通常最大的威胁通常是你没有看到的。如果入侵检测系统是安静的,似乎一切看起来都很好,也许最聪明的对手仅仅是在雷达下工作,可能使用一个他们喜欢的工具:僵尸网络。僵尸网络,通常用于营利的机构,包括数千台在一位隐蔽的僵尸网络操作员控制下运行着恶意代码的电脑;打开中毒的电子邮件或者访问载有恶意代码的中毒网页,都可能引发bot感染。
这就是为什么创建了BotHunter。SRI国际实验室,也是陆军研究办公室和国家科学基金会,在这里,BotHunter被用来发现网络上隐身的僵尸网络活动。 BotHunter试图通过收集世界各地用来寻找有意义的bot活动签名的大量传感器信息来发现受感染的机器。
BotHunter利用专门的恶意数据包传感器,用于寻找扫描、开发模式、代码下载,bot协调通信和对外攻击发射。通过比较这些已知僵尸网络通信模式和可信任的网络下的通信流量,当BotHunter检测到可疑的僵尸网络活动时它可以提醒用户。
BotHunter不同于传统IDS,是由于它“基于对话框的感染”检测活动:僵尸网络通信模式的命令和控制。虽然没有触发病毒,但是当一台计算机正设法联络几个电子邮件服务器和UDP流量流向那些已知的属于一个俄罗斯犯罪网络用BotHunter监控的计算机时,BotHunter将会发出警告。 BotHunter使用此信息来分配事件比分;显示控制台记录了可用于法庭的证据,列出了受感染的机器、僵尸网络控制服务器、恶意代码下载服务器和扫描出的新感染的机器。
BotHunter是免费的,但源代码封闭。它可用于Windows,Linux和Mac平台。在安装过程中,BotHunter需要输入信任网络的IP地址范围,SMPT服务器和DNS服务器。一旦安装,BotHunter检查通过你指定的NIC的通信。大多是被动监听,但BotHunter时不时会启动出站通信来自动化SRI提供的威胁服务。
BotHunter也更新僵尸网络命令和控制的黑名单,恶意DNS名单和新的恶意检测规则。这使得BotHunter保持最新的僵尸网络运营商的服务器的检测、恶意软件带来的DNS查找、坏服务器地址和恶意后门控制端口的意识。 BotHunter匿名发送检测到的僵尸网络活动、恶意软件下载网站、利用的服务器和检测模式的数据,但它不会报告任何您信息网络里的IP地址。SRI规定无论他们或其分支机构都不会跟踪特定的网络信息。
BotHunter是世界上为数不多的可以帮助发现在网络运行僵尸网络的工具之一。它的分布式智能模型和操作的方便性,应进入更多人的手中,这将有助于检测和打击那些庞大的计算机犯罪企业困扰互联网。