Novo método revela botnets “camufladas”

Um novo método para detecção de botnets pode ser usado, segundo pesquisadores da Universidade do Texas, para encontrar computadores infectados para formar a redes como a Conficker, a Kraken ou a Torpig. Botnets que  utilizam uma estratégia conhecida como flutuação de DNS para o comando e controle de “suas” infraestruturas.

Essas botnets caracterizam-se por serem capazes de gerar nomes de domínios aleatórios. Um bot exige uma série de nomes de domínio, mas o proprietário do domínio regista apenas um. Como exemplo, os pesquisadores envolvidos neste projeto indicam o Conficker-A, que gerou 250 domínios a cada três horas. Depois, para dificultar aos fabricantes de tecnologia de segurança pré-registá-los, a versão Conficker-C aumentou para 50 mil o número de domínios gerados aleatoriamente.

O método desenvolvido pela Universidade do Texas A & M analisa o padrão e a distribuição de caracteres do nome de domínio para determinar se ele é legítimo ou não, para identificar os nomes de domínio gerados através de algoritmos.

“O nosso sistema analisa apenas o tráfego de DNS e, portanto, pode ser facilmente expandido para grandes redes”, disse Narasimha Reddy, um dos desenvolvedores envolvidos na descoberta. “Podemos detectar botnets desconhecidas examinando uma pequena parte do tráfego da rede”, garante.