Ensiklopedia Botnet dari Guardicore, sebuah alat baru dan gratis untuk pelacakan aktivitas mencurigakan di data center. Pengguna dapat mencari informasi menggunakan pencarian teks gratis dan beberapa indikator kompromi (indicators of compromise/IOCs) termasuk alamat IP, domain, nama file, nama layanan, dan tugas terjadwal.
📖 Our Botnet Encyclopedia is now LIVE! A continuously updated universal knowledge base of past and present #botnet campaigns to help #security teams better understand and protect themselves from persistent and #advancedthreats.
Check it out: https://t.co/habWjiXMoi pic.twitter.com/yxiNPy6Qim
— Guardicore (@Guardicore) June 30, 2020
Ophir Harpaz melakukan penelitian ancaman di Guardicore dan berspesialisasi dalam malware yang menargetkan data center. Dia menciptakan ensiklopedia ini dan telah mengumpulkan data selama dua tahun.
“Kami mengidentifikasi ancaman dalam data dan mengklarifikasi mereka untuk memberi informasi seluruh kisah tentang serangan terkait,” katanya. “Ensiklopedia mencakup semua jenis atribut yang kami temukan sebagai indikasi serangan.”
FritzFrog adalah bot baru yang ditemukan Harpaz baru-baru ini ketika ia mengerjakan ensiklopedia ini.
“Malware ini ditulis dalam Golang dan sepertinya tidak memiliki infrastruktur terpusat,” katanya. “Kami masih dalam proses penelitian untuk yang satu ini.”
Masing-masing dari 11 entri ditandai dengan karakteristik tugas, termasuk pemindaian port 22, SSH, 11 perintah shell, unduh dan eksekusi, serta lainnya. Ensiklopedia Botnet menyediakan konteks seputar ancaman tingkat lanjut termasuk:
- Informasi distribusi serangan termasuk nama, varian, kerangka waktu identifikasi dalam Guardicore Global Sensors Network (GGSN), dan tautan eksternal sumber
- IOC yang terkait dengan distribusi serangan termasuk alamat IP dari mana serangan berasal, IP dan domain yang memegang koneksi serangan, dan file yang disisipkan atau dibuat sebagai bagian dari serangan
- Aliran serangan penuh seperti yang ditangkap oleh GGSN dengan analisis dari Guardicore Labs
Baca Juga: “Botnet IoT Baru “Dark Nexus” Targetkan Berbagai Perangkat“
Data dalam ensiklopedia berasal dari sensor Guardicore yang didistribusikan berbagai server di seluruh dunia.
“Kami mengekspos sensor-sensor ini ke internet di berbagai data center produksi sehingga mereka terlihat sangat menarik bagi para penyerang,” kata wakil presiden penelitian Guardicore, Ofri Ziv. “Lalu kami mengumpulkan sejumlah besar data tentang IOC dan TTP (taktik, teknik, dan prosedur) yang digunakan para penyerang itu.”
Platform Centra Guardicore menggunakan data untuk memahami lalu lintas jaringan dan meningkatkan keamanan cloud untuk pelanggan dan berbagi analisis dengan komunitas keamanan siber.
“Ini memungkinkan untuk menemukan mitigasi yang tepat dan menciptakan landasan bersama untuk mempertanyakan apa yang terlihat,” katanya.
Harpaz mengatakan bahwa kumpulan data yang beragam ini dikumpulkan dari mesin Windows dan Linux yang memberi informasi para peneliti Guardicore selangkah demi selangkah tentang bagaimana serangan botnet terjadi.
Ziv mengatakan bahwa informasi terperinci ini menunjukkan elemen serangan apa yang bekerja dan serangan mana yang gagal.
“Ini akan membantu untuk melihat apa yang dihadapi dan tahu persis apa yang ditangani dalam jaringan,” katanya.
Centra dikerahkan di dalam data center dan cloud serta memetakan komunikasi antar mesin untuk memahami bagaimana server berkomunikasi dalam jaringan.
Platform kemudian menetapkan aturan berdasarkan penelitian ancaman dan pola komunikasi yang ada dalam jaringan. Pengguna juga dapat menggunakan data untuk membuat daftar hitam.
Ketika Guardicore mengidentifikasi distribusi botnet baru, perusahaan akan menambahkan entri ke ensiklopedia. Harpaz mengatakan bahwa dia berharap untuk menerima kontribusi, pertanyaan dan saran dari komunitas keamanan siber untuk meningkatkan ensiklopedia dan menghubungkannya ke sumber daya keamanan siber lain dari ensiklopedia.
