봇넷에 대한 대응
웹 필터링 서비스는 봇넷에 대항하는 가장 강력한 무기입니다. 이러한 서비스는 웹 사이트에서 비정상적인 동작이나 알려진 악의적인 활동을 검사하고 해당 사이트가 사용자에게 연락하는 것을 차단합니다.
Websense, Cyveillance, FaceTime이 모두 좋은 예입니다. 그들은 모두 실시간으로 인터넷을 모니터링하고 JavaScript를 다운로드하거나 일반적인 웹 탐색 이외의 화면 스크랩 및 기타 사기를 수행하는 등 악의적이거나 의심스러운 활동에 연루된 사이트를 찾습니다. 사이베일런스(Cyveillance)와 서포트 인텔리전스(Support Intelligence)는 또 다른 서비스도 제공한다. 웹사이트 운영자와 ISP에게 악성 코드가 발견되었음을 알리면 해킹된 서버를 복구할 수 있다고 그들은 말했다. 또 다른 접근 방식은 IDS(침입 탐지 시스템)와 IPS(침입 방지 시스템)를 조정하여 좀비의 특징적인 활동을 찾는 것입니다. 예를 들어, 외부 IP 주소나 불법 DNS 주소에 대한 반복적인 연결은 매우 의심스럽습니다. 발견하기는 어렵지만, 좀비의 또 다른 숨길 수 없는 징후는 시스템, 특히 특정 포트에서 SSL 트래픽이 갑자기 증가하는 것입니다. 이는 좀비가 제어하는 채널이 활성화되었음을 나타낼 수 있습니다. 자신의 이메일 서버가 아닌 다른 서버로 이메일을 라우팅하는 시스템도 의심스럽기 때문에 찾아야 합니다. 봇넷 전문가 Gadi Evron은 더 나아가 높은 수준에서 웹에 액세스하는 사람들을 모니터링하는 방법을 배워야 한다고 제안합니다. 이는 웹 페이지에 있는 모든 링크를 활성화하며 높은 수준의 액세스는 시스템이 악의적인 웹 사이트에 의해 제어되고 있음을 나타낼 수 있습니다.
IPS 또는 IDS 시스템은 찾기 어려운 HTTP 기반 공격과 원격 프로세스의 공격, 텔넷 및 주소 확인 프로토콜(예: ARP) 스푸핑 등을 나타내는 비정상적인 동작을 모니터링할 수 있습니다. 그러나 많은 IPS 탐지기가 시그니처 기반 탐지 기술을 사용한다는 점은 주목할 가치가 있습니다. 즉, 이러한 공격이 발견되면 시그니처가 데이터베이스에 추가되고, 데이터베이스에 관련 시그니처가 없으면 탐지할 수 없습니다. 따라서 IPS나 IDS는 관련 공격을 식별하기 위해 데이터베이스를 자주 업데이트해야 하며, 범죄 행위를 탐지하려면 지속적인 노력이 필요합니다. 또한 웹 운영 직원이 우연한 악성 코드 범죄에 연루되지 않도록 보호해야 합니다. WEB 2.0 소셜 네트워킹으로 전환하지 않으려면 소셜 네트워킹 소프트웨어 회사이자 호스팅 서비스 창시자인 Web Crossing의 부사장인 Michael Krieg에 따르면 회사의 공개 블로그와 포럼은 텍스트로만 제한되어야 합니다.
크리그는 "우리 수천 명의 사용자 중 메시지 텍스트에 자바스크립트를 허용한 사람이 누구인지, 그 안에 코드와 기타 HTML 태그를 삽입한 사람이 누구인지도 모른다. Websense의 보안 연구 담당 부사장인 Dan Hubbard는 이렇게 덧붙였습니다. "웹 2.0 현상의 심각한 문제는 어떻게 균형을 맞추느냐 하는 것입니다. 사람들이 나쁜 콘텐츠를 업로드하는 것을 허용하지 않고 콘텐츠를 업로드하도록 허용하는 힘이 있습니까?"
이 질문에 대한 답은 분명합니다. 사이트에서 회원이나 사용자가 파일을 교환할 수 있도록 허용해야 하는 경우 . JPEG 또는 mp3 확장자를 가진 파일. (그러나 악성 코드 제작자들은 MP3 및 기타 플레이어 유형에 대한 여러 가지 웜을 작성하기 시작했습니다. 그리고 그들의 기술 수준이 밝혀짐에 따라 원래 안전한 파일 형식이 악성 코드의 공범이 될 가능성이 있습니다.) 컴퓨터의 중요한 임시 응급 조치는 문제를 해결하는 방법입니다.
Symantec과 같은 회사는 가장 숨겨진 루트킷 감염까지 탐지하고 제거할 수 있다고 주장합니다. Symantec은 여기서 Veritas 및 VxMS(Veritas Mapping Service) 기술의 사용을 지적합니다. 특히 VxMS를 사용하면 바이러스 백신 스캐너가 Windows 파일 시스템 API를 우회할 수 있습니다(API는 운영 체제에 의해 제어되므로 루트킷 조작에 취약함). . McAfee 및 FSecure와 같은 다른 바이러스 백신 공급업체도 루트킷으로부터 시스템을 보호하려고 노력하고 있습니다.
그러나 Evron은 소위 악성코드를 사후에 탐지하는 것은 실수라고 믿습니다. 이는 IT 전문가들이 좀비를 제거했다고 믿게 만들 것입니다. 실제로는 실제 좀비 코드가 여전히 컴퓨터에 남아 있습니다. 컴퓨터. 그는 "안티바이러스는 자연적으로 반응하는 것이기 때문에 해결책이 아니다. 바이러스는 문제를 인지할 수 있기 때문에 바이러스 자체를 조작하고 악용하면 안 된다는 뜻은 아니다"라고 말했다. 바이러스 백신 소프트웨어에 최고의 루트킷 방지 도구를 구현해 보십시오. 그러나 그렇게 하는 것은 귀중품을 잃어버린 후 금고를 구입하는 것과 같다는 점을 명심하십시오. 이것을 관용어로 표현하면 "더 늦기 전에 상황을 수습하다"라고 합니다. Evron은 컴퓨터를 완전히 안전하고 깨끗하며 좀비 감염으로부터 보호하는 방법은 원래 시스템을 철저히 정리하고 처음부터 설치하는 것이라고 믿습니다.
사용자가 알려진 악성 사이트를 방문하지 못하게 하고, 의심스러운 행동이 있는지 네트워크를 모니터링하고, 공개 *** 사이트를 공격으로부터 보호하면 네트워크는 기본적으로 양호한 상태입니다. 이는 보안 전문가들의 만장일치 의견이다.
네트워크 작업자가 네트워크 보안에 대해 혼란스러워하며 '이 수백만 마리의 좀비를 어떻게 처리해야 할까?'라는 느낌이 자연스럽게 들 수 있음을 알 수 있습니다. "사실 대답은 매우 간단합니다. FaceTime의 맬웨어 연구 책임자인 Chris Boyd는 "네트워크 연결을 끊으면 바이러스, 트로이 목마, 스파이웨어 또는 애드웨어 등의 감염으로부터 네트워크를 보호할 수 있습니다... PC에서는 악성 파일로 취급하여 정리합니다(그러나 실제로 정리된다는 것을 누가 보장할 수 있습니까?). 그게 당신이해야 할 전부입니다. 모바일 데이터가 항상 부족하고, 이상한 소프트웨어가 자동으로 설치되고, 알림바 광고가 팝업되는 중국 최대 안드로이드 모바일 봇넷의 공격을 당했을 수도 있습니다. 이는 Android.Troj.mdk(약칭 MDK)라는 백도어 프로그램으로 감염률은 1,000대 중 7대에 달하며, 전체 스마트폰이 105만대 이상 감염됐다. 사용자의 휴대폰이 감염되면 데이터 소모량이 급증하고, 광고가 자주 뜨고, 기기가 느려지고 느려지고, 개인정보가 유출되고, 감시와 추적의 위험이 숨어있습니다. 악성 광고 작성자는 일반 게임 애플리케이션과 인기 애플리케이션을 리패키징하여 시장에 출시합니다. 정상적인 게임이나 일반 애플리케이션 기능을 가지고 있기 때문에 사용자가 문제를 찾기 어렵고 친구에게 게임을 추천할 수도 있습니다. 동시에, 악성 광고 작성자는 사용자 인기를 높이기 위해 백그라운드에서 순위를 플러시하고 사용자는 트래픽을 잃게 됩니다.