ì¹ìë ì´ì±ê±¸ìì§ì¸ë¹í¤ëì¼ì¼ì´ì¤
모든 봇넷이 같은 방식으로 구성되는 것은 아닙니다. 이것이 지배 구조를 분류하려는 Damballa의 보고서의 결론입니다. 일부 유형의 차단 및 필터링이 다른 봇넷에 비해 작동하지 않는 이유를 설명하려고 시도합니다. "960" "하이브리드"위협 배너가 종종 등장합니다. "기업의 Damballa 연구 담당 부사장 인 Gunter Ollmann의 말입니다. "그러나이 레이블은 기업을 방어하는 팀에게는 아무 의미도 없다. 토폴로지 (및 장점과 약점)를 설명함으로써 위협을 시각화 할 수있다."
스타 구조는 가장 기본적이고 개별 봇에게 명령 및 제어 (CnC) 서버와의 직접 통신을 제공합니다. 별 모양의 패턴으로 시각화 할 수 있습니다. 그러나 하나의 CnC 서버와 직접 통신을 제공함으로써 봇넷은 단일 실패 지점을 만듭니다. CnC 서버를 꺼내면 봇넷이 만료됩니다. Ollmann은 제우스 DIY 봇넷 키트는 별 모양이지만 별 모양이지만 봇 마스터는 종종 업그레이드하여 다중 서버로 만듭니다.
"대부분의 경우 특정 봇넷은 단 하나의 CnC 토폴로지 구성원으로 분류 될 수 있습니다. - 그러나 종종 그들이 선택한 하나의 봇넷 마스터에 이르기까지합니다. "
Multi-Server는 개별 봇에 명령을 제공하기 위해 여러 CnC 서버를 사용하는 Star 구조의 논리적 확장입니다. Ollmann은이 디자인이 어떤 CnC 서버가 다운되면 복원력을 제공한다고 말합니다. 또한 실행을 위해서는 정교한 계획이 필요합니다. Srizbi는 다중 서버 CnC 토폴로지 봇넷의 고전적인 예입니다.
계층 적 봇넷 구조는 고도로 중앙 집중화되어 있으며 종종 봇 전파 에이전트 기능을 가진 봇넷과 같은 다단계 봇넷과 연관되어 있습니다. 노드 기반 피어 - 투 - 피어 CnC. 이는 봇이 다른 봇의 위치를 인식하지 못하므로 보안 연구자가 봇넷의 전체 크기를 측정하는 것을 어렵게 만듭니다. Damballa에 따르면이 구조는 다른 사람에게 봇넷을 임대하거나 판매하는 데 가장 적합합니다. 단점은 명령이 목표에 도달하는 데 시간이 오래 걸리기 때문에 일부 종류의 공격을 조정할 수 없다는 것입니다.
무작위는 계층 구조와 반대입니다. 이 봇넷은 분산되어 있으며 여러 통신 경로를 사용합니다. 단점은 각 봇이 이웃에있는 다른 봇을 열거 할 수 있으며 종종 봇의 클러스터간에 통신이 지연되어 일부 공격을 조정할 수 없다는 것입니다. 폭풍은 Conficker 멀웨어를 기반으로하는 봇넷과 마찬가지로 Damballa의 Random 모델에도 적합합니다.
보고서, 봇넷 통신 토폴로지: botnet 명령 및 제어의 복잡성 이해 또한 빠른 흐름의 다른 방법 인 CnC 서버가 도메인을 즉시 변경합니다. Damballa는 하나의 IP 주소 또는 CnC 인프라에 여러 개의 정식 도메인 이름을 변경하고 할당하는 프로세스 인 Domain Flux가 발견 및 완화에있어 가장 탄력적이라는 사실을 발견했습니다.
Robert Vamosi는 위험, 사기 및 보안 분석가입니다. Javelin Strategy & Research와 범죄자 해커 및 악성 코드 위협을 다루는 독립 컴퓨터 보안 작가.
새로운 방식으로 데이터 시각화
데이터의 시각적 표현은 긴 목록보다 이해하기 쉽습니다.
모든 곳에서 봇넷을 통해 DDoS 공격이 더 저렴 해짐
보안 연구자들은 DDoS 공격 및 기타 범죄 서비스 비용이 감소하고 있다고 말합니다.
AVG의 연구원은 최신 버전의 Zeus를 사용하는 개인 정보를 수집 한 봇넷을 발견했다. AVG의 연구원은 정교한 맬웨어의 광범위한 사용을 강조하면서 개인 정보를 수집하고 최신 버전의 Zeus 코드를 사용하는 봇넷을 발견했습니다.
Mumba 봇넷에 더하여, AVG가 발표 한 백서에 따르면 4 월 말에 컴퓨터가 35,000 대를 시작했다고한다.