Srizbi é um exemplo clássico de um botnet de topologia CnC multi-servidor.
A estrutura de botnets hierárquica é altamente centralizada e é frequentemente associada a botnets de vários estágios - por exemplo botnets que possuem agentes de bots com capacidade de propagação de worms - e utilizam super CnC ponto-a-ponto baseado em nó. Isso significa que nenhum bot está ciente da localização de outros bots, o que dificulta bastante para os pesquisadores de segurança avaliarem o tamanho geral do botnet. Essa estrutura, diz Damballa, é mais adequada para o leasing ou a venda de partes da botnet para outros. A desvantagem é que as instruções demoram mais para atingir seus alvos, de modo que alguns tipos de ataques são impossíveis de coordenar.
Aleatório é o contrário da estrutura Hierárquica. Essa botnet é descentralizada e usa vários caminhos de comunicação. A desvantagem é que cada bot pode enumerar outros na vizinhança e, com frequência, os atrasos de comunicação entre grupos de bots, tornando novamente impossíveis de coordenar alguns ataques. Storm se encaixaria no modelo Random da Damballa, assim como botnets baseados no Conficker
O relatório, Botnet Communication Topologies: Entendendo as complexidades do comando e controle de botnet, também classificou diferentes métodos de fluxo rápido, o método pelo qual um CnC servidor muda seus domínios na hora. A Damballa descobriu que o Domain Flux, um processo que muda e aloca vários Nomes de Domínio Totalmente Qualificados para um único endereço IP ou infraestrutura CnC, é o mais resiliente à descoberta e mitigação.
Robert Vamosi é analista de risco, fraude e segurança para Javelin Strategy & Research e um escritor independente de segurança de computadores que abrange hackers criminosos e ameaças de malware.
Quanto você pagaria para ir de olho em olho com o Gundam?
Um leilão de caridade on-line que funcionou durante toda a semana terminou Sexta-feira com uma oferta vencedora de ¥ 2,6 milhões (US $ 27.742) para subir ao topo da estátua de Tóquio Gundam.
A interface do usuário do Windows 8: Como especialistas em interface e usabilidade avaliam todas as alterações? recebeu críticas significativas por não ser intuitivo e difícil de navegar. As barbas são legítimas ou os usuários antigos do Windows simplesmente odeiam mudanças? Pedimos respostas a especialistas em usabilidade.
Quando o Windows 8 for lançado, em 26 de outubro, os usuários serão confrontados com as mudanças mais radicais na aparência do Windows em quase 20 anos. O desktop tradicional foi relegado ao status de segunda classe, escondido sob a nova tela inicial centrada no toque do Windows 8. E essa é apenas a primeira surpresa confusa que aguarda os usuários de longa data do Windows
O Ministério da Defesa da China rejeitou na quarta-feira as acusações de que o exército da nação apoiava O Ministério da Defesa Nacional da China refutou na quarta-feira as acusações de que os militares do país apóiam a ciberespionagem, e disse que um recente relatório de segurança apoiando as alegações usou evidências cientificamente errôneas. O ministério fez a declaração depois que a empresa de segurança americana Mandiant divulgou um relatório de 74 páginas documentando evidências, incluindo
O Ministério da Defesa da China, no entanto, disse em um comunicado online que as alegações da Mandiant eram infundadas. Ele acrescentou que o relatório chegou à conclusão contando apenas com endereços IP para rastrear os ataques cibernéticos à China.