Исследователи из Национальной лаборатории в Лос-Аламосе создали и проверили модель ботнета нового поколения. В отличие от традиционных ботнетов, где несколько центральных компьютеров контролировали множество "зомбированных" компьютеров в преступных операциях по похищению персональных данных стоимостью сотни тысяч долларов, ботнет нового поколения базируется на принципах файлообменных сетей без центрального сервера с прямыми связями между узлами.
Впервые о зарождении новой концепции ботнетов предупредил исследователь сетевых технологий Клифф Зоу из университета Центральной Флориды. По словам Зоу, в ответ на регулярные закрытия все новых и новых ботнетов старого образца злоумышленники постепенно переходят на одноранговые "зомби"-сети нового уровня. Предположения ученого из Флориды решили проверить в Лос-Аламосской национальной лаборатории, которая работает над стратегическими оборонными проектами.
Строго говоря, специалистам уже известны действующие ботнеты, работающие на одноранговых принципах. Когда владелец такого ботнета хочет отдать какую-то команду, он передает ее в один или несколько рядовых узлов ботнета, откуда команды распространяются по всей сети. Если старые ботнеты можно было блокировать, отключив центральные серверы, то новые ботнеты почти неуязвимы к прежним методам. Для борьбы с такими новыми ботнетами властям придется глубоко внедряться в сеть и распространять фальшивые команды, файлы и сведения о соседних узлах. Кроме того, в борьбе с ботнетами нового типа необходим самый тщательный перехват коммуникаций между узлами преступной сети.
Гипотетический одноранговый ботнет, созданный в Лос-Аламосе, описан в статье, которая скоро будет опубликована в академическом журнале "Computer Networks". Группа ученых под руководством Стивена Эйденбенца (Stephan Eidenbenz) сумела построить сеть, в которой случайным образом выстраивается иерархия, а каждый узел принимает команды только от компьютеров, стоящих выше по иерархической лестнице – что-то вроде армейского принципа единоначалия. Получается, что при изъятии любого компьютера из этой сети вся система в целом сохранит работоспособность. Каждый день ботнет полностью меняет конфигурацию, так что у посторонних лиц будет совсем немного времени, чтобы отследить компьютеры высшего уровня, наносящие больше всего вреда.
В сочетании со стойкими алгоритмами шифрования новый тип ботнетов будет очень эффективным и устойчивым к анализу и атакам. С другой стороны, даже с традиционными ботнетами очень трудно бороться – их легко вводить в работу, они просты в управлении. При отключении центрального сервера его копия легко и быстро запускается на другой машине, так что сложности динамических ботнетов с постоянно меняющейся иерархией пока проигрывают простоте и дешевизне традиционных криминальных веб- технологий.
Источник: SecurityLab
|
