La botnet vista da dentro

Ricercatori statunitensi hanno sviluppato un metodo di analisi automatizzata delle comunicazioni cifrate sulle botnet. Aprendo le porte a una lotta più efficace e diffusa al fenomeno: gli zombie si combattono tutti assieme

Roma – Secondo i ricercatori della University of California di Berkeley e della Carnegie Mellon University , autori di un nuovo studio sulle botnet , viste dal di dentro le reti malevole di PC zombie hanno una caratteristica prominente in comune: i sistemi “catturati” nella rete hanno bisogno di ricevere ordini e inviare risposte appropriate al tipo di comando impartito loro, fatto che gli studiosi hanno sfruttato per sviluppare un tool di analisi automatica delle comunicazioni cifrate tra centri di “comando&controllo” e bot.

“Il protocollo di comunicazione di una botnet è alla base della botnet” spiega il primo autore dello studio Juan Caballero, perché “è in questo modo che un malintenzionato invia comandi al network”. Le attuali metodologie di analisi delle comunicazioni tra server e bot prevedono lo scandaglio manuale delle operazioni di basso livello del codice malevolo lato client, mentre i tentativi sin qui compiuti di indagine automatizzata si sono focalizzati solo sui comandi specifici inviati e ricevuti dai PC.

Il lavoro di Caballero e colleghi è invece andato alla radice delle botnet, prendendo in esame il movimento di dati nei registri di memoria attraverso una pratica che i ricercatori definiscono “buffer deconstruction”, e deducendo la struttura delle comunicazioni della rete e la funzione dei vari componenti di ogni singolo comando.

Il risultato del lavoro è un tool chiamato Dispatcher , capace di analizzare le comunicazioni cifrate delle botnet e persino di iniettare nuove informazioni – magari utili a trarre in inganno il server di c&c a tutto vantaggio dell’opera di indagine. A dimostrazione della bontà del metodo statunitense ci sarebbe il fatto che gli esperti lo hanno testato con successo su Mega-D , la complessa e nefasta rete malevola che nel 2008 era responsabile di quasi un terzo dello spam in circolazione online.

Dispatcher viene descritto come il tool ideale per incrementare il volume di fuoco a danno delle botnet, capace di estendere la lotta al fenomeno ad amministratori di rete, appassionati di tecnologia e più in generale a chi altrimenti mal si presterebbe a un’analisi manuale della tecnologia base dei network malevoli. “I software delle botnet stanno diventando più complessi”, avvertono infine dalla UCB, grazie all’impiego di “varie tecniche di offuscamento e cose del genere. Quindi l’analisi manuale può al momento funzionale, ma in futuro avremo bisogno di strumenti più sofisticati”.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • andy scrive:
    dal titolo...
    ...sembrava si fossero accordate per produrre assieme qualcosa. :P
  • Rep scrive:
    Made
    Fack You
  • guast scrive:
    Che impatto avrà ?
    Che impatto avrà sul proXXXXX dell'antitrust europeo ?Se ho capito bene AMD dovrebbe ritirarsi come parte lesa
    • Reysan scrive:
      Re: Che impatto avrà ?
      staremo a vedere... nel frattempo, spero che tutti questi soldi non si fermino nelle tasche di qualcuno ma favoriscano un reale sviluppo x AMD..- Scritto da: guast
      Che impatto avrà sul proXXXXX dell'antitrust
      europeo
      ?
      Se ho capito bene AMD dovrebbe ritirarsi come
      parte
      lesa
      • coschizza scrive:
        Re: Che impatto avrà ?
        quei soldi non coprono nemmneo la metà dei debiti con le banche contratti dall'AMDfaranno molto bene ma non avanza nulla per investimenti
        • barra78 scrive:
          Re: Che impatto avrà ?
          Oggi AMD non ha + un centesimo dei debiti contratti con le banche x acquisire ATI. Con la grazione di the foundry company (poi ribattezzata GF) tutti i debiti sono stati spostati a questa nuova azienda e ripianati con una carriola di petroldollari dagli arabi.
          • avdange scrive:
            Re: Che impatto avrà ?
            Ma che cacchio dici???
          • barra78 scrive:
            Re: Che impatto avrà ?
            da qui: http://www.ilmondoinformatico.it/Forums-file-viewtopic-t-1838.html ( il primo link che ho trovato cmq molti siti hanno riportato la notizia)AMD ha ottenuto da ATIC 700 milioni di dollari per una quota di proprietà di The Foundry Company mentre quest'ultima si è assunta la responsabilità di ripagare circa 1,1 miliardi di dollari di debiti AMD associati all'operazione. Dal canto suo, Mubadala ha versato ad AMD 125 (1) milioni di dollari circa per 58 milioni di nuove azioni AMD e warrant per ulteriori 35 milioni di azioni.
        • urrrr scrive:
          Re: Che impatto avrà ?
          ummm...Chi sei tu, il mago Telma?Dai una fonte prima di scrivere queste castronerie. Sul web tutte le informazioni dicono esattamente l'opposto...
          • Valeren scrive:
            Re: Che impatto avrà ?
            - Scritto da: urrrr
            Chi sei tu, il mago Telma? O telma!Non si storpiano i nomi dei comici!
    • James Kirk scrive:
      Re: Che impatto avrà ?
      La questione della multa UE non ha nulla a che vedere con questo 'accordo', semmai la recente indagine dell'antitrust USA, che si basa anch'essa su alcuni degli elementi della causa AMD. Se questa indagine fosse andata a segno in tempi brevi i soldi che Intel avrebbe dovuto sganciare ad AMD sarebbero stati ben di più. Da qui la 'strizza' di intel a concludere presto.Dall'altra parte (AMD) c'e' un notevole bisogno di 'cash' e la necessità di garantire a Globalfoundires la licenza X86 (che è in forte dubbio). Entrambe quindi avevano buoni motivi per concludere a breve.
    • Gattazzo scrive:
      Re: Che impatto avrà ?
      Forse è la volta buone che su catene di distribuzione della cilindrata di MediaWorld comparirà anche qualcosa della concorrenza... Se fossi stato in AMD sarei andato fino in fondo, pretendendo una refusione dei danni materiali e non solo fino all'ultimo cent.
      • p4bl0 scrive:
        Re: Che impatto avrà ?
        e probabilmente avresti detto addio per sempre alla licenza x86 per Globalfoundries
      • fox82i scrive:
        Re: Che impatto avrà ?
        Non avrebbe senso.Mi spiego: magari la somma data da Intel era quella che si aspettava AMD per tutti quegli introiti mancati in questi anni (o nell'ultimo anno).Adesso vediamo come si comporterà AMD dopo aver ricevuto questa lauta compensa!
    • Valeren scrive:
      Re: Che impatto avrà ?
      Il proXXXXX antitrust riguarda anche i danni ai consumatori, quindi dovrebbe andare avanti.
Chiudi i commenti