شبکه‌های بات - (۴) روش‌های تشخیص

یک‌شنبه ۲۲ آذر ۱۳۹۴
sharif-cert, apa, شبکه‌های بات، تهدیدات امنیتی، سرقت اطلاعات، ارسال هرزنامه، روش‌های تشخیص
مرکز آپا شریف
SUT-APA-LOGO
چکیده:
تهدیدهای امنیتی زیادی از قبیل حملات منع خدمت توزیع‌شده، سرقت اطلاعات و ارسال هرزنامه توسط شبکه‌های بات انجام می‌شود. تعداد زیاد رایانه‌های موجود در این شبکه‌ها و قدرت پردازشی بالای آن‌ها خطرات ناشی از این شبکه‌ها را افزایش می‌دهدو کشف شبکه‌های بات یکی از مسائل مطرح‌شده در فضای مجازی است.

مقدمه

در این مقاله، مروری بر روش‌های کشف شبکه بات خواهیم داشت. یکی از دشواری‌های کشف شبکه بات در ترافیک واقعی و زنده، حجم بالای ترافیک واقعی و ‏شباهت ترافیک شبکه بات به ترافیک نرمال شبکه است. در مواردی هم که ارتباطات شبکه بات ‏رمزشده است، بر دشواری‌های کشف افزوده می شود. لذا به دلیل گستردگی شبکه‌های ‏بات‏ و ‏استفاده از فناوری و تکنیک‌های متفاوت، ارائه یک راه‌حل جامع برای کشف شبکه‌های بات‏ کار بسیار دشواری است. ‏
تکنیک‌های متفاوت کشف ‏شبکه بات‏ بر روی مشخصه‌های مختلفی از ‏شبکه بات‏ تمرکز دارند. ‏برخی با تحلیل ترافیک ‏بات‏ و یافتن رفتارهای مخصوص آن‌ها به کشف و ردگیری شبکه‌های بات ‏می‌پردازند. برخی با توجه به پروتکل‌ها و مکانیزم‌های مورد استفاده برای برقراری ارتباط ‏بین کارگزار فرمان و کنترل و بات‌ها تحلیل خود را انجام می‌دهند. گروهی دیگر نیز تکنیک‌های همچون شار دامنه و آی‌پی که ‏شبکه‌های بات به کار می‌برند را مدنظر قرار می‌دهند. در این مقاله به بررسی تکنیک‌های کشف شبکه‌های بات می‌پردازیم.

تکنیک‌های کشف مبتنی بر امضا

تکنیک‌های کشف مبتنی بر امضاSignature-based Detection، سعی به شناسایی بدافزار با استفاده از مشخصات از پیش‌ یافته‌شده بدافزار یا به عبارتی دیگر امضای بدافزار دارند. این دسته از تکنیک‌ها خود به دو دسته مبتنی بر میزبانHost-based و مبتنی بر شبکه تقسیم می‌شوند. روش‌های مبتنی بر میزبان به بررسی رفتار داخلی بدافزار در رایانه‌ میزبان می‌پردازند در حالی که روش‌های مبتنی بر شبکه تلاش به بررسی رفتار بدافزار در سطح شبکه دارند.
  • روش کشف مبتنی بر میزبان: این روش سعی به شناسایی بدافزار در رایانه میزبان دارد. در این روش وضعیت داخلی، منابع و رفتار میزبان بررسی و نظارت می‌شود. الگوی دستورهای موجود در کد باینریBinary، مجموعه فراخوانی‌های سیستمیSystem Calls، آدرس آی‌پی یا نام‌دامنه کارگزار دستور و کنترل که بدافزار سعی به برقراری ارتباط با آن دارد (که ممکن است در کد باینری بات وجود داشته باشند) نیز می‌توانند به عنوان امضای بدافزار استفاده شوند.
    استفاده از مقدار درهم شدهHash باینری‌ها یکی از ساده‌ترین و متداول‌ترین نوع ایجاد امضا است. معمولا مقدار درهم شده‌ی‌ فایل باینری بدافزار برای تشخیص بدافزار استفاده می‌شود، در حالی که مقدار درهم شده فایل‌های سیستمی برای تضمین صحت این فایل‌ها موردنیاز هستند. ویژگی دیگر، مجموعه فایل‌هایی است که توسط کد باینری بدافزار دسترسی یا تغییر یافته‌اند. تلاش برای تغییر کلیدهای رجیستری، تغییر مجوزها یا استفاده از برخی از منابع سیستمی، تعداد فرآیندهاProcesses، تعداد نخ‌هاThreads یا الگوی تعامل بین فرآیندها و مدت زمان زنده بودن بدافزار می‌توانند از دیگر مشخصات یک بدافزار به شمار آیند.
  • روش کشف مبتنی بر شبکه: در روش‌های کشف مبتنی بر شبکه، رفتار ماشین‌های موجود در شبکه به عنوان امضا استفاده می‌شود. در رابطه با برخی از رفتارهای شبکه می‌توان به موارد زیر اشاره کرد:
    • آدرس‌های آی‌پی که رایا‌نه‌های موجود در شبکه ‌بات با آن‌ها ارتباط برقرار می‌کنند.
    • شماره درگاهیPort که استفاده می‌کنند.
    • سرویس‌هایی که استفاده می‌کنند.
    • پروتکل‌های ارتباطی که استفاده می‌کنند همچون TCP، UDP، IRC، HTTP.
    • الگوی ترافیک بین ماشین‌ها همچون توالی، تکرار، طول و محتوای پیام‌ها.
    لازم به ذکر است امضاهای ارتباط‌های بین بات‌ها، بین بات و رییس بات و بین بات و قربانی متفاوت خواهند بود.
    نقطه قوت روش‌های مبتنی بر امضا نرخ پایین خطای مثبت کاذبFalse Positive آن‌ها است. از طرفی در هر ماشین نیاز است تا امضاها به شکل امنی نگهداری و به‌روزرسانی شوند. به طور کلی این روش برای شناسایی تهدیدات ناشناخته مناسب نیست.

تکنیک‌های کشف مبتنی بر رفتارهای غیرعادی

تکنیک‌های کشف مبتنی بر رفتارهای غیرعادیAnomaly-based Detection نیز همانند روش‌های مبتنی بر امضا می‌تواند در سطح شبکه و میزبان انجام شوند. در سطح میزبان این روش‌ها سعی به جمع‌آوری رفتار عادی کاربر سیستم دارند و هرگونه رفتاری که مطابق با رفتار کاربر نباشد را به عنوان رفتار غیرعادی درنظر می‌گیرند. اما در سطح شبکه این تکنیک‌ها برای تشخیص شبکه‌های بات بر پایه چندین ناهنجاری در ترافیک شبکه از قبیل تاخیر بالای شبکه، حجم بالای ترافیک شبکه، مشاهده ترافیک شبکه بر روی درگاه‌های غیرعادی و رفتارهای مشکوک سیستم‌های موجود در شبکه که می‌توانند حاکی از حضور بات‌ها در شبکه باشند، عمل می‌کنند. باید توجه شود که گاهی مشاهده‌ رفتار غیرعادی در شبکه، الزاما نشانه‌ای بر حضور و کشف شبکه بات نیست و در شرایطی می‌تواند حاکی از رفتار عادی و قابل قبول شبکه باشد. نقطه قوت رو‌ش‌های مبتنی بر ناهنجاری، توانایی کشف تهدیدهای جدید است. از طرفی این روش‌ها نیازمند زمان و تلاش بسیاری برای جمع آوری و مشخص کردن رفتار عادی هستند و خطای مثبت کاذب در آن‌ها وجود دارد (ممکن است فعالیت‌های عادی نیز به عنوان تهدید شناسایی شوند).

