Jest sposób na sieć botnet robaka Storm

Grupa niemieckich naukowców ujawniła publicznie pierwsze wyniki badań, których celem była próba aktywnego przerwania pracy botnetu peer-to-peer. W swojej pracy wzięli oni “pod lupę” botnet robaka Storm.

Naukowcom udało się nie tylko zinfiltrować Storma, otrzymując w ten sposób jedne z najbardziej precyzyjnych informacji o rozmiarach sieci, jakie udało się do tej pory ustalić, ale również z sukcesem przerwać komunikację pomiędzy węzłami sieci, wykorzystując do tego technikę „zatruwania” (jak określili ją w swojej pracy).

Autorami raportu zatytułowanego "Measurements and Mitigation of Peer-to-Peer-based Botnets," jest pięciu naukowców pracujących na Uniwersytecie w Mannheim i Institut Eurécom.

Naukowcy postanowili zastosować bardziej aktywne podejście do botnetu, dzięki czemu udało im się “zatruć” komunikację między botami, efektywnie blokując ich pracę.

„Nasza strategia może zostać wykorzystana jako sposób do zagłuszenia komunikacji w sieci Storm na większą skalę” - można przeczytać w pracy. „Efektem ubocznym okazała się możliwość dość precyzyjnej estymacji wielkości botnetu, co do tej pory było dość trudne do wykonania” - czytamy dalej.

Poprzednio naukowcy bazowali na technikach pasywnych, takich jak obserwowanie zdarzeń w sieci, (notowanie liczby listów elektronicznych będących spamem pochodzących od określonej sieci).

Obecnie możliwe jest śledzenie wszystkich peerów sieci P2P oraz rozróżnianie zainfekowanych na podstawie ich zachowania.

Sondując w ten sposób Stormnet co każde pół godziny (od grudnia 2007 do początku lutego 2008) naukowcy odkryli, iż online było od 5000 do 40 000 peerów. Większa liczba botów została zaobserwowana w okresie Świąt Bożego Narodzenia i Nowym Rokiem. Boty zlokalizowane były w ponad 200 krajach, najwięcej z nich, bo aż 23 procent, pochodziło ze Stanów Zjednoczonych.

Technika “zatruwania” stosuje klucze, które wykorzystywane są przez boty sieci Storm podczas nawiązywania komunikacji. Naukowcy stworzyli ogromną ilość fałszywych danych dla określonych kluczy. W ten sposób boty otrzymując fałszywe odpowiedzi stają się bezradne.

Inna z technik zwanych „sybil” lub „eclipse” polega na odseparowaniu części sieci P2P od reszty.

źródło: www.networkworld.com