BotSniffer: система раннего обнаружения ботов в локальной сети

В технологическом университете Джорджии разработали прототип программы BotSniffer ( научная работа в PDF ), которая способна самостоятельно находить ботнеты, анализируя сетевую активность отдельных компьютеров в сети. Программа выявляет паттерны, характерные для заражённых зомби-ПК, затем внедряется к ним в сеть и выходит на управляющий сервер (C&C) ботнета. Обычно управляющий сервер работает через IRC или HTTP, и BotSniffer поддерживает оба режима работы.

BotSniffer не нуждается в базе сигнатур или списке IP-адресов, чтобы начать работу. Он выявляет боты и находит C&C-серверы даже в том случае, если трафик между ними зашифрован. Дело в том, что все боты демонстрируют одинаковое поведение. В один и тот же момент они одновременно начинают или рассылать информацию, или сканировать сеть. Программа определяет эти паттерны. Затем можно очень быстро блокировать передачу команд по сети, то есть обезвредить боты. Исследователи объясняют, что механизм передачи команд от C&C — это самое слабое звено ботнетов.

Прототип системы разработчики реализовали в виде плагина к популярной открытой программе обнаружения вторжений Snort, но BotSniffer поставляется отдельно и не включен в базовый дистрибутив Snort. Система BotSniffer займёт достойное место в списке антиботовских утилит, наряду с аналогичными программами BotHunter, BotMiner и BotProbe. Все они действуют разными методами.