По следам алгоритма

Американские исследователи разработали новую методику отслеживания участников fast-flux сетей, основанную на анализе DNS-трафика в реальном времени.

Операторы ботнетов нередко используют технологию динамической перерегистрации доменов/IP-адресов (fast-flux), чтобы повысить жизнестойкость командной инфраструктуры. Реализовать ее помогают специальные алгоритмы, которые с заданной частотой воспроизводят длинные списки доменных имен, сгенерированных на основе случайной выборки. Пытаясь связаться с центром управления, бот последовательно перебирает позиции списка и направляет запросы DNS-серверу до тех пор, пока не обнаружит работающий домен. Генератором доменов снабжены, например, Kraken, Sinowal, Waledac, Kido, а также последняя модификация ZeuS.

Исследователи из техасского университета агрокультуры и машиностроения (Texas A&M) и калифорнийской компании Narus Inc. предлагают отлавливать таких опасных участников Сети, изучая DNS-трафик. Если большое число доменов, запрошенных из одного источника, привязано к одному и тому же блоку IP-адресов, это классифицируется как аномалия. В таких случаях проводится поиск признаков, указывающих на автоматизацию процесса создания доменных имен. Анализ комбинации и распределения буквенных знаков и биграмм (пар символов) в каждом имени позволяет выявить определенные закономерности и при их наличии с уверенностью заключить, что источник DNS-запросов заражен. Получив соответствующий сигнал, системный администратор может поставить фильтр и лишить бот связи с центром управления.

Обычно борцы с ботнетами стремятся выявить и нейтрализовать все домены, связанные с деятельностью конкретной fast-flux сети, и прибегают к обратному инжинирингу, чтобы определить алгоритм генерации доменных имен. Это долгий и ресурсоемкий процесс, а приобретение прав на сотни и тысячи доменов, которые злоумышленники не успели зарегистрировать, требует дополнительных капиталовложений. Кроме того, пока исследователи решают эту непростую задачу, владелец ботнета может обновить генератор доменов, и тогда все усилия по ликвидации источника угрозы пойдут прахом.

Методика, предложенная американскими академиками, позволяет преодолеть эти трудности. Она пригодна для отслеживания активности в ботнетах, использующих как ротацию доменов (domain fluxing), так и динамическую смену IP-адресов (IP fluxing). Испытания на выборке из 500 доменных имен в одной TLD-зоне показали эффективность 100% без ложных срабатываний. При уменьшении размеров выборки до 50 показатель эффективности не изменился, но в 15% случаев положительный результат оказался ошибочным. Работа была представлена на конференции ACM по интернет-измерениям (Internet Measurement Conference, IMC), только что завершившейся в Мельбурне.