Video: DNS Based Botnet C&C (Nobyembre 2024)
Ang unang quarter ng taong ito ay napuno sa pagsabog ng mga balita tungkol sa mga paglabag sa data. Nakababahala ang mga numero - 40 milyon o higit pa na naapektuhan ang mga customer, halimbawa. Ngunit ang tagal ng ilang mga paglabag ay dumating din bilang isang sorpresa. Malawakang bukas ang mga sistema ni Neiman Marcus sa loob ng tatlong buwan, at ang paglabag sa Michael, na nagsimula noong Mayo ng 2013, ay hindi natuklasan hanggang sa Enero. Kaya, total ba ang kanilang security guys? Ang isang kamakailan-lamang na ulat mula sa paglabag ng tagapagbigay ng pagbawi sa paglulunsad ay nagpapahiwatig na hindi kinakailangang totoo.
Itinuturo ng ulat na napakalaki ng dami ng mga alerto, at kadalasan ay tumatagal ng isang analyst ng tao upang matukoy kung ang alerto ba ay talagang nangangahulugang isang nahawaang aparato. Ang pagpapagamot sa bawat alerto bilang isang impeksyon ay magiging katawa-tawa, ngunit ang paglaan ng oras para sa pagsusuri ay nagbibigay ng masamang mga tao na kumilos. Mas masahol pa, sa pamamagitan ng pagsusuri ng oras ay kumpleto na ang impeksyon ay maaaring lumipat sa. Sa partikular, maaaring gumamit ito ng isang ganap na magkakaibang URL upang makakuha ng mga tagubilin at mag-exfiltrate ng data.
Pag-aayos ng Domain
Ayon sa ulat, nakikita ni Damballa ang halos kalahati ng lahat ng trapiko sa Internet sa North American at isang third ng trapiko sa mobile. Na nagbibigay sa kanila ng ilang talagang malaking data upang i-play sa. Sa unang quarter, nag-log sila ng trapiko sa higit sa 146 milyong natatanging mga domain. Halos 700, 000 sa mga hindi pa nakikita bago, at higit sa kalahati ng mga domain sa pangkat na iyon ay hindi na nakita muli pagkatapos ng unang araw. Kahina-hinala na?
Ang ulat ay nagtatala na ang isang simpleng channel ng komunikasyon sa pagitan ng isang nahawaang aparato at isang tiyak na domain ng Command at Control ay mabilis na makikita at mai-block. Upang makatulong na manatili sa ilalim ng radar, ginagamit ng mga umaatake ang tinatawag na isang Domain Generation Algorithm. Ang nakompromiso na aparato at ang umaatake ay gumagamit ng isang napagkasunduang "binhi" upang gawing random ang algorithm, halimbawa, ang nangungunang kwento sa isang tiyak na site ng balita sa isang tiyak na oras. Ibinigay ang parehong binhi, ang algorithm ay gagawa ng parehong pseudo-random na mga resulta.
Ang mga resulta, sa kasong ito, ay isang koleksyon ng mga random na pangalan ng domain, marahil sa 1, 000 sa mga ito. Ang nag-atake ay nagrerehistro lamang ng isa rito, habang sinusubukan ang lahat ng nakompromiso na aparato. Kapag pinindot nito ang tama, maaari itong makakuha ng mga bagong tagubilin, i-update ang malware, magpadala ng mga lihim sa kalakalan, o makakuha ng bagong mga tagubilin para sa kung anong binhi ang gagamitin sa susunod.
Sobra na Impormasyon
Ang ulat ay tala na "ang mga alerto ay nagpapahiwatig lamang ng anomalyang pag-uugali, hindi katibayan ng impeksyon." Ang ilan sa mga sariling customer ng Damballa ay tumatanggap ng umabot sa 150, 000 mga kaganapan sa alerto araw-araw. Sa isang samahan kung saan kinakailangan ang pagsusuri ng tao upang makilala ang trigo mula sa tahok, iyan ay sobrang impormasyon.
Mas lumala ito. Ang data ng pagmimina mula sa sariling base ng customer, natagpuan ng mga mananaliksik ng Damballa na "Malaki, pandaigdigang nakakalat na mga negosyo" sa average na nagdusa ng 97 na aparato bawat araw na may aktibong impeksyon sa malware. Ang mga nahawaang aparato, na pinagsama lahat, nag-upload ng average na 10GB bawat araw. Ano ang ipinadala nila? Mga listahan ng mga customer, mga lihim ng pangangalakal, mga plano sa negosyo - maaaring maging anuman.
Ipinagtalo ni Damballa na ang tanging solusyon ay upang maalis ang mga bottleneck ng tao at pumunta para sa ganap na awtomatikong pagsusuri. Dahil na ang kumpanya ay nagbibigay ng tumpak na serbisyo na iyon, ang konklusyon ay hindi sorpresa, ngunit hindi nangangahulugang ito ay mali. Ang ulat ay nagsipi ng isang survey na nagsasabing ang 100 porsyento ng mga customer ng Damballa ay sumasang-ayon na "ang automating manual na proseso ay ang susi upang matugunan ang mga hamon sa seguridad sa hinaharap."
Kung namamahala ka sa seguridad ng network ng iyong kumpanya, o kung ikaw ay nasa management chain mula sa mga namamahala, siguradong nais mong basahin ang buong ulat. Ito ay isang madaling lapitan na dokumento, hindi mabibigo. Kung ikaw ay isang average na consumer lamang, sa susunod na maririnig mo ang isang ulat ng balita tungkol sa isang paglabag sa data na nangyari sa kabila ng 60, 000 mga kaganapan ng alerto, tandaan na ang mga alerto ay hindi impeksyon, at ang bawat isa ay nangangailangan ng pagsusuri. Ang security analyst ay hindi maaaring panatilihin.
