Detectar botnets que usan HTTP en lugar de IRC

  

Sé que la mayoría de los bots utilizan IRC o HTTP para comunicarse con C & C

Hasta donde sé, el IRC ya no se usa mucho en la comunicación actual de C & C porque es muy fácil de detectar. La comunicación actual de C & C hace más difícil mezclarse y utiliza principalmente HTTP, pero también se usa DNS.

  

Entonces, si una botnet está usando HTTP, ¿cómo se puede evitar esto? ¡Sólo teórico!

Dado que la comunicación está diseñada deliberadamente para mezclar el tráfico normal y, a veces, incluso usa Twitter o sitios comunes de blogs para intercambiar información, es muy difícil de detectar. Sin embargo, observar este tráfico a menudo muestra pequeñas diferencias con el comportamiento normal del navegador, como las solicitudes HTTP atípicas (User-Agent más antiguo, encabezados especiales o faltantes ...). Pero eso no está garantizado y el malware puede incluso instrumentar el navegador en el sistema para hacer las solicitudes y, por lo tanto, se mezclará aún más.

Otra fuente de información es mirar el historial del host de destino, porque a menudo las botnets tienen una infraestructura flexible donde la IP detrás del nombre cambia a menudo o donde el host de destino cambia con frecuencia. Por lo tanto, es posible que lo detecte porque el tráfico va a hosts inusuales o a los mismos nombres de host o direcciones IP conocidos de otro malware. Pero, una vez más, no está garantizado que esta comunicación de C & C funcione de esta manera o que utilice sitios donde los usuarios puedan generar contenido (Twitter, Facebook, blogs ...) para difundir los comandos.

Por lo tanto, a veces es posible detectar una comunicación de este tipo al observar solicitudes específicas y, a veces, es necesario observar el patrón de tráfico más grande desde el host (detección de anomalías). No hay una técnica única y no hay garantía de que la encuentres, porque como he dicho, el tráfico está diseñado para ser indistinguible del tráfico normal.