有许多种类的工具可以帮助检测机器人的存在。日志管理和SIEM工具有助于检测作为僵尸网络标志的通信。专家就如何使用此类工具来确定网络上是否有机器人在工作提供了建议。
在上周的时事通讯中,我谈到了僵尸网络的日益复杂,以及它们入侵你的网络是多么容易。在本周的文章中,我联系了一些登录和安全事件和事件管理(SIEM)市场的专家,以获得他们关于此类工具如何帮助检测僵尸入侵的建议。
有许多种类的工具可以帮助检测机器人的存在。我开始因为机器人的通信性质的日志/ SIEM专家。一旦PC已经变成一个机器人,其将开始表现出包括具有命令和控制(C&C)主通信的特定行为。这种通信通常遵循的模式是通过分析和/或相关的日志,寻找脱颖而出的活动检测的“不规范”。
据CEO A. N. Ananth,棱镜微,在与僵尸网络作战时,我们正处于一种“不对称战争”的状态。他说,好人正在尽他们所能来保护他们的网络,但所有的坏人需要的是一个“胜利”,在某人的网络上建立一个立足点。幸运的是,Ananth说,我们有机会利用技术找到这个立足点。“我们不能放弃祖国,”他说。
他建议的检测机器人的存在在网络上(假设你没有感染时检测到它)的几种方法。一种方法是文件完整性监控,一种技术,可以让你看看什么改变您的系统上从一天到以下。你可以在一台PC的状态比较其先前的“干净”的自我,或者说PC比作“黄金底线”的配置,你知道是干净的。你会寻找可执行文件或DLL,特别是任何添加或更改。僵尸网络的恶意软件有时会修改或企图隐藏重命名一个合法的可执行文件。
Ananth建议在基于Windows的系统开机过程审计。这告诉你进程正在运行什么。你可以找一个过程,之前从来没有跑,现在运行。这表明在PC上一个新的,可能是恶意的可执行文件。
对于Windows系统的另一个机器人检测技术是网络连接监控。代理可以看到所有的流量进来/出去和标志什么可疑的东西。你想也想寻找通信异常端口,虽然Ananth警告说,僵尸网络将尝试“隐藏在众目睽睽下”使用的正常通信端口。
Ananth说,这些技术都是乏味的,除非你有自动化。您不希望花费人工时间来挖掘日志或比较文件。他的公司的工具,EventTracker,将这些和其他常见的任务自动化,帮助你发现网络上的异常行为。
我的下一个专家是迪米特里·麦凯,安全架构师LogLogic的谁与客户面临的问题与僵尸网络密切合作。LogLogic的安全事件管理器可以帮助自动以下麦凯建议的任务。
“传统的僵尸网络在本地的机器上通过间谍软件/恶意软件和防病毒检测软件或通过使用可以下载僵尸网络程序或消息类型的指纹IDS程序检测,”麦凯说。“不过,有一个很大的缺点,以这种方式:他们只能检测已知僵尸网络活动,因为它们依赖于已知签名或按指纹。”
McKay建议一个更简单、更可靠的方法来揭示僵尸网络的活动,那就是监控你的防火墙日志数据。它的工作原理是这样的:“僵尸网络以高度同步的方式进行通信,”他说。僵尸网络检测的第一步是阻止SMTP端口25的进出流量。只通过您自己的邮件服务器发送邮件,但是在其他地方阻止它。从那里,您的防火墙日志可以用来显示任何试图从您的网络发送垃圾邮件的入侵者机器。对于大量的DNS查询。僵尸网络通常会比正常情况下进行大量的DNS查找。这也是一个重要的指标。”
由于这样的事实:僵尸网络C&C服务器往往是在美国以外,麦凯增加了这样的建议:“查找MX查找要.RU,.CN和.INFO域名这些说雷竞技比分明,以获得更新,并与主节点的通信。说明所有的僵尸网络,无论功能,与中央服务器进行通信“。
马特·彼得森,在知识工程组组长LogRhythm也权衡对使用日志来检测机器人的存在的主题。LogRhythm的技术,丰富的元数据设备日志,可以使用搜索机器人的活动。例如,元数据可以告诉你流量的方向(入站/出站)中,消息的大小或附件,活动类型的来自特定源的频率,等等。在日志产品罐头报告类别可设置寻找这个元数据;例如,出站通信的异常高的量可能指示拒绝服务活性。
彼得森还建议寻找多个连续试图访问敏感数据,如账户记录。无论这些尝试成功或失败,只是他们经常发生的事实可以表明,一个机器人 - 或者一个流氓员工 - 正在试图获取数据。而像棱镜的Ananth,彼得森说,文件完整性监控可以帮助找到机器人相关的恶意软件是合法的应用程序,如记事本隐藏在里面的。
我一直认为,日志数据包含了丰富的信息。对特定类型的日志数据的训练日志管理和SIEM应用程序可以帮助你发现了“机器人腐”您的网络中。
即将在下周:还是多的迹象表明指向僵尸网络活动的网络上。