Sangfor Botnet Detection

Latar Belakang

Peretas yang cerdas tidak akan meluncurkan serangan dari alamat IP pribadi mereka, kecuali mereka memang ingin ditangkap. Untuk memaksimalkan efek dan umur panjang dari serangan, peretas akan memerintahkan pasukan botnet untuk melakukan aktivitas berbahaya mereka seperti DDoS, infeksi ransomware, atau pemindaian jaringan untuk mendeteksi aset yang berharga dan kerentanan Anda.

Command and Control (C&C) adalah kendaraan komunikasi utama yang digunakan untuk mengontrol botnet ini. Meskipun jaringan C&C ini pernah dioperasikan dari alamat IP statis, peretas baru-baru ini menanggapi kemajuan keamanan yang semakin canggih dengan mengubah Algoritme Penghasil Domain (Domain Generating Algorithms/DGA) menjadi server C&C. Botnet pun berkomunikasi dengan server C&C dengan cara mengirimkan nama domain dinamis, yang ditentukan sebelumnya oleh algoritme yang hanya diketahui oleh peretas. Permintaan DNS ini berubah dengan cepat dan sering, serta sangat sulit dideteksi menggunakan firewall tradisional ataupun intelijen ancaman (threat intelligence).

* Gambar di sebelah kanan bersumber dari virustotal.com (Maret 2018)

Background

Ringkasan Inovasi Deteksi Botnet

Bagaimana Sangfor mampu memindai dan mendeteksi Botnet di jaringan Anda? Neural-X milik Sangfor menggunakan seperangkat teknologi deep learning, kalkulasi visual, dan analisis flow yang canggih untuk memungkinkan deteksi dan pemindaian Botnet secara lebih efektif.

Botnet Detection Innovation Overview

  • Deep-Learning:

Deep learning adalah elemen kompleks dari machine learning yang terinspirasi oleh fungsi neuron yang saling berhubungan di otak manusia. Sebagai evolusi machine learning dan elemen AI, ia mampu belajar sendiri untuk membuat prediksi yang lebih akurat dan lebih cepat dengan mengamati, memproses, dan menganalisis data dalam jumlah besar.

Sangfor menggunakan Deep Learning untuk memecah nama domain yang disamarkan menjadi vektor. Tidak seperti teknik natural language processing lainnya yang terutama berfokus pada penentuan malware jinak atau berbahaya, model Deep Learning Sangfor mempertimbangkan kelompok malware. Melalui proses asosiasi vektor, kami dapat mendeteksi nama domain yang digunakan oleh ‘keluarga’ malware serupa. Seiring waktu, Deep learning mampu mengajari dirinya sendiri setiap kali dijalankan, menghasilkan identifikasi banyak nama domain berbahaya yang sebelumnya tidak terdeteksi.

  • Kalkulasi Visual

Keluarga malware kembali ke keluarga asli atau nama domain relatif mereka untuk komunikasi C&C. Dengan membuat peta asosiasi dari nama domain, Sangfor mampu mendeteksi nama domain serupa yang digunakan oleh keluarga malware.

  • Analisis Flow

Malware biasanya menghasilkan lalu lintas data yang tidak normal saat berkomunikasi dengan server C&C. ZSand Sangfor menganalisis, mengamati, dan menangkap aktivitas ini untuk menentukan apakah sistem sedang diserang dari botnet terkontrol, yang akan menampilkan perilaku yang sangat berbeda dibandingkan dengan pengguna manusia. Bukti yang dikumpulkan kemudian diproses oleh mesin analisis flow untuk menemukan pola perilaku berbahaya. Bukti IOC dari IP, URL dan DNS yang telah dikonfirmasi kemudian dibagikan melalui sistem Sangfor Threat Intelligence untuk kepentingan semua pelanggan.

Hasil Deteksi Botnet

Kombinasi teknik di atas mengungkap nama domain yang jauh lebih berbahaya dibandingkan dengan layanan Pemindaian Botnet populer lainnya. Alat Deteksi Botnet Sangfor telah menemukan beberapa nama domain berbahaya baru, seperti yang digambarkan di bawah ini dalam perbandingan antara nama domain berbahaya yang ditemukan oleh Sangfor dan VirusTotal.

Innovation-Advantages

Keunggulan Kami

Neural-X Botnet Detection telah menemukan lebih dari 1 juta nama domain berbahaya, dengan penemuan tambahan setiap hari.