Botnet C&C Data Feeds
Främst inom botnätsattacker och relaterade hot
Idag involverar cyberattacker och -infektioner ofta botnät och deras infrastruktur. Attacker som vidmakthålls via botnät kan riktas mot både vanliga internetanvändare och specifika organisationer. Sofistikerade tekniker för att undgå upptäckt (som avancerad kryptering och medvetenhet om sandlådor) bidrar till det ökande antalet av denna typ av attack. Majoriteten av alla botnätsoffer vet inte ens att de är infekterade och fortsätter att arbeta som vanligt, vilket innebär att botnätet kan bevaras och underlättar brottslingarnas åtkomst till värdefulla resurser.
Fakta om botnät
- Första framträdandet i offentligheten: 2000
- Välkända botnät: Conficker, Zeus, Waledac, Mariposa, Kelihos, Rustock, osv.
- Antalet klienter och organisationer som infekteras och dras in i botnät har ökat dramatiskt
- Huvudsakliga infektionsmetoder: obeställd programinstallation och e-post
- Infektionssyfte: spridning av skräppost, DDoS-attacker, data- och identitetsstöld, stor spridning av datorkraftsresurser, finansiellt bedrägeri, klickbedrägeri osv.
- Botnätsskapare hyr ut maskinerna i botnätet till högstbjudande
Kaspersky Botnet C&C Data Feeds
Kaspersky Botnet C&C Data Feeds är uppsättningar av webbadresser och hashfunktioner med handlingsbart innehåll (hotnamn, tidsstämplar, geolokalisering, åtgärdade IP-adresser i infekterade webbresurser, tillhörande hashfunktioner för skadlig programvara osv.) som täcker både stationära och mobila botnätsservrar och tillhörande skadliga objekt. Till skillnad från vanliga Botnet Feeds som tillhandahåller rådata och ofiltrerade data tillhandahåller vi korrekta och lägliga analyser baserat på verkliga botnätsaktiviteter i realtid. Dataflöden hjälper till att upptäcka anslutningar till botnätsservrar (C&C:er) som används av cyberbrottslingar för att kontrollera infekterade maskiner (botprogram).
Kaspersky Botnet C&C Data Feeds lämpar sig väl för utrustning i små nätverk och högeffektiva, verksamhetskritiska gatewayer/servrar samt för leverantörer av innehållsfiltrering/internetsäkerhet, internetleverantörer och webbvärdar. Det är helt agnostiskt vad gäller programvaru- eller maskinvarudesign och kan implementeras på egna plattformar (ej x86/*NIX).
Insamling och bearbetning
Kaspersky Botnet C&C Data Feeds samlas ihop från sammanslagna, heterogena och högst tillförlitliga källor, som Kaspersky Security Network och våra egna spindlar, Botnet Monitoring-tjänsten (en unik egen plattform som övervakar botnät och botprogram, deras mål och aktiviteter dygnet runt, året om), skräppostfällor, forskningsteam och partners. Det samlade datat inspekteras sedan noggrant och förfinas i realtid. Detta sker med hjälp av flera metoder för förbearbetning, så som statistiska kriteria, Kaspersky Lab Expert Systems (sandlådor, heuristiska motorer, multiskannrar, likhetsverktyg, profilering av beteende, mm.), validering av analytiker och verifiering av listning över tillåtna:
Kaspersky Botnet C&C Data Feeds innehåller noggrant undersökta data med hotindikatorer som inhämtats från verkligheten i realtid.
Funktioner
- Dataflöden som myllrar av falska positiva resultat är värdelösa, så omfattande tester och filter tillämpas innan flöden släpps för att säkerställa att alla data är granskade till 100 %.
- Analysdata samlas kontinuerligt in från Kaspersky Security Network (ett enormt distribuerat nätverk med fler än 100 miljoner användare över hela världen) och uppdateras i realtid.
- Kontinuerligt uppdaterade flöden baserat på upptäckter om botnät över hela världen.
- Hundratusentals maskar för att upptäcka C&C-servrar för botnät och relaterade webbresurser.
- Enorm täckning (tiotusentals botnät och botprogram spåras dagligen).
- Enkla och lätta distributionsformat (JSON, CSV, OpenIoC, STIX) via FTP, HTTPS, eller mekanismer för specialleverans ger enkel integrering av flöden i säkerhetslösningar.
Fördelar
- Upptäck webbresurser som botprogram överför stulna data till (avlämningszoner som kontrolleras av botnätets ägare) och öka dina onlineanvändares skydd (genom att inte exponera deras personuppgifter/data eller genom att skydda beräkningsresurser från kapning) samt skydda din organisations varumärke (genom att skydda verksamhetskritiska, konfidentiella uppgifter från att läcka ut).
- Upptäck webbresurser från vilka botprogram tar emot command-and-control-instruktioner och avbryt cyberattacker från motsvarande botnät innan de sker i realtid.
- Blockera skadlig trafik från/till C&C-noder på internet och hitta komprometterade maskiner inom organisationen/nätverket.
- Filtrera käll- och destinationsadresser/-URL:er i din nätverkstrafik för att kunna vidta korrekta åtgärder för att förebygga risker.
- Utnyttja analyser för att bekämpa stora globala botnät utan att behöva investera i center för komplex hotanalys och få en global inblick i skadliga aktiviteter i globala botnät i realtid.
- Ge dig själv möjligheten att rapportera missbruk till internetleverantörer/MSSP:er som står värd för C&C-servrar för botnät så att leverantörerna kan ta bort den kriminella resursen och försämra eller till och med helt blockera botnätets funktion.
Användningsexempel
- Förstärk de lösningar som skyddar ditt nätverk, med brandväggar, IPS/IDS, säkerhetsproxy, säkra DNS-lösningar med kontinuerligt uppdaterade indikatorer på intrång (IOC:er) och handlingsbart innehåll för att stärka säkerhetsåtgärder och förhindra dataintrång.
- Utveckla eller förstärk skyddet mot skadlig programvara för nätverkets kringutrustning (t.ex. routrar, gatewayer, UTM-apparater) och upptäck skadliga objekt genom att analysera nätverkstrafiken.
- Avslöja aktiva infektioner genom att leta efter infekterade maskiner eller noder som används i otillbörliga syften inom ditt säkerhetsområde.
- Förhindra förlust och stöld av känslig information som kan användas vid identitetsstöld eller varumärkesmissbruk.
- Slå ner aktiva C&C-servrar som utfärdar kommandon om att attackera specifika klienter och upplys dessa klienter om nya attacker, risknivå och åtgärder för att förhindra liknande attacker i framtiden.
Det finns inget som tyder på att antalet botnätsattacker någonsin kommer att minska i framtiden. Använd hotanalyser om botnät för att stoppa brottslingar från att rikta in sig på och utnyttja dina klienter eller din verksamhet. Kaspersky Botnet C&C Data Feeds hjälper dig att kontinuerligt uppdatera och stärka din säkerhet, på ett praktiskt och kostnadseffektivt sätt. Utrusta dig själv med oöverträffad kunskap om omedelbara hot från cyberbrottslingarnas undre värld och deras förmågor och mål, som direkt och enkelt matas in i dina säkerhetslösningar.
Kontakta oss
Om du vill veta mer fyller du i detta kontaktformulär och anger att du vill ha mer information om Kaspersky Anti-Botnet Feeds, så kontaktar vår representant dig inom kort.