Apa itu Serangan Botnet dan Bagaimana Mengidentifikasinya?

[ad_1]

Hari-hari ini, organisasi menjadi target yang diinginkan untuk penyerang hanya karena jaringan mereka tidak ditambal dengan benar dan diamankan di belakang firewall mereka, membuat mereka mudah rentan terhadap berbagai serangan langsung dan tidak langsung. Selain serangan langsung dan tidak langsung ini terhadap jaringan, jumlah korban juga terus meningkat. Contoh dari serangan tidak langsung ini termasuk HTML mengeksploitasi kerentanan atau serangan menggunakan malware dalam jaringan Peer-to-Peer.

Jaringan dengan koneksi broadband yang selalu aktif merupakan target berharga bagi para penyerang.

Karena koneksi selalu -on, penyerang mengambil keuntungan dari itu dan menggunakan beberapa teknik otomatis untuk memindai rentang jaringan spesifik mereka dan dengan mudah menemukan sistem yang rentan dengan kelemahan yang diketahui. Setelah para penyerang ini merusak mesin, mereka cukup memasang bot (disebut juga zombie) untuk membuat media komunikasi di antara mesin-mesin itu. Setelah eksploitasi berhasil, bot menggunakan FTP, TFTP, HTTP atau CSend untuk mentransfer dirinya ke host yang dikompromikan dan membentuk botnet. Untuk tujuan mendefinisikan botnet, tidak masalah bagaimana tepatnya mesin ini dikendalikan, selama kontrol dilakukan oleh penyerang yang sama.

Botnet dikendalikan oleh penyerang melalui komputer atau kelompok komputer khusus yang menjalankan server CnC (server Command and Control). Penyerang dapat melakukan tugas-tugas tertentu melalui CnC dengan menginstruksikan bot malware ini menggunakan perintah. Server CnC biasanya melakukan sejumlah fungsi, termasuk tetapi tidak terbatas pada:

* Menginstruksikan bot yang dipasang untuk mengeksekusi atau menjadwalkan tugas tertentu;

* Memperbarui bot yang diinstal dengan menggantinya dengan jenis malware baru;

* Melacak jumlah bot dan distribusi yang terpasang dalam suatu organisasi.

Ukuran khas botnet sangat besar, mereka dapat terdiri dari beberapa juta perangkat yang dikompromikan dengan kemampuan untuk merusak berbagai ukuran organisasi dengan sangat mudah. Serangan Denial of Service (DDoS) terdistribusi adalah salah satu ancaman tersebut. Bahkan botnet yang relatif lebih kecil dengan hanya 500 bot dapat menyebabkan banyak kerusakan. 500 bot ini memiliki bandwidth gabungan (500 perangkat yang terinfeksi dengan rata-rata upstream 128kbps dapat menawarkan lebih dari 50 mbps) yang mungkin lebih tinggi daripada koneksi Internet dari kebanyakan organisasi.

Ada banyak jenis bot yang terstruktur dengan cara yang sangat modular oleh para penyerang. Beberapa bot yang tersebar luas dan terkenal ini termasuk Agobot, Kaiten, Mirai, DSNX Bots, dll.

Penggunaan botnet

Botnet dapat digunakan secara kriminal untuk berbagai motif. Penggunaan yang paling umum adalah motivasi politik atau hanya untuk bersenang-senang. Botnet ini digunakan untuk kemungkinan berikut:

1) Untuk memulai Serangan Distributed Denial-of-Service (DDoS)

2) Spamming

3) Mengendus lalu lintas jaringan

4) Keylogging

5) Menyebarkan malware baru dalam jaringan yang sama.

6) Pelanggaran data

Penggunaan botnet lainnya adalah mencuri informasi sensitif atau pencurian identitas: Mencari ribuan PC rumahan untuk kata sandi.txt, atau mengendus lalu lintas jaringan mereka. Daftar di atas menunjukkan bahwa penyerang dapat menyebabkan banyak kerusakan dengan bantuan botnet. Banyak dari serangan ini menimbulkan ancaman berat dan sulit dideteksi dan dicegah, terutama serangan DDoS.

Mengidentifikasi Lalu Lintas Botnet

Ada semakin banyak teknologi keamanan jaringan yang dirancang untuk mendeteksi dan mengurangi sumber daya jaringan yang dikompromikan. Teknologi ini dirancang oleh ahli insinyur keamanan untuk mengidentifikasi lalu lintas botnet dan membatasi secara efektif. Pada dasarnya, ada dua metode utama untuk mengidentifikasi lalu lintas botnet:

1) Deep Packet Inspection (DPI): Ini adalah teknik penyaringan paket yang memeriksa bagian data paket dan mencari virus, spam, gangguan dan memutuskan apakah paket dapat lulus atau jika perlu dijatuhkan atau dialihkan ke tujuan yang berbeda. Ada beberapa header untuk paket IP: header IP dan header TCP atau UDP.

2) pencarian DNS: Ini digunakan untuk mengidentifikasi lalu lintas DNS dari penyedia layanan komunikasi (CSP) dan konfigurasi jaringan mereka. Mengamati lalu lintas DNS memberikan sejumlah keunggulan yang berbeda, termasuk menyediakan alamat IP spesifik perangkat yang membuat pencarian DNS, visibilitas semua permintaan DNS mentah dan non-cache dan kemampuan untuk menganalisis frekuensi pencarian DNS botnet.

Kesimpulan

Tidak bisa dipungkiri bahwa tingkat kejahatan terorganisasi yang sedang berkembang dan organisasi menghadapi tantangan ini. Dengan jumlah infeksi botnet meningkat, penting bahwa setiap organisasi harus memonitor jaringan mereka secara berkala, dalam konteks bertahan melawan serangan bot.

[ad_2]