botnet: classification, attacks, detection, tracing, and preventive measures
DESCRIPTION
Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures. Shau -en chou Wireless and Broadband Networks Laboratory Department of CSIE National Taipei University of Technology. Outline. Introduction Classificstion Botnet Attack Detection and Tracing - PowerPoint PPT PresentationTRANSCRIPