Rilevamento di botnet che utilizzano HTTP anziché IRC

I know most bots use either IRC or HTTP to communicate with the C&C

Per quanto ne so, l'IRC non è più molto usato nelle attuali comunicazioni C & C perché è facile da rilevare. La corrente comunicazione C & C cerca più difficile da fondere e utilizza principalmente HTTP, ma viene anche utilizzato DNS.

So if a botnet is using HTTP, how can this be prevented? Just theoretical!

Poiché la comunicazione è deliberatamente progettata per integrarsi nel traffico normale e talvolta utilizza anche Twitter o siti di blog comuni per scambiare informazioni, è molto difficile da rilevare. Tuttavia, l'analisi di un tale traffico mostra spesso piccole differenze rispetto al normale comportamento del browser, come le richieste HTTP atipiche (vecchi User-Agent, intestazioni speciali o mancanti ...). Ma questo non è garantito e il malware può persino strumentare il browser sul sistema per fare le richieste e quindi si fonderà ancora di più.

Un'altra fonte di informazioni è guardare la storia dell'host di destinazione, perché spesso le botnet hanno un'infrastruttura flessibile in cui l'IP dietro un nome cambia spesso o dove l'host di destinazione cambia spesso. In questo modo è possibile rilevarlo perché il traffico va a host insoliti o agli stessi hostname o indirizzi IP noti da altri malware. Ma ancora, non è garantito che questa comunicazione C & C funzioni come questa o piuttosto usi siti in cui gli utenti possono generare contenuti (Twitter, Facebook, blog ...) per diffondere i comandi.

Quindi è talvolta possibile rilevare una comunicazione di questo tipo quando si esaminano richieste specifiche e talvolta è necessario guardare il modello di traffico più grande dall'host (rilevamento delle anomalie). Non esiste una singola tecnica e non vi è alcuna garanzia che la troverai, perché come ho detto il traffico è progettato per essere indistinguibile dal traffico normale.