شبکه‌های بات - (۳) تکنیک‌های پنهان‌سازی

شنبه ۱۶ آبان ۱۳۹۴
sharif-cert, apa, شبکه‌های بات، تهدیدات امنیتی، سرقت اطلاعات، ارسال هرزنامه، تکنیک‌های پنهان‌سازی.
مرکز آپا شریف
SUT-APA-LOGO
چکیده:
امروزه از شبکه‌های بات به منظور حملات منع خدمات توزیع‌شده، سرقت اطلاعات، انواع کلاه‌برداری‌ها، ارسال هرزنامه و موارد دیگر استفاده می‌شود. کشف بات‌ها و شبکه‌های بات و جلوگیری از آن‌ها، یکی از موضوعات مهم در زمینه امنیت فضای مجازی است.
شبکه‌های بات نیز برای به تاخیر انداختن کشف و نگه‌داری از خود از روش‌های بسیاری استفاده می‌کنند. برخی از این روش‌ها در این مقاله معرفی شده است.

مقدمه

شبکه‌های بات برای به تاخیر انداختن کشف و نگهداری خود از روش‌های بسیاری همچون رمزنگاری یا مبهم‌سازیObfuscation فایل باینری بات، رمز دستورات ارسالی بین بات و کارگزار دستور و کنترل و تغییر سریع آدرس اینترنتی یا نام‌دامنه کارگزار دستور و کنترل استفاده می‌کنند. از جمله تکنیک‌هایی که به نگهداری ‏شبکه بات‏ کمک می‌کند و کشف آن را دشوارتر ‏می‌سازد، تکنیک تغییرات پی‌درپی سریعFast Fluxing است. تغییرات پی‌درپی سریع که مبتنی بر ‏DNS‏ عمل می‌کند روشی است که با هدف ایجاد تعادل بارکاری در میان کارگزارهای ارائه‌دهنده یک سرویس خاص در شبکه‌های توزیع‌کننده ‏محتوا شکل گرفته است. در حال حاضر این روش توسط بسیاری از شبکه‌های بات نیز استفاده می‌شود. تکنیک‌های تغییرات پی‌درپی سریع استفاده‌شده توسط شبکه‌های بات به دو دسته تقسیم می‌شوند:
  • تغییرات پی‌درپی آدرس‌های آی‌پی (شار آی‌پیIP Fluxing)
  • تغییرات پی‌درپی نام‌های دامنه (شار دامنهDomain Fluxing)

تغییرات پی‌درپی آدرس‌های آی‌پی

معمولا بات‌ها برای یافتن کارگزارهای دستور و کنترل، نام‌دامنه آن‌ها را در اختیار دارند و با اجرای پرس‌وجوی نام‌دامنه، آدرس آی‌پی آن‌ها را می‌یابند. در تکنیک شار آی‌پی برای جلوگیری از تشخیص شبکه بات، در بازه‌های زمانی کوتاه، نگاشت نام‌دامنه کارگزار دستور و کنترل به آدرس آی‌پی، تغییر می‌کند. بررسی‌های انجام‌شده بر روی این نوع از شبکه‌های بات نشان می‌دهد که نام‌دامنه‌‌هایی که از شار سریع آی‌پی استفاده می‌کنند، در هر ۳ الی ۱۰ دقیقه مجموعه جدیدی از آدرس‌های آی‌پی به آن‌ها اختصاص داده می‌شود. بنابراین این تکنیک از اتصال تعداد زیادی بات به یک آدرس و مشهود شدن رفتار گروهی آن‌ها جلوگیری می‌کند. یکی از چالش‌هایی که در تشخیص این نوع از شبکه‌های بات وجود دارد، وجود دامنه‌های مجاز با رفتاری مشابه رفتار شبکه‌های شار آی‌پی است. این دامنه‌های مجاز با بهره‌گیری از تکنیک نام‌دامنه پویاDynamic DNS DDNS) سربار ترافیکی خود را بین چندین کارگزار تقسیم می‌کنند. اما در اصل نحوه اختصاص آی‌پی به دامنه‌ها در این دو گروه متفاوت است. در شبکه‌های مجاز، گروه مشخصی از آدرس‌های آی‌پی به نام‌دامنه اختصاص داده می‌شوند و در هر درخواست تعدادی از آن‌ها به صورت چرخشی برگردانده می‌شوند. در حالی که در شبکه‌های بات در هر بار درخواست، لیستی از آدرس‌های آی‌پی متفاوت و پراکنده به نام‌دامنه اختصاص داده می‌شوند.

تغییرات پی‌درپی نام‌های دامنه

برخی دیگر از بات‌ها با تولید نام‌های دامنه مختلف و سپس اجرای پرس‌وجو برای یافتن آدرس آی‌پی آن، از کشف بات و کارگزار دستور و کنترل جلوگیری می‌کنند. در این تکنیک برخلاف شار آی‌پی به یک آدرس آی‌پی چندین نام‌دامنه که به صورت مداوم در ‏حال تغییر و چرخش هستند، اختصاص داده می‌شود. یکی از روش‌های رایج استفاده‌شده در روش شار دامنه، استفاده از الگوریتم‌هایی است که به صورت تصادفی نام‌های دامنه جدید تولید می‌کنند. این روش روزانه لیست پویایی از چندین نام‌دامنه تولید می‌کند ‏که تعدادی از آن‌ها قبلا ثبت شده‌اند و بات‌ها از طریق آن‌ها با کارگزار دستور و کنترل ارتباط برقرار می‌کنند. دامنه‌های تولیدشده، عمر کوتاهی در حد یک روز دارند و سریعا منقضی می‌شوند. در نتیجه کشف و ردیابی چنین دامنه‌هایی دشوار و در مواقعی غیرممکن است. ‏

جمع‌بندی

شبکه‌های بات از روش‌های بسیاری همچون رمزنگاری و یا مبهم‌سازی فایل باینری و تغییر سریع آدرس اینترنتی یا نام‌دامنه کارگزار برای به تاخیر انداختن کشف و نگه‌داری از خود استفاده می‌کنند. تغییرات پی‌درپی آدرس‌های آی‌پی و تغییرات پی‌در‌پی نام‌های دامنه دو روشی هستند که در این مقاله مورد بررسی قرار گرفته‌اند.