通常最大的威胁通常是你没有看到的。如果入侵检测系统是安静的,似乎一切看起来都很好,也许最聪明的对手仅仅是在雷达下工作,可能使用一个他们喜欢的工具:僵尸网络。僵尸网络,通常用于营利的机构,包括数千台在一位隐蔽的僵尸网络操作员控制下运行着恶意代码的电脑;打开中毒的电子邮件或者访问载有恶意代码的中毒网页,都可能引发bot感染。 这就是为什么创建了BotHunter。
SRI国际实验室,也是陆军研究办公室和国家科学基金会,在这里,BotHunter被用来发现网络上隐身的僵尸网络活动。 BotHunter试图通过收集世界各地用来寻找有意义的bot活动签名的大量传感器信息来发现受感染的机器。 Bot……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
通常最大的威胁通常是你没有看到的。如果入侵检测系统是安静的,似乎一切看起来都很好,也许最聪明的对手仅仅是在雷达下工作,可能使用一个他们喜欢的工具:僵尸网络。僵尸网络,通常用于营利的机构,包括数千台在一位隐蔽的僵尸网络操作员控制下运行着恶意代码的电脑;打开中毒的电子邮件或者访问载有恶意代码的中毒网页,都可能引发bot感染。
这就是为什么创建了BotHunter。SRI国际实验室,也是陆军研究办公室和国家科学基金会,在这里,BotHunter被用来发现网络上隐身的僵尸网络活动。 BotHunter试图通过收集世界各地用来寻找有意义的bot活动签名的大量传感器信息来发现受感染的机器。
BotHunter利用专门的恶意数据包传感器,用于寻找扫描、开发模式、代码下载,bot协调通信和对外攻击发射。通过比较这些已知僵尸网络通信模式和可信任的网络下的通信流量,当BotHunter检测到可疑的僵尸网络活动时它可以提醒用户。
BotHunter不同于传统IDS,是由于它“基于对话框的感染”检测活动:僵尸网络通信模式的命令和控制。虽然没有触发病毒,但是当一台计算机正设法联络几个电子邮件服务器和UDP流量流向那些已知的属于一个俄罗斯犯罪网络用BotHunter监控的计算机时,BotHunter将会发出警告。 BotHunter使用此信息来分配事件比分;显示控制台记录了可用于法庭的证据,列出了受感染的机器、僵尸网络控制服务器、恶意代码下载服务器和扫描出的新感染的机器。
BotHunter是免费的,但源代码封闭。它可用于Windows,Linux和Mac平台。在安装过程中,BotHunter需要输入信任网络的IP地址范围,SMPT服务器和DNS服务器。一旦安装,BotHunter检查通过你指定的NIC的通信。大多是被动监听,但BotHunter时不时会启动出站通信来自动化SRI提供的威胁服务。
BotHunter也更新僵尸网络命令和控制的黑名单,恶意DNS名单和新的恶意检测规则。这使得BotHunter保持最新的僵尸网络运营商的服务器的检测、恶意软件带来的DNS查找、坏服务器地址和恶意后门控制端口的意识。 BotHunter匿名发送检测到的僵尸网络活动、恶意软件下载网站、利用的服务器和检测模式的数据,但它不会报告任何您信息网络里的IP地址。SRI规定无论他们或其分支机构都不会跟踪特定的网络信息。
BotHunter是世界上为数不多的可以帮助发现在网络运行僵尸网络的工具之一。它的分布式智能模型和操作的方便性,应进入更多人的手中,这将有助于检测和打击那些庞大的计算机犯罪企业困扰互联网。
作者
翻译
相关推荐
-
RSAC 2017:IoT安全威胁登话题榜首
在物联网设备近年来被攻击者滥用后,物联网安全在2017年RSA大会上的话题列表中位列榜首,而安全专家担心的远不止于此……
-
对付僵尸网络?这两大策略要get住
最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首……
-
2017:更多IoT攻击堆高数据泄露事故
不断叠高的数字让企业对这类事故似乎变得有些麻木,实际上这是非常危险的。在新一年,由IoT攻击带来的数据泄露事故或成为最大的安全问题。而目前,企业仍未做好应对威胁形势的准备……
-
日进300万美元!广告欺诈活动Methbot猖獗到极点
据最新报告显示,通过生成大量虚假视频广告,大规模网络犯罪行动Methbot每天赚取数百万美元。