Botnet C&C Data Feeds
Primeur met betrekking tot Botnet-aanvallen en -bedreigingen
De cyberaanvallen en infecties van tegenwoordig houden vaak verband met botnets en hun infrastructuur. Aanvallen via botnets kunnen gericht zijn op zowel de gemiddelde internetgebruiker als specifieke organisaties. Geavanceerde technieken die detectie proberen te omzeilen (zoals geavanceerde cryptografie en het bewustzijn van sandboxes) dragen bij aan het toenemend aantal aanvallen van dit type. Het merendeel van slachtoffers van botnets weet niet eens dat ze besmet zijn en blijven normaal werken, waardoor de botnet kan blijven voortbestaan en criminelen toegang hebben tot waardevolle bronnen.
Feiten over botnets
- Eerste openbare versie: 2000
- Bekende botnets: Conficker, Zeus, Waledac, Mariposa, Kelihos, Rustock enz.
- Het aantal eindpunten en organisaties die besmet en gecoöpteerd zijn in botnets is drastisch toegenomen
- Belangrijkste besmettingsmethode: drive-by downloads en e-mails
- Besmettingsdoeleinden: verspreiding van spam, DDoS-aanvallen, diefstal van gegevens en identiteit, grote gedistribueerde bronnen van computervermogen, financiële fraude, klikfraude enz.
- De makers van botnets verhuren de computers in de botnet aan de hoogste bieder
Kaspersky Botnet C&C Data Feeds
Kaspersky Botnet C&C Data Feeds is een reeks URL's en hashes met uitvoerbare inhoud (namen van dreigingen, tijdstempels geolocaties, opgeloste IP's van besmette webbronnen, geassocieerde malwarehashes enzovoort) voor desktopcomputers en mobiele botnetservers en gerelateerde schadelijke objecten. In tegenstelling tot traditionele botnetfeeds die ruwe informatie en ongefilterde gegevens leveren, bieden wij nauwkeurige en tijdige gegevens die zijn gebaseerd op feitelijke botnetactiviteiten in realtime. Datafeeds helpen bij het detecteren van verbindingen naar botnetservers (C&C) die door cybercriminelen worden gebruikt om geïnfecteerde computers (bots) te besturen.
Kaspersky Botnet C&C Data Feeds zijn zeer geschikt voor zowel kleine netwerkapparaten als hoogwaardige bedrijfskritieke gateways/servers en voor leveranciers van content filtering/internetbeveiliging, ISP's en webhostingbedrijven. Het is volstrekt agnostisch met software- of hardware-ontwerpen en kan moeiteloos worden geïmplementeerd op bedrijfseigen (non-x86/*nix) platforms.
Verzameling en verwerking
Kaspersky Botnet C&C Data Feeds worden geaggregeerd uit gecombineerde, heterogene en uiterst betrouwbare bronnen, zoals Kaspersky Security Network en onze eigen webcrawlers, Botnet Monitoring Service (een uniek, eigen platform dat botnets en bots, hun doeleinden en activiteiten 24/7/365 controleert), spamtraps, onderzoekteams en partners. De geaggregeerde gegevens worden vervolgens zorgvuldig geïnspecteerd en in realtime verfijnd via meerdere voorverwerkingstechnieken, zoals statistische criteria, Kaspersky Lab Expert-systemen (sandboxes, heuristische engines, multiscanners, gelijkenistools, gedragsprofilering enz.), validering door analisten en verificatie van allowlisting:
Kaspersky Botnet C&C Data Feeds bevatten grondig doorgelichte risico-indicatoren afkomstig uit de echte wereld en in realtime.
Functies
- Datafeeds die zijn bezaaid met valse positieven zijn waardeloos. Daarom worden uitgebreide tests gedaan en filters toegepast voordat feeds worden vrijgegeven, zodat de gegevens 100% zijn gecontroleerd.
- Gegevens worden continu verzameld van Kaspersky Security Network (een breed verspreid netwerk van meer dan 100 miljoen gebruikers wereldwijd) en worden in realtime bijgewerkt.
- Continu bijgewerkte feeds op basis van bevindingen over botnets wereldwijd.
- Honderdduizenden maskers om botnet C&C's en gerelateerde webbronnen te detecteren.
- Uitgebreide dekking (tienduizenden botnets en bots worden dagelijks gevolgd).
- Eenvoudige lichtgewicht distributie-indelingen (JSON, CSV, OpenIoC, STIX) via FTP, HTTP of ad-hocleveringsmechanismen zorgen voor eenvoudige integratie van feeds in beveiligingsoplossingen.
Voordelen
- Webbronnen detecteren waarnaar bots gestolen gegevens verspreiden (de zogenaamde dropzones die worden beheerd door de eigenaar van het botnet) en uw online gebruikers beter beschermen (door hun persoonlijke informatie/gegevens niet bloot te stellen of door computermiddelen te beschermen tegen diefstal), evenals het imago van uw merk (door bedrijfskritieke vertrouwelijke gegevens te beschermen tegen lekken).
- Webbronnen detecteren waaruit bots 'command and control'-instructies ontvangen en cyberaanvallen van de betreffende botnets proactief en in realtime onderbreken.
- Schadelijk verkeer van en naar C&C-knooppunten op internet blokkeren en meer te weten komen over aangetaste computers binnen uw organisatie/netwerk.
- Bron- en bestemmingsadressen/URL's in uw netwerkverkeer filteren om de juiste preventieve maatregelen te kunnen nemen.
- Informatie gebruiken om grote mondiale botnets te bestrijden zonder te hoeven investeren in complexe bedreigingsanalysecentra, en wereldwijd realtime inzicht in schadelijke activiteiten in botnets.
- De mogelijkheid om misbruik te melden aan ISP's/MSSP's waar botnets C&C worden gehost, zodat de providers de gewraakte middelen kunnen uitschakelen en de botnetfunctionaliteit kunnen ontwrichten of zelfs helemaal kunnen blokkeren.
Gebruiksscenario's
- Versterk uw netwerkbeveiligingsoplossingen, waaronder firewalls, IPS/IDS, beveiligingsproxy, veilige DNS-oplossingen met continu bijgewerkte IOC's (Indicators Of Compromise) en bruikbare context om veiligheidsmaatregelen preventief te versterken en gegevenslekken te voorkomen.
- Ontwikkel of verbeter de bescherming tegen anti-malware voor randapparatuur in netwerken (zoals routers, gateways, UTM-applicaties) en spoor schadelijke objecten op door analyse van het netwerkverkeer.
- Leg actieve infecties bloot door de geïnfecteerde computers of knooppunten te controleren die worden gebruikt voor illegale doeleinden binnen uw beveiligingsomgeving.
- Voorkom verlies en exfiltratie van gevoelige informatie die kan worden gebruikt voor identiteitsdiefstal of misbruik van een merk.
- Schakel actieve C&C's uit die opdrachten geven om specifieke klanten aan te vallen en breng deze klanten op de hoogte van eventuele nieuwe aanvallen, risico's en de maatregelen die moeten worden genomen om dergelijke aanvallen in de toekomst te voorkomen.
Het lijkt er helaas niet op dat het aantal botnetaanvallen ooit zal afnemen. Maar door de dreigingsgegevens over botnets te gebruiken, kunt u criminelen stoppen zich te richten op uw klanten of bedrijf en hiervan misbruik te maken. Met Kaspersky Botnet C&C Data Feeds kunt u eenvoudig en voordelig uw beveiliging continu bijwerken en aanscherpen. Wapen uzelf met ongeëvenaarde gegevens over de directe intentie, mogelijkheden en doelstellingen van de onderwereld van cybercriminelen en voer deze gegevens direct door in uw beveiligingsoplossingen.
Contact
Als u meer wilt weten, vul dan het contactformulier in en geef aan dat u meer informatie wilt over Kaspersky Anti-Botnet Feeds. Onze vertegenwoordiger zal spoedig contact met u opnemen.