Alfonso Maruccia

La botnet vista da dentro

Ricercatori statunitensi hanno sviluppato un metodo di analisi automatizzata delle comunicazioni cifrate sulle botnet. Aprendo le porte a una lotta pi¨ efficace e diffusa al fenomeno: gli zombie si combattono tutti assieme

Roma - Secondo i ricercatori della University of California di Berkeley e della Carnegie Mellon University, autori di un nuovo studio sulle botnet, viste dal di dentro le reti malevole di PC zombie hanno una caratteristica prominente in comune: i sistemi "catturati" nella rete hanno bisogno di ricevere ordini e inviare risposte appropriate al tipo di comando impartito loro, fatto che gli studiosi hanno sfruttato per sviluppare un tool di analisi automatica delle comunicazioni cifrate tra centri di "comando&controllo" e bot.

"Il protocollo di comunicazione di una botnet è alla base della botnet" spiega il primo autore dello studio Juan Caballero, perché "è in questo modo che un malintenzionato invia comandi al network". Le attuali metodologie di analisi delle comunicazioni tra server e bot prevedono lo scandaglio manuale delle operazioni di basso livello del codice malevolo lato client, mentre i tentativi sin qui compiuti di indagine automatizzata si sono focalizzati solo sui comandi specifici inviati e ricevuti dai PC.

Il lavoro di Caballero e colleghi è invece andato alla radice delle botnet, prendendo in esame il movimento di dati nei registri di memoria attraverso una pratica che i ricercatori definiscono "buffer deconstruction", e deducendo la struttura delle comunicazioni della rete e la funzione dei vari componenti di ogni singolo comando.
Il risultato del lavoro è un tool chiamato Dispatcher, capace di analizzare le comunicazioni cifrate delle botnet e persino di iniettare nuove informazioni - magari utili a trarre in inganno il server di c&c a tutto vantaggio dell'opera di indagine. A dimostrazione della bontà del metodo statunitense ci sarebbe il fatto che gli esperti lo hanno testato con successo su Mega-D, la complessa e nefasta rete malevola che nel 2008 era responsabile di quasi un terzo dello spam in circolazione online.

Dispatcher viene descritto come il tool ideale per incrementare il volume di fuoco a danno delle botnet, capace di estendere la lotta al fenomeno ad amministratori di rete, appassionati di tecnologia e più in generale a chi altrimenti mal si presterebbe a un'analisi manuale della tecnologia base dei network malevoli. "I software delle botnet stanno diventando più complessi",avvertono infine dalla UCB, grazie all'impiego di "varie tecniche di offuscamento e cose del genere. Quindi l'analisi manuale può al momento funzionale, ma in futuro avremo bisogno di strumenti più sofisticati".

Alfonso Maruccia
Notizie collegate
10 Commenti alla Notizia La botnet vista da dentro
Ordina
  • beh gli "honeypot" non sono mica una novità...
    Anzi sono uno dei sistemi più efficaci per rendersi conto (e quindi prendere contromisure) degli attacchi delle vulnerabilità più usate e di come vengono utilizzati i PC "preda".

    Con un honeypot (vasetto di miele) vedi le botnet "da dentro".
    Il metodo più classico coniste nel pizzare su una macchina virtuale (ben "hardenizzata") una installazione "niubba" di un OS "vittima sacrificale" (esistono anche sistemi che simulano il sistema "victim" in un singolo aspetto o servizio) in genere si usa però una "vera" incarnazione (su macchina virtuale) dell' O.S. da sacrificare...

    E poi si analizza il risultato... (rete, porte, dati, traffico, cosa viene caricato e scaricato... ecc.)

    E il bello è che (volendo) si può anche usarlo (sconsigliabile però) come arma... ma la cosa migliore è usarlo per imparare, tracciare... e eventualmente scoprire chi, come, e perchè.... e credetemi le sorprese non mancano!
    Occhiolino
    non+autenticato
  • - Scritto da: ullala
    > beh gli "honeypot" non sono mica una novità...
    [...]
    > credetemi le sorprese non
    > mancano!
    > Occhiolino

    Che poi e' quello che il nostro sistema immunitario fa coi linfonodi, piu' o meno.
  • - Scritto da: Guybrush
    > - Scritto da: ullala
    > > beh gli "honeypot" non sono mica una novità...
    > [...]
    > > credetemi le sorprese non
    > > mancano!
    > > Occhiolino
    >
    > Che poi e' quello che il nostro sistema
    > immunitario fa coi linfonodi, piu' o
    > meno.

    Più o meno... non fosse che nel nostro sistema immunitario è "tutto automatico" (anche se prende pure lui le sue belle cantonate)....
    Nonostante questo...
    La analogia potrebbe anche reggere
    Sorride
    non+autenticato
  • Ciao,
    io sono un "niubbo", potresti accennarmi che cosa si scopre guardando nel lato oscuro?
    Se non puoi entrare nei particolari é uguale, magari farei pure fatica a capire, perˇ mi incuriosice...
    Ciao e grazie
    non+autenticato
  • - Scritto da: little magpie
    > Ciao,
    > io sono un "niubbo", potresti accennarmi che cosa
    > si scopre guardando nel lato
    > oscuro?
    > Se non puoi entrare nei particolari é uguale,
    > magari farei pure fatica a capire, perˇ mi
    > incuriosice...
    > Ciao e grazie

    aheeem.... duuuunqeee... vedi il punto è che i osservano mooolte cose di alcune si può parlare (i soliti russi e co.) sono pochi (quelli "importanti... una decina")..
    Di alcuni si può sussurrare... ad esempio aziende di alcuni paesi sfruttano in modo ABITUALE il monitoraggio di bot zombies e keylogger per sapere cosa fanno i concorrenti.....

    Di altri... diciamo più "istituzionali" è decisamente meglio tacere...
    C'è chi gioca sporco, chi gioca semi-sporco e chi gioca pulito utilizzando le informazioni solo per mettere a punto contromisure....

    La sostanza è che... tra quelli che non "giocano pulito" non ci sono solo i "padroni ufficiali" delle botnet... mi spiego?
    non+autenticato
  • Scusa ma queste cose sono cose che si sono già viste 10 anni fa, non vedo come mai solo ORA facciano così tanto scaporeA bocca aperta
  • Chissà, forse perché Windows sta diventando sempre più colabrodo?
    ruppolo
    33146
  • OSX non se la passa tanto meglioA bocca aperta
    non+autenticato
  • - Scritto da: Stein Franken
    > OSX non se la passa tanto meglioA bocca aperta

    Sicuramente ne ha di menoCon la lingua fuori
  • - Scritto da: ruppolo
    > Chissà, forse perché Windows sta diventando
    > sempre più
    > colabrodo?

    Diventando?
    o ... è sempre stato?
    non+autenticato