c.m.g
14-11-2009, 11:24
venerdì 13 novembre 2009
Ricercatori statunitensi hanno sviluppato un metodo di analisi automatizzata delle comunicazioni cifrate sulle botnet. Aprendo le porte a una lotta più efficace e diffusa al fenomeno: gli zombie si combattono tutti assieme
Roma - Secondo i ricercatori della University of California di Berkeley e della Carnegie Mellon University, autori di un nuovo studio sulle botnet (http://punto-informatico.it/cerca.aspx?s=botnet&t=4&o=0), viste dal di dentro le reti malevole di PC zombie hanno una caratteristica prominente in comune: i sistemi "catturati" nella rete hanno bisogno di ricevere ordini e inviare risposte appropriate al tipo di comando impartito loro, fatto che gli studiosi hanno sfruttato per sviluppare un tool di analisi automatica delle comunicazioni cifrate tra centri di "comando&controllo" e bot.
"Il protocollo di comunicazione di una botnet è alla base della botnet" spiega (http://www.technologyreview.com/computing/23924/?a=f) il primo autore dello studio Juan Caballero, perché "è in questo modo che un malintenzionato invia comandi al network". Le attuali metodologie di analisi delle comunicazioni tra server e bot prevedono lo scandaglio manuale delle operazioni di basso livello del codice malevolo lato client, mentre i tentativi sin qui compiuti di indagine automatizzata si sono focalizzati solo sui comandi specifici inviati e ricevuti dai PC.
Il lavoro di Caballero e colleghi è invece andato alla radice delle botnet, prendendo in esame il movimento di dati nei registri di memoria attraverso una pratica che i ricercatori definiscono "buffer deconstruction", e deducendo la struttura delle comunicazioni della rete e la funzione dei vari componenti di ogni singolo comando.
Il risultato del lavoro è un tool chiamato Dispatcher, capace di analizzare le comunicazioni cifrate delle botnet e persino di iniettare nuove informazioni - magari utili a trarre in inganno il server di c&c a tutto vantaggio dell'opera di indagine. A dimostrazione della bontà del metodo statunitense ci sarebbe il fatto che gli esperti lo hanno testato con successo su Mega-D (http://punto-informatico.it/2178579/PI/News/mega-d-nuovo-master-of-the-universe.aspx), la complessa e nefasta rete malevola che nel 2008 era responsabile di quasi un terzo dello spam in circolazione online.
Dispatcher viene descritto come il tool ideale per incrementare il volume di fuoco a danno delle botnet, capace di estendere la lotta al fenomeno ad amministratori di rete, appassionati di tecnologia e più in generale a chi altrimenti mal si presterebbe a un'analisi manuale della tecnologia base dei network malevoli. "I software delle botnet stanno diventando più complessi", avvertono (http://www.technologyreview.com/computing/23924/page2/) infine dalla UCB, grazie all'impiego di "varie tecniche di offuscamento e cose del genere. Quindi l'analisi manuale può al momento funzionale, ma in futuro avremo bisogno di strumenti più sofisticati".
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/2750572/PI/News/botnet-vista-dentro.aspx)
Ricercatori statunitensi hanno sviluppato un metodo di analisi automatizzata delle comunicazioni cifrate sulle botnet. Aprendo le porte a una lotta più efficace e diffusa al fenomeno: gli zombie si combattono tutti assieme
Roma - Secondo i ricercatori della University of California di Berkeley e della Carnegie Mellon University, autori di un nuovo studio sulle botnet (http://punto-informatico.it/cerca.aspx?s=botnet&t=4&o=0), viste dal di dentro le reti malevole di PC zombie hanno una caratteristica prominente in comune: i sistemi "catturati" nella rete hanno bisogno di ricevere ordini e inviare risposte appropriate al tipo di comando impartito loro, fatto che gli studiosi hanno sfruttato per sviluppare un tool di analisi automatica delle comunicazioni cifrate tra centri di "comando&controllo" e bot.
"Il protocollo di comunicazione di una botnet è alla base della botnet" spiega (http://www.technologyreview.com/computing/23924/?a=f) il primo autore dello studio Juan Caballero, perché "è in questo modo che un malintenzionato invia comandi al network". Le attuali metodologie di analisi delle comunicazioni tra server e bot prevedono lo scandaglio manuale delle operazioni di basso livello del codice malevolo lato client, mentre i tentativi sin qui compiuti di indagine automatizzata si sono focalizzati solo sui comandi specifici inviati e ricevuti dai PC.
Il lavoro di Caballero e colleghi è invece andato alla radice delle botnet, prendendo in esame il movimento di dati nei registri di memoria attraverso una pratica che i ricercatori definiscono "buffer deconstruction", e deducendo la struttura delle comunicazioni della rete e la funzione dei vari componenti di ogni singolo comando.
Il risultato del lavoro è un tool chiamato Dispatcher, capace di analizzare le comunicazioni cifrate delle botnet e persino di iniettare nuove informazioni - magari utili a trarre in inganno il server di c&c a tutto vantaggio dell'opera di indagine. A dimostrazione della bontà del metodo statunitense ci sarebbe il fatto che gli esperti lo hanno testato con successo su Mega-D (http://punto-informatico.it/2178579/PI/News/mega-d-nuovo-master-of-the-universe.aspx), la complessa e nefasta rete malevola che nel 2008 era responsabile di quasi un terzo dello spam in circolazione online.
Dispatcher viene descritto come il tool ideale per incrementare il volume di fuoco a danno delle botnet, capace di estendere la lotta al fenomeno ad amministratori di rete, appassionati di tecnologia e più in generale a chi altrimenti mal si presterebbe a un'analisi manuale della tecnologia base dei network malevoli. "I software delle botnet stanno diventando più complessi", avvertono (http://www.technologyreview.com/computing/23924/page2/) infine dalla UCB, grazie all'impiego di "varie tecniche di offuscamento e cose del genere. Quindi l'analisi manuale può al momento funzionale, ma in futuro avremo bisogno di strumenti più sofisticati".
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/2750572/PI/News/botnet-vista-dentro.aspx)