Botnet C&C Data Feeds
Primer på botnet-angreb og tilsvarende trusler
I dag medfører internetangreb og -infektioner ofte botnets og disses infrastruktur. Angreb opretholdt via botnets kan målrettes mod både regelmæssige internetbrugere og bestemte organisationer. Avancerede teknikker til at undgå detektering (f.eks. bevidsthed omkring avanceret kryptografi og sandkasse) bidrager til det voksende antal af denne type angreb. Størstedelen af botnet-ofrene ved ikke engang selv, at de er blevet inficeret og fortsætter deres normale adfærd, hvilket hjælper botnet til at opretholde og lette de kriminelles adgang til værdifulde ressourcer.
Botnet-fakta
- Sås første gang i offentligheden: 2000
- Kendte botnets: Conficker, Zeus, Waledac, Mariposa, Kelihos, Rustock osv.
- Antallet endepunkter og organisationer, der inficeres og inddrages i botnets er steget kraftigt
- Den primære inficeringsmetode: Uforvarende downloads og e-mails
- Inficering: Spamdistribution, DDoS-angreb, data- og identitetstyveri, store distribuerede ressourcer af computerkraft, økonomisk bedrageri, kliksvindel osv.
- Botnet-udviklere udlejer maskiner i botnettet til højestbydende
Kaspersky Botnet C&C Data Feeds
Kaspersky Botnet C&C Data Feeds består af flere sæt URL-adresser og hashes med handlingsrettet indhold (trusselsnavne, tidsstempler, geopostiioner, IP-adresser, der er renset for inficerede webressourcer, tilknyttede malware-hashes og så videre) og omfatter stationære og mobile botnet-servere og relaterede skadelige objekter. I modsætning til traditionelle Botnet Feeds, som frembringer rå oplysninger og ufiltrerede data leverer vi præcis og rettidig efterretning baseret på virkelige botnet-aktiviteter i realtid. Dataoverførsler medvirker til at opdage forbindelser til botnet-servere (C&C'er), som bruges af cyberkriminelle til at kontrollere inficerede maskiner (bots).
Kaspersky Botnet C&C Data Feeds er velegnet til både små netværksenheder og højtydende missionskritiske gateways/servere samt til indholdsfiltrering/internetsikkerhedsleverandører, internetudbydere og internetværtsvirksomheder. Den er fuldstændig agnostisk over for software- eller hardwaredesign og kan sagtens implementeres på egenudviklede (ikke-x86/*NIX) platforme.
Indsamling og behandling
Kaspersky Botnet C&C Data Feeds indsamles gennem sammensmeltede, heterogene og særdeles pålidelige kilder, såsom Kaspersky Security Network og vores egne webkryb, Botnet-overvågningstjeneste (en unik, egenudviklet platform, som overvåger botnets og bots, deres mål og aktiviteter hele døgnet/ugen/året), spamfælder, forskerhold og partnere. Efterfølgende kontrolleres og forfines de indsamlede data omhyggeligt i realtid ved hjælp af flere forbehandlingsteknikker, såsom statistiske kriterier, Kaspersky Lab-ekspertsystemer (sandkasser, heuristiske motorer, multiscannere, sammenligningsværktøjer, adfærdsprofilering osv.), validering af analytikere og tilladt-liste-verifikation:
Kaspersky Botnet C&C Data Feeds indeholder grundigt undersøgte trusselsindikatordata indhentet fra den virkelige verden i realtid.
Funktioner
- Data Feeds fyldt med falske positiver er værdiløse, så omfattende test og filtre anvendes før frigivelsen af overførsler for at sikre levering af 100 % undersøgte data.
- Efterretningsdata indsamles løbende fra Kaspersky Security Network (et kæmpe distribueret netværk af mere end 100 millioner brugere på verdensplan) og opdateres i realtid.
- Kontinuerligt opdaterede overførsler baseret på undersøgelsesresultater om botnets over hele kloden.
- Flere hundrede tusinde masker til detektering af botnet C&C'er og tilknyttede webressourcer.
- Omfattende dækning (titusinde botnets og bots spores dagligt).
- Simple letvægtsdistributionsformater (JSON, CSV, OpenIoC, STIX) via FTP, HTTPS eller ad hoc-leveringsmekanismer understøtter nem integration af overførsler til sikkerhedsløsninger.
Fordele
- Registrerer webressourcer, hvortil bots overfører stjålne data (nedkastningssteder, der styres af botnettets ejer), og forbedrer dine onlinebrugeres beskyttelse (ved ikke at afsløre deres personlige oplysninger/data eller ved at beskytte it-ressourcer fra at blive kapret) samt virksomhedens brandomdømme (ved at beskytte forretningskritiske, fortrolige data fra at slippe ud).
- Registrerer webressourcer, hvorfra bots modtager overtagelses- og kontrolinstruktioner, og forpurrer internetangreb proaktivt fra tilsvarende botnets i realtid.
- Blokerer dårlig trafik fra/til C&C-noder på internettet og lærer om kompromitterede maskiner i organisationen/netværket.
- Filtrerer kilde- og destinationsadresser/URL-adresser i din netværkstrafik og træffer de rigtige foranstaltninger til forebyggelse af risici.
- Udnytter efterretninger til at bekæmpe store, globale botnets uden at skulle investere i komplekse trusselsanalysecentre og har et verdensomspændende realtidsoverblik over skadelige aktiviteter i botnets.
- Du får mulighed for at rapportere misbrug til ISP'er/MSSP'er, som er værter for botnets C&C, så udbyderne kan fjerne de ulovlige ressourcer og forringe eller endda helt blokere botnet-funktionaliteten.
Brugseksempler
- Styrkelse af dine netværksbeskyttelsesløsninger, herunder firewalls, IPS/IDS, sikkerhedsproxy og sikring af DNS-løsninger med kontinuerligt opdaterede indikatorer for kompromittering (IOC'er) og handlingsrettet kontekst for forebyggende at styrke sikkerhedsforanstaltningerne og forhindre brud på datasikkerheden.
- Udvikling eller forbedring af anti-malwarebeskyttelse på perifere netværksenheder (som f.eks. routere, gateways, UTM-maskiner) og registrering af skadelige objekter ved at analysere netværkstrafik.
- Eksponering af aktive inficeringer ved kontrol af inficerede maskiner eller knudepunkter, der bliver brugt til ulovlige formål inden for din sikkerhedssfære.
- Undgå tab og eksfiltrering af følsomme oplysninger, som kan bruges til identitetstyveri eller brandmisbrug.
- Bekæmpelse af aktive C&C'er, som udsteder kommandoer til at angribe specifikke klienter, og underretning af disse klienter om nye angreb, risikoniveau og tiltag til at forebygge lignende angreb i fremtiden.
Intet tyder på, at antallet af botnet-angreb nogensinde vil falde i fremtiden. Udnyt trusselsefterretninger om botnets til at stoppe forbrydere fra at gå målrettet efter og udnytte dine kunder eller din virksomhed. Kaspersky Botnet C&C Data Feeds gør dig i stand til løbende at opdatere og styrke din sikkerhed bekvemt og omkostningseffektivt. Forbered dig selv med uovertrufne efterretninger om den cyberkriminelle underverdens umiddelbare hensigter, evner og mål ved overførsler direkte ind i dine sikkerhedsløsninger.
Kontakt os
Hvis du vil vide mere, kan du udfylde denne kontaktformular og angive, at du har behov for flere oplysninger om Kaspersky Anti-Botnet Feeds, hvorefter vores repræsentant kontakter dig snarest muligt.