تکنیک‌های کشف مبتنی بر ‏DNS

DNS به عنوان یکی از سرویس‌های اصلی در اینترنت به شمار می‌آید که استفاده از آن تنها محدود به کاربردهای مجاز نیست و برای کاربردهای بدخواهانه نیز استفاده می‌شود. به عنوان مثال حمله‌کننده از DNS برای یافتن نام‌دامنه کارگزار دستور و کنترل شبکه‌های بات، سایت‌های جعلیPhishing و سایت‌هایی دانلودی که حاوی کدهای بدخواه هستند، استفاده می‌کند.
اکثر بات‌های جدید از DNS به منظور برقراری ارتباط بین بات و کارگزار دستور و کنترل استفاده می‌کنند. همان‌طور که اشاره شد، یکی از روش‌های استفاده‌شده توسط شبکه‌های بات برای به تاخیر انداختن تشخیص این نوع از شبکه‌ها، استفاده از روش‌های شار سریع آی‌پی یا نام‌دامنه است.
در این تکنیک‌ها، استفاده از ‏DNS‏ باعث می‌شود تا بات‌ها غیرقابل مشاهده ‏شوند و همچنین قابلیت انتقال داشته باشند. ‏بنابراین تحلیل ترافیک DNS به عنوان یک راه‌حل موثر در شناسایی این نوع از شبکه‌های بات خواهد بود.
روش‌های کارای متعددی بر مبنای کشف با استفاده از ترافیک DNS ارائه شده‌اند. این روش‌ها با بررسی ترافیک DNS به دنبال الگوهای آماری یا رفتاری خاص می‌گردند تا براساس آن‌ها شبکه‌های بات را شناسایی کنند. جستجوی نام‌دامنه‌هایی که نرخ پرس‌وجو غیرعادی بالایی دارند، یا ‏اینکه نرخ پرس‌وجو به صورت زمانی متمرکز است، جستجو به دنبال پاسخ‌های ‏DNS‏ غیرعادی مانند NXDOMAIN‏، کشف میزبان‌های آلوده به بات براساس کشف رفتارهای گروهی در ارسال درخواست‌های DNS، جستجو به دنبال نام‌های دامنه مشکوک که طول عمر کوتاهی دارند و به یک آدرس آی‌پی اختصاص داده شده‌اند و جستجو به دنبال آدرس‌های آی‌پی متعددی که به یک نام‌دامنه اختصاص داده‌شده‌اند، برخی از ویژگی‌های استفاده شده این روش‌ها هستند.
در روش‌های تشخیص ارائه‌شده با استفاده از ترافیک نام‌دامنه باید به این نکته توجه کرد که برخی از دامنه‌ها ممکن است متعلق به سایت‌های جعلی و دانلود کد آلوده باشند. لذا نباید به اشتباه به عنوان کارگزار دستور و کنترل بات شناسایی شوند؛ از طرفی شناسایی آن‌ها در کنار نام‌‌دامنه‌های کارگزارهای دستور و کنترل بات می‌تواند مثمر ثمر باشد.
در صورتی که شبکه باتی به جای استفاده از DNS به طور مستقیم از آدرس آی‌پی کارگزار دستور و کنترل استفاده کند، با این روش تشخیص داده نخواهد شد. به دلیل اینکه بات هیچ پرس و جویی با کارگزار نام‌دامنه نخواهد داشت و به طور مستقیم با کارگزار دستور و کنترل ارتباط برقرار می‌کند. اما به دلیل اینکه استفاده مستقیم از آی‌پی کارگزار دستور و کنترل امنیت شبکه‌های بات را تهدید می‌کند، اغلب در این شبکه‌ها از نام‌دامنه برای ارتباط با کارگزار استفاده می‌شود.

تکنیک‌های کشف مبتنی بر کاوش

در این روش تمامی فعالیت‌ها در شبکه یا میزبان، نظارت و ثبت می‌شوند. سپس تمامی فایل‌های ثبت‌شده بررسی و همبسته‌سازی رویدادهاEvent Correlation انجام می‌شود و در نهایت اعلان‌هایی راجع به حضور یا عدم حضور فعالیت بدخواهانه اظهار می‌شود. این روش می‌تواند از تمامی روش‌های فوق نیز استفاده کند.

جمع‌بندی

به دلیل گستردگی شبکه‌های بات و استفاده از فناوری‌ها و تکنیک‌های متفاوت، ارائه یک راه‌حل جامع برای کشف شبکه‌های بات کار بسیار دشواری است. به‌طور کلی تکنیک‌های شبکه‌های بات به چهار دسته زیر تقسیم می‌شوند.
  • تکنیک‌های کشف مبتنی بر امضا
  • تکنیک‌های کشف مبتنی بر رفتارهای غیرعادی
  • تکنیک‌های مبتنی بر DNS
  • تکنیک‌های مبتنی بر کاوش