Estoy tratando de entender el comportamiento de la red de los robots. ¿Hay alguna característica identificable de las solicitudes de devolución de llamada desde el bot al servidor de C & C que lo diferencie del tráfico normal? Me he enterado de situaciones en las que hay una devolución de llamada regular en un momento determinado del día, etc. ¿Hay algún recurso documentado que catalogue el comportamiento de la red de los bots?
Depende de cómo se comuniquen las botnets:
La mayoría de las botnets básicas se comunicarán utilizando el Internet de la vieja escuela Relay Chat.
Algunas aplicaciones también se comunican mediante llamadas HTTP, obteniendo su comandos ocasionalmente desde uno o varios servidores de control
Algunas redes de bots usan peer-to-peer usando centinelas para el control intermedio. Las botnets distribuidas tienen el beneficio de que no se pueden eliminar al desactivar un controlador.
Como puede ver, no hay un solo protocolo que pueda usarse. La mayoría de los protocolos también usan llamadas personalizadas para ofuscar su presencia. Recuerda que estos bots no quieren ser detectados.
Algunas referencias:
Sí, algunos de los bots actuales siguen mostrando un comportamiento periódico, pero en su mayoría utilizan técnicas de evasión, como la introducción de ruido, para ser sigilosos y estar a salvo de las técnicas de detección de comportamientos. Hay mucha investigación sobre el comportamiento del tráfico de la red de botnets. Pero no encontré ningún recurso único que proporcione un resumen del comportamiento de todos los bots existentes. Si consulta el análisis de comportamiento de botnet, encontrará una buena cantidad de artículos de investigación que analizan el comportamiento del tráfico de botmalware particular / seleccionado. A continuación se muestran algunas de las características generales del tráfico de red que utilizan las diferentes técnicas de detección para agrupar el tráfico de botnet. periodicidad Proporción de bytes de entrada y salida. Similitud (en caso de que haya más de un botmalware presente en la red)