Construção e Manutenção de Botnets Avançadas Conscientes de Honeypots

Uma vez que "botnets" podem ser usadas para ganho financeiro ilícito, tornaram-se bastante populares em ataques recentes à Internet. "Honeypots" foram implantados com sucesso em muitos sistemas de defesa. Assim, os atacantes que constroem e mantêm botnets são forçados a encontrar maneiras de evitar armadilhas de honeypots. Neste artigo, apresentamos uma metodologia de detecção de honeypots independente de hardware e software com base na seguinte suposição: os profissionais de segurança que implantam honeypots têm restrições de responsabilidade, de modo que não podem permitir que seus honeypots participem de ataques reais (ou de muitos ataques reais). Com base nessa suposição, os atacantes podem detectar honeypots em sua botnet verificando se as máquinas comprometidas na botnet podem enviar tráfego malicioso não modificado com sucesso para os sensores dos atacantes ou se o controlador da botnet pode retransmitir com sucesso os comandos de ataque potenciais. Além disso, apresentamos um novo worm de "reconhecimento em duas etapas" que pode construir automaticamente uma botnet estruturada em peer-to-peer e detectar e remover honeypots infectados durante sua fase de propagação. Por fim, discutimos algumas diretrizes para se defender contra os ataques gerais conscientes de honeypots.