Botnet C&C Data Feed

Introduzione agli attacchi botnet e alle minacce correlate

Oggi i cyberattacchi e le infezioni spesso coinvolgono botnet e le relative infrastrutture. Gli attacchi via botnet possono essere indirizzati a utenti regolari di Internet e organizzazioni specifiche. Le tecniche sofisticate di elusione del rilevamento (come crittografia avanzata e consapevolezza del sandbox) contribuiscono al crescente numero di questi attacchi. La maggior parte delle vittime del botnet non sanno di essere infette e continuano a lavorare normalmente, mentre il botnet rimane e permette ai criminali di accedere a risorse preziose.

Fatti sui botnet

  • Prima apparizione in pubblico: 2000
  • Botnet noti: Conficker, Zeus, Waledac, Mariposa, Kelihos, Rustock, ecc.
  • Il numero di organizzazioni ed endpoint infettati e cooptati in botnet è aumentato drasticamente
  • Principale metodo di infezione: download ed e-mail
  • Scopo dell’infezione: distribuzione dello spam, attacchi DDoS, furto di dati e identità, grandi risorse distribuite di potere di calcolo, frodi finanziarie, frodi mediante clic, ecc.
  • I creatori di botnet noleggiano al miglior offerente le macchine nel botnet

Kaspersky Botnet C&C Data Feed

I Kaspersky Botnet C&C Data Feed sono set di URL e hash con contenuto azionabile (nomi delle minacce, timestamp, geolocation, IP risolti di risorse web infette, hash malware associati e così via) che coprono i desktop e i server botnet mobili e i relativi oggetti dannosi. A differenza dei Botnet Feed tradizionali che forniscono informazioni non elaborate e dati non filtrati, forniamo una intelligence tempestiva e accurata basata su attività botnet reali in tempo reale. I feed dati aiutano a rilevare le connessioni ai server botnet (C&C) usate dai cybercriminali per controllare le macchine infette (bot).
I Kaspersky Botnet C&C Data Feed si adattano sia a piccole reti che a server/gateway di importanza critica dalle prestazioni elevate, nonché a fornitori di sicurezza in Internet/filtraggio dei contenuti e aziende di ISP e web-hosting. È completamente indipendente dalla struttura di software o hardware design e può essere implementato con successo su piattaforme (non-x86/*NIX) proprietarie.
Raccolta ed elaborazione
I Kaspersky Botnet C&C Data Feed sono aggregati da fonti congiunte, eterogenee e altamente affidabili, come ad esempio Kaspersky Security Network e i nostri crawler web, il servizio di monitoraggio Botnet (una esclusiva piattaforma proprietaria che monitora botnet e bot, i relativi obiettivi e attività 24 ore su 24, 7 giorni su 7 e 365 giorni all’anno), blocchi spam, team di ricerca e partner. Quindi, i dati aggregati vengono attentamente esaminati in tempo reale mediante diverse tecniche di elaborazione, come ad esempio criteri statistici, Kaspersky Lab Expert System (sandbox, motori euristici, multi-scanner, strumenti di similarità, profilatura del comportamento, ecc.), convalida degli analisti e verifica della whitelist:

Anti-Botnet

I Kaspersky Botnet C&C Data Feed contengono dati dell’indicatore di minaccia accuratamente verificati originati dal mondo reale in tempo reale.

Funzionalità

  • I feed dati disseminati di falsi positivi sono privi di valore, per questo vengono applicati test e filtri intensivi prima del rilascio dei feed, per garantire dati verificati al 100%.
  • I dati di intelligence vengono continuamente raccolti da Kaspersky Security Network (un’enorme rete distribuita di oltre 100 milioni di utenti nel mondo) e aggiornati in tempo reale.
  • Feed continuamente aggiornati in base alle scoperte sui botnet nel mondo.
  • Centinaia di migliaia di maschere per rilevare botnet C&C e risorse web correlate.
  • Ampia copertura (centinaia di migliaia di botnet e bot tracciati quotidianamente).
  • Formati di distribuzione leggeri e semplici (JSON, CSV, OpenIoC, STIX) tramite HTTPS o meccanismi di distribuzione ad-hoc che supportano una semplice integrazione dei feed nelle soluzioni di sicurezza.

Vantaggi

  • Rilevare le risorse web a cui i bot trasferiscono i dati rubati (dropzone controllate dal proprietario del botnet) e potenziare la protezione degli utenti online (non esponendone dati/info personali o proteggendo le risorse computazionali dal furto), nonché la reputazione del marchio dell’organizzazione (proteggendo dati confidenziali importanti per l’azienda dalla perdita).
  • Rilevare le risorse web da cui i bot ricevono istruzioni di comando e controllo e distruggere in maniera proattiva i cyberattacchi dai botnet corrispondenti in tempo reale.
  • Bloccare il traffico dannoso da e verso nodi C&C su Internet e ottenere informazioni sulle macchine compromesse all'interno dell'organizzazione/rete.
  • Filtrare gli indirizzi/URL di origine e destinazione nel traffico di rete per eseguire le adeguate azioni di prevenzione del rischio.
  • Sfruttare l’intelligence per combattere grandi botnet globali senza dover investire in complessi centri di analisi delle minacce e avere una visione globale in tempo reale delle attività dannose nei botnet.
  • Avere la possibilità di ottenere un report dell’abuso in ISP/MSSP in cui si trovano i C&C del botnet, permettendo ai provider di eliminare le risorse offensive e addirittura bloccare completamente la funzionalità del botnet.

Esempi di utilizzo

  • Rinforzare le soluzioni di protezione della rete, inclusi Firewall, IPS/IDS, proxy di sicurezza, soluzioni DNS sicure con indicatori di compromesso (IOC) continuamente aggiornate e contesto azionabile per rafforzare preventivamente le misure di sicurezza e impedire le violazioni di dati.
  • Sviluppare o potenziare la protezione anti-malware di dispositivi di rete periferici (come ad esempio router, gateway, applicazioni UTM) e rilevare oggetti dannosi analizzando il traffico di rete.
  • Esporre infezioni attive verificando le macchine infette o i nodi usati a scopi illegittimi nel perimetro di sicurezza.
  • Impedire la perdita e la fuoriuscita di informazioni sensibili che possono essere utilizzate per identificare il furto e l’abuso del marchio.
  • Rimozione dei C&C attivi che rilasciano il comando di attaccare clienti specifici e informare tali clienti su nuovi attacchi, livello di rischio e azioni per evitare simili attacchi in futuro.

Nulla fa pensare a una riduzione degli attacchi botnet in futuro. Sfruttare la threat intelligence sui botnet per impedire ai criminali di puntare e sfruttare i vostri clienti e la vostra azienda. I Kaspersky Botnet C&C Data Feed consentono di aggiornare continuamente e rafforzare la sicurezza in maniera comoda e conveniente. Dotatevi dell’ineguagliabile intelligence circa intenti immediati, capacità e obiettivi dei cybercriminali nel mondo, utilizzando da subito le soluzioni di sicurezza.

Contatti

Se desiderate ottenere ulteriori informazioni, compilate il modulo di contatto e specificate di voler avere maggiori informazioni su Kaspersky Anti-Botnet Feed un nostro rappresentante vi contatterà in breve tempo.

Utilizziamo i cookie per rendere migliore la tua esperienza sul nostro sito Web. Usando e navigando su questo sito li accetterai. Sono disponibili informazioni dettagliate sull'uso dei cookie su questo sito Web facendo clic sull'apposito link.

Accetta e chiudi