Trend phát hành dịch vụ mới Hunter-Killer Bot

Hãng Trend Micro hôm thứ hai đã phát hành sản phẩm mới giúp các nhà cung cấp dịch vụ Internet và các tập đoàn lớn dò tìm, vô hiệu hoá, xoá bỏ các bot trên mạng của họ.

InterCloud Security Service là một dự án đa giai đoạn - giám đốc công nghệ của Trend nói - giai đoạn đầu tiên bắt đầu vào quý tư. Nó sẽ được sử dụng cho các ISP và doanh nghiệp, theo phương thức không chỉ tìm ra zombie và còn hoàn lại được các bot không có hại.

“ISP và các doanh nghiệp cần một giải pháp hoàn chỉnh”, Dave Rand của Trend Micro nói. “Cách thức thực hiện cho họ là phải tìm ra các bot và sửa chữa chúng trong một thời gian ngắn”.

“Thay vì dựa vào số lượng lớn bot dễ biến đổi và thay đổi nhanh chóng, InterCloud sử dụng kỹ thuật phân tích hành vi với tên gọi “Behavioral Analysis Security Engine” (BASE)”, Paul Moriarty, giám đốc bộ phận phát triển sản phẩm của Trend Micro bổ sung. Ban đầu, BASE sẽ kiểm tra hoạt động của hệ thống tên miền (DNS) và nếu phát hiện có gì khả nghi thì đánh dấu là một kiểu hoạt động zombie nào đó.

“Chúng tôi theo dõi hoạt động của yêu cầu mx”, Moriaty tiếp. “Nếu có một số lượng lớn yêu cầu trong thời gian ngắn, bạn có thể gần như chắc chắn đó chính là một bot spam”.

Trend đã viết mã nguồn mới chạy ứng dụng DNS bổ sung trong mạng của khách hàng. Rand tự tin nói rằng mã nguồn tạo một ứng dụng cứng rắn điều khiển các yêu cầu DNS nhanh gấp hai lần so với dịch vụ chuẩn BIND - phần mềm nguồn mở sử dụng trên hầu hết dịch vụ DNS. Ứng dụng sẽ thu thập dữ liệu đáng ngờ và gửi chúng cho Trend để nghiên cứu.

Mỗi lần một zombie được phát hiện, InterCloud trả ra yêu cầu bot DNS với một địa chỉ IP null, ngăn không cho bot liên hệ với “đồng bọn” để có thêm lệnh mới. Trend cũng lưu ý người tiêu dùng về IDed bot. Người dùng có thể xem bot từ một giao diện cơ sở web, tại đó chúng có thể đã được áp dụng các chính sách quản lý.

“Các doanh nghiệp chỉ muốn chúng biến mất khỏi mạng của họ”. Moriarty nói sau khi tìm hiểu ý kiến người tiêu dùng từ các tổng công ty điển hình về mức nguy hiểm của zombie.

Nhưng với các ISP thì cần phương thức tự động sửa máy bị nhiễm bot. InterCloud cũng cung cấp dịch vụ này bằng cả khả năng “thô” là “clean all” (xoá tất) và liên kết với kỹ thuật House Call của Trend, thực hiện như một “cuộc phẫu thuật” quét sạch chỉ bỏ các mã bot tìm thấy. Do đó, tất nhiên tốc độ thực thi của hệ thống nhanh hơn nhiều.

Bản thử nghiệm của InterCloud được giới thiệu tại DEMOfall’06, Hội nghị giới thiệu sản phẩm miễn phí mở cửa vào thứ hai ở San Diego (Mỹ). Khi chính thức phát hành vào cuối năm nay, InterCloud sẽ được chuyển qua các kênh phân phối của Trend.