检测僵尸网络的工具BotHunter
创始人
2024-06-08 01:21:23
0

通常最大的威胁通常是你没有看到的。如果入侵检测系统是安静的,似乎一切看起来都很好,也许最聪明的对手仅仅是在雷达下工作,可能使用一个他们喜欢的工具:僵尸网络。僵尸网络,通常用于营利的机构,包括数千台在一位隐蔽的僵尸网络操作员控制下运行着恶意代码的电脑;打开中毒的电子邮件或者访问载有恶意代码的中毒网页,都可能引发bot感染。

这就是为什么创建了BotHunter。SRI国际实验室,也是陆军研究办公室和国家科学基金会,在这里,BotHunter被用来发现网络上隐身的僵尸网络活动。 BotHunter试图通过收集世界各地用来寻找有意义的bot活动签名的大量传感器信息来发现受感染的机器。

BotHunter利用专门的恶意数据包传感器,用于寻找扫描、开发模式、代码下载,bot协调通信和对外攻击发射。通过比较这些已知僵尸网络通信模式和可信任的网络下的通信流量,当BotHunter检测到可疑的僵尸网络活动时它可以提醒用户。

BotHunter不同于传统IDS,是由于它“基于对话框的感染”检测活动:僵尸网络通信模式的命令和控制。虽然没有触发病毒,但是当一台计算机正设法联络几个电子邮件服务器和UDP流量流向那些已知的属于一个俄罗斯犯罪网络用BotHunter监控的计算机时,BotHunter将会发出警告。 BotHunter使用此信息来分配事件比分;显示控制台记录了可用于法庭的证据,列出了受感染的机器、僵尸网络控制服务器、恶意代码下载服务器和扫描出的新感染的机器。

BotHunter是免费的,但源代码封闭。它可用于Windows,Linux和Mac平台。在安装过程中,BotHunter需要输入信任网络的IP地址范围,SMPT服务器和DNS服务器。一旦安装,BotHunter检查通过你指定的NIC的通信。大多是被动监听,但BotHunter时不时会启动出站通信来自动化SRI提供的威胁服务。

BotHunter也更新僵尸网络命令和控制的黑名单,恶意DNS名单和新的恶意检测规则。这使得BotHunter保持最新的僵尸网络运营商的服务器的检测、恶意软件带来的DNS查找、坏服务器地址和恶意后门控制端口的意识。 BotHunter匿名发送检测到的僵尸网络活动、恶意软件下载网站、利用的服务器和检测模式的数据,但它不会报告任何您信息网络里的IP地址。SRI规定无论他们或其分支机构都不会跟踪特定的网络信息。

BotHunter是世界上为数不多的可以帮助发现在网络运行僵尸网络的工具之一。它的分布式智能模型和操作的方便性,应进入更多人的手中,这将有助于检测和打击那些庞大的计算机犯罪企业困扰互联网。

相关内容

热门资讯

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
施耐德电气数据中心整体解决方案... 近日,全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”,作为该活动的...
20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...
德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站,直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...
为啥国人偏爱 Mybatis,... 关于 SQL 和 ORM 的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行...
《非诚勿扰》红人闫凤娇被曝厕所... 【51CTO.com 综合消息360安全专家提醒说,“闫凤娇”、“非诚勿扰”已经被黑客盯上成为了“木...
2012年第四季度互联网状况报... [[71653]]  北京时间4月25日消息,据国外媒体报道,全球知名的云平台公司Akamai Te...