Quando visitiamo siti Web, inconsapevolmente i nostri computer possono essere vittime di una botnet. Ci dovrebbe essere un modo per identificare se siamo vittime o no. Qual è il modo per identificarlo e come recuperarlo?
Puoi scoprire se i tuoi clienti sono diventati parte di una botnet in tre modi.
Ma torniamo alla tua domanda su come rilevare se i tuoi client fanno già parte di una botnet. Il modo più efficace (secondo me) è di rilevare la comunicazione tra i client botnet ei server botnet installando un Sistema di rilevamento delle intrusioni (IDS) sensore nella tua rete.
Configura questo sensore IDS con un elenco di traffico C & C noto e modelli di traffico che indicano che esiste un client botnet.
Quando l'IDS rileva traffico verso i server C & C, può essere configurato per avvisarti di tale traffico.
Un prodotto IDS utilizzato comunemente è snort , e un set di regole usato comunemente per rilevare il traffico C & C è emerging-botcc.rules
Non esiste un unico modo per farlo: questo fa parte del motivo per cui le botnet sono un tale problema. Se esistesse un'unica soluzione, sarebbe già implementata dalla maggior parte degli ISP e dalle organizzazioni.
Il più delle volte, il meglio che possiamo fare è applicare un certo numero di euristiche, regole empiriche, che daranno un'indicazione di possibili problemi di botnet, ma non è garantito che siano corrette - puoi ottenere falsi positivi.
Come sottolineato in altre risposte, in generale, la soluzione generale è incentrata sull'identificazione di modelli di traffico insoliti mentre la botnet tenta di comunicare con la sua C & C. Ciò potrebbe comportare il monitoraggio delle richieste DNS o il monitoraggio del traffico attraverso il firewall. Ci sono anche servizi commerciali che eseguiranno questo tipo di monitoraggio per una rete. Fornisci loro un elenco dei tuoi indirizzi IP e controllano il botnet C & C noto per il traffico dalla tua rete.
Naturalmente, la soluzione migliore è semplicemente evitare di diventare parte di una botnet, in primo luogo. Nella maggior parte dei casi, il software dannoso ha bisogno di un'azione da parte dell'utente affinché il computer diventi parte della botnet. Evita tutti i vettori standard - apri email non richieste da persone che non conosci, non installa software da siti di cui non ti fidi, quando si apre una pagina che ti dice di aggiornare Flash, non acconsentire, vai al adobe site e vedi se c'è un aggiornamento flash e prendilo e installalo da lì, sii diffidente nei confronti di tutto ciò che sembra troppo bello per essere vero, probabilmente non è ecc.
L'altro passo importante da fare è non dare i normali diritti di amministratore dell'account utente. Utilizzare un account separato per l'amministrazione, come installare software, aggiornamenti e apportare modifiche al sistema. È un po 'meno conveniente perché a volte è necessario disconnettersi dal proprio account normale e quindi accedere a un altro account con i privilegi di amministratore e poi, una volta terminato, disconnettersi e riaccedere al proprio account normale e riaprire tutto ecc, ma il livello di protezione acquistato vale la pena. Esegui una buona soluzione anti-virus / anti-malware e assicurati che sia aggiornato regolarmente. Quando il tuo anti-virus o anti-malware ti avvisa, fai attenzione. Non mettere la convenienza prima.
Un esempio del mondo reale. La scorsa settimana, abbiamo avuto un utente con problemi con il computer. L'abbiamo rilevato a causa del traffico insolitamente elevato dal suo computer a uno specifico indirizzo IP remoto. Le abbiamo suggerito di portare il suo computer in modo che potessimo guardarlo. Era pieno di virus e malware. Abbiamo notato che non stava eseguendo la soluzione anti-virus / anti-malware che forniamo gratuitamente a tutti i nostri clienti. Le ho chiesto perché non lo stava eseguendo
"Oh, l'ho rimosso. La cosa sciocca continuava a spuntare tutte queste stupide finestre ogni volta che stavo cercando di guardare la TV e i film da questo sito che uso".
"OK, ricordi cosa hanno detto i popup?"
"No, non proprio, qualcosa su un avvertimento - non mi sono preoccupato di leggerli, farei semplicemente clic su OK e dopo pochi minuti ne comparirà un altro, quindi ho rimosso il software, che ha risolto il problema" .
"Probabilmente non dovresti farlo. Il software sta tentando di avvisarti che virus e malware stanno tentando di infettare il tuo computer."
"ma mi impediva di guardare i miei programmi TV. Voi ragazzi avete davvero bisogno di sistemare la vostra rete, non è giusto che continui a infettare il mio computer, dovete fare meglio il vostro lavoro".
È come chiedere: "Come posso sapere se qualcuno sta assumendo farmaci?" È troppo ampio per rispondere. Diverse botnet usano diversi programmi sul computer di una vittima per ottenere il controllo. I migliori passi da seguire, senza sapere se sei addirittura compromesso (non importa da quale botnet), segui le best practice standard:
a) impiegano un buon firewall perimetrale che ha funzionalità di filtraggio del traffico e ispezione dei pacchetti, idealmente qualcosa di più recente (i nuovi firewall significano nuove tecniche di protezione)
b) Installare l'anti-virus / anti-malware sui computer e tenerli aggiornati. Pianifica scansioni notturne regolari.
c) Conserva tutto il tuo software, non solo il tuo sistema operativo, aggiornato e aggiornato ogni notte.
d) O impiegare un individuo IT esperto di sicurezza o utilizzare un provider di servizi di sicurezza gestiti per guardare i log del firewall e dell'host - i problemi di registrazione che vengono ignorati sono utili tanto quanto non registrarli affatto. Se qualcosa va avanti, chiedi a qualcuno che guarda i tuoi registri ti sarà di grande aiuto nell'affrontare il problema rapidamente.
e) Addestrare gli utenti. Spiega a chiunque sulla tua rete che devono evitare di visitare siti che non hanno familiarità con te e fare molta attenzione a fare clic sui link nelle e-mail, dai motori di ricerca, ecc. Impedire alle persone di visitare i siti Web dannosi in primo luogo è un grande modo di evitare del tutto gli exploit di bot (il nuovo firewall aiuterà anche questo: un buon UTM o un dispositivo perimetrale intelligente con filtro dei contenuti web può impedire agli utenti che dimenticano la loro formazione)
f) Metti in quarantena e analizza i computer che sospetti siano infetti. Se tieni la testa nella sabbia, i tuoi dispositivi potrebbero sfruttare attivamente altri, utilizzati in attacchi molto seri e esponendoti a ulteriori danni e responsabilità. La negligenza non è innocenza.
Spero che ti aiuti!
Lo scripting cross-site (XSS) è un tipo di vulnerabilità di sicurezza del computer tipicamente presente nelle applicazioni Web. Consente agli aggressori di iniettare script lato client in pagine Web visualizzate da altri utenti.
Diciamo che stai accedendo a innocent.com e ha una cornice pubblicitaria che si collega a attacker.com. Attacker.com ha il controllo di quella cornice così il codice al suo interno.
Quel codice potrebbe avere una parte che invia semplicemente pacchetti "ping" al computer vittima usando il tuo computer.
Il rilevamento è molto difficile in questa situazione perché distinguere una richiesta normale in esecuzione in quel frame da una richiesta normale è quasi impossibile. Considerando il fatto che il modello comportamentale delle botnet è generalmente più finalizzato a consumare risorse (disponibilità), i pacchetti utilizzati per botnet e pacchetti utilizzati per la pubblicità normale potrebbero non differire.
La prevenzione è più facile del rilevamento. Connetti i siti web con SSL (hhtps) e non connetti mai siti Web che sono stati firmati come pericolosi nel programma antivirus.
Leggi altre domande sui tag botnet