Sto cercando di capire il comportamento della rete dei bot. Ci sono caratteristiche identificabili delle richieste di callback dal bot al server C & C che lo differenzia dal traffico normale? Ho appreso delle situazioni in cui è presente una normale callback in un determinato momento della giornata, ecc. Esistono risorse documentate che catalogano il comportamento di rete dei bot?
Dipende da come comunicano le reti bot:
La maggior parte delle botnet di base comunicherà utilizzando la vecchia scuola Internet Chat di inoltro.
Alcune applicazioni comunicano anche usando le chiamate HTTP, ottenendo il loro comandi occasionalmente da uno o più server di controllo
Alcune botnet usano il peer-to-peer usando i sentinel per il controllo intermedio. Le botnet distribuite hanno il vantaggio di non poter essere eliminate abbattendo un controller.
Quindi come puoi vedere non c'è un solo protocollo che può essere usato. La maggior parte dei protocolli usa anche le chiamate personalizzate per offuscare la loro presenza. Ricorda che questi robot non vogliono essere rilevati.
Alcuni riferimenti:
Sì, alcuni dei robot attuali mostrano ancora comportamenti periodici, ma per lo più utilizzano tecniche di elusione, come l'introduzione del rumore, per essere furtivi e al sicuro dalle tecniche di rilevamento del comportamento. Ci sono molte ricerche sul comportamento del traffico di rete botnet. Ma non ho ancora trovato nessuna singola risorsa che fornisca un riepilogo del comportamento di tutti i bot esistenti. se si esegue una query sull'analisi del comportamento delle botnet, si trova un buon numero di articoli di ricerca che discutono il comportamento del traffico di particolari software / botmalware selezionati. di seguito sono riportate alcune caratteristiche generali del traffico di rete utilizzate dalle diverse tecniche di rilevamento per il traffico di botnet del cluster periodicità rapporto tra byte di input e output Somiglianza (nel caso di più di un software presente sulla rete)