Secondo i ricercatori della University of California di Berkeley e della Carnegie Mellon University , autori di un nuovo studio sulle botnet , viste dal di dentro le reti malevole di PC zombie hanno una caratteristica prominente in comune: i sistemi “catturati” nella rete hanno bisogno di ricevere ordini e inviare risposte appropriate al tipo di comando impartito loro, fatto che gli studiosi hanno sfruttato per sviluppare un tool di analisi automatica delle comunicazioni cifrate tra centri di “comando&controllo” e bot.
“Il protocollo di comunicazione di una botnet è alla base della botnet” spiega il primo autore dello studio Juan Caballero, perché “è in questo modo che un malintenzionato invia comandi al network”. Le attuali metodologie di analisi delle comunicazioni tra server e bot prevedono lo scandaglio manuale delle operazioni di basso livello del codice malevolo lato client, mentre i tentativi sin qui compiuti di indagine automatizzata si sono focalizzati solo sui comandi specifici inviati e ricevuti dai PC.
Il lavoro di Caballero e colleghi è invece andato alla radice delle botnet, prendendo in esame il movimento di dati nei registri di memoria attraverso una pratica che i ricercatori definiscono “buffer deconstruction”, e deducendo la struttura delle comunicazioni della rete e la funzione dei vari componenti di ogni singolo comando.
Il risultato del lavoro è un tool chiamato Dispatcher , capace di analizzare le comunicazioni cifrate delle botnet e persino di iniettare nuove informazioni – magari utili a trarre in inganno il server di c&c a tutto vantaggio dell’opera di indagine. A dimostrazione della bontà del metodo statunitense ci sarebbe il fatto che gli esperti lo hanno testato con successo su Mega-D , la complessa e nefasta rete malevola che nel 2008 era responsabile di quasi un terzo dello spam in circolazione online.
Dispatcher viene descritto come il tool ideale per incrementare il volume di fuoco a danno delle botnet, capace di estendere la lotta al fenomeno ad amministratori di rete, appassionati di tecnologia e più in generale a chi altrimenti mal si presterebbe a un’analisi manuale della tecnologia base dei network malevoli. “I software delle botnet stanno diventando più complessi”, avvertono infine dalla UCB, grazie all’impiego di “varie tecniche di offuscamento e cose del genere. Quindi l’analisi manuale può al momento funzionale, ma in futuro avremo bisogno di strumenti più sofisticati”.
Alfonso Maruccia
Ti potrebbe interessare
13 nov 2009