it-säkerhet

Dns-analys hittar nya botnät

Lämna en kommentar

En dns-analyserande tjänst upptäcker botnät i ett tidigt stadium – innan botnätoperatören hunnit bygga upp infrastrukturen för attacker.

Cyberkriminella har med tiden utvecklat sin taktik för att försvåra insatser mot botnät. Det mer avancerade lösningarna inkluderar så kallade fast-flux networks där dns-värdar hela tiden byts ut, samt knep som Confiker-liknande nät med dynamiskt domänskapande.

Samtidigt kan just dessa typer av taktik påvisa existensen av ett botnät under uppbyggnad. Detta enligt it-säkerhetsföretaget Damballa, som utvecklat en tjänst för att i ett tidigt skede upptäcka infekterade nätverk.

Tjänsten, kallad Firstalert, upptäcker typiska dns-förfrågningar som indikerar närvaron av ett botnät i en kunds nätverk. Enligt Damballa är tjänsten baserade på två huvudkomponenter. Den ena, Notos, är utvecklad för att parvis dynamiskt fastställa ryktet hos domännamn och ip-adresser via jämförelser.

Den andra, Kopos, kompletterar detta genom att se förändringar i dns-infrastrukturen hos ett företag, internetleverantörer och internet som är typiska för ett infekterat nätverk. Enligt Damballa fungerar systemet träffsäkert, men behöver omkring fem dagar på sig för inlärning av hur botnät-nätverk ser ut innan den kan göra självständiga upptäckter.

Tillsammans har de två komponenterna lyckats upptäcka botnät som Imddos och de som konstruerats av Spyeye. I flera fall kan tjänsten upptäcka botnät flera veckor innan de aktiveras för nätattacker, uppger Damballa.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s