有哪些偵測軟體
- RUBotted http://goo.gl/MsyFoh
- HoneyPot
- 一般針對Botnet的入侵偵測,大多為一種事後偵測,像是以IDS或IPS入侵偵測系統來說,必須先取得遭Bot惡意程式入侵的攻擊樣本,才能找出內網(LAN)尚未遭惡意程式入侵的受害電腦,但其實這時候入侵行為早已發生。
一般Bot殭屍病毒或惡意程式入侵前,會先對固定幾個埠(Port)掃描是否存在可入侵的弱點,因此若能先一步在Bot進行通訊埠掃描(Port Scan)時,就採取反掃描偵測,就能在入侵前找到可能是殭屍網路的威脅。
- 此軟體用過去用來防止駭客入侵的蜜罐(HoneyPot)機制,作為事前偵測的工具。HoneyPot是一個誘捕系統,主要是用來設下陷阱誘使壞人或惡意程式展露其行為或意圖,因此,它可以將自己偽裝成是一臺伺服器,也能當成是一個虛擬機器或是Web客戶端。
- 在需要被保護的電腦或伺服器主機旁架設一臺具誘捕功能的蜜罐設備(HoneyPot),然後將其IP設在受保護對象附近,啟動後完全不開啟任何服務或只提供少量服務,就如同影武者一般,將身形完全隱身起來,讓外界無法察覺它的存在。而當這臺誘捕設備啟動後收到來自網路不明主機的通訊埠掃描時,就代表對方很有可能是一臺掃瞄器,正在做入侵前的掃描行為,尋找是否有可入侵的弱點。
- 即使駭客自行調低每秒發送掃描封包的次數,該設備也能偵測得到,而且不論從外網(WAN)或內網(LAN)的掃描都可偵測而沒有誤判問題。
- 此種偵測方式也能適用於自帶設備(BYOD)和IoT物聯網裝置的入侵偵測威脅。
- 除此之外,這個 Bot入侵預警機制也能與SDN交換器結合使用。透過SDN交換器本身所具備的即時、動態與軟體可控特性,當HoneyPot偵測有Bot正對其它電腦進行掃描時,即會通知SDN交換器的控制器,迅速將受感染的Bot疆屍電腦隔離起來,讓感染範圍能控制在最低,可得到98.5%的阻擋率。
- 未來也可運用在0day(零時差攻擊)漏洞的預警機制,在廠商尚未公布弱點前,就能拿來事先判斷是否有出現類似的入侵威脅發生。
- 另外卡巴斯基、小紅傘......等各大防毒軟體皆有偵測botnet之功能
Defense Against the Botnet
Because initial servent bots are the weak points at beginning, shut down a botnet before the first peer-list updating procedure
Honeypot based defense:Clone a large set of “servent” bots, but it can survive with only 20% servent bots left.
Obtain peer lists in incoming infections
Forensic analysis of botmaster’s sensor...
~Challenge~: Log of unknown port service and IP beforehand