Otkrivanje mreže kompromitiranih računala analizom imeničkog prometa

  • Brigitta Cafuta
  • Bojan Nožica
  • Ivica Dodig
  • Tin Kramberger
Ključne riječi: mreža kompromitiranih računala, imenički promet, skrivanje adresa

Sažetak

Svakim danom sve je više aktivnih naziva zona u imeničkom sustavu. Uslijed rasta i hijerarhijske organizacije interneta povećava se i broj organizacija koje su zadužene za registraciju zona. Disperzijom administrativnih zadaća otežava se kontrola i olakšavaju se mogućnosti zlonamjernih registracija. Iza zlonamjernih zona prikrivaju se napadački poslužitelji (engl. Command & Control Servers - C&C) koji upravljaju mrežom kompromitiranih računala (engl. botnet). Napadački poslužitelji u izabranom trenutku mogu pokrenuti instaliranu nepoželjnu programsku podršku (engl. malware agent) na klijentu. Pojedina kompromitirana računala u toj mreži mogu prema uputi napadačkog poslužitelja posluživati internetske stranice ili slati elektroničku poštu. Kroz poslužene internetske stranice ili poslanu nepoželjnu elektroničku poštu (engl. spam) širi se mreža kompromitiranih računala. Za sprječavanje aktivnosti mreže kompromitiranih računala neophodno je otkriti kompromitirane klijente i postojanje veze prema napadačkom poslužitelju. U ovom radu prikazana je metoda otkrivanja zlonamjernih domena korištenjem imeničkog servisa (engl. Domain Name System-DNS) te su prikazani uzorci algoritma za detekciju kompromitiranih računala. Provedeno je istraživanje temeljem najjednostavnijih imeničkih servisa koje dokazuje postojanje zlonamjernih domena.

Objavljeno
2019-06-24
Rubrika
Članci