Cyberkriminella har med tiden utvecklat sin taktik för att försvåra insatser mot botnät. Det mer avancerade lösningarna inkluderar så kallade fast-flux networks där dns-värdar hela tiden byts ut, samt knep som Confiker-liknande nät med dynamiskt domänskapande.
Samtidigt kan just dessa typer av taktik påvisa existensen av ett botnät under uppbyggnad. Detta enligt it-säkerhetsföretaget Damballa, som utvecklat en tjänst för att i ett tidigt skede upptäcka infekterade nätverk.
Tjänsten, kallad Firstalert, upptäcker typiska dns-förfrågningar som indikerar närvaron av ett botnät i en kunds nätverk. Enligt Damballa är tjänsten baserade på två huvudkomponenter. Den ena, Notos, är utvecklad för att parvis dynamiskt fastställa ryktet hos domännamn och ip-adresser via jämförelser.
Den andra, Kopos, kompletterar detta genom att se förändringar i dns-infrastrukturen hos ett företag, internetleverantörer och internet som är typiska för ett infekterat nätverk. Enligt Damballa fungerar systemet träffsäkert, men behöver omkring fem dagar på sig för inlärning av hur botnät-nätverk ser ut innan den kan göra självständiga upptäckter.
Tillsammans har de två komponenterna lyckats upptäcka botnät som Imddos och de som konstruerats av Spyeye. I flera fall kan tjänsten upptäcka botnät flera veckor innan de aktiveras för nätattacker, uppger Damballa.
IDG News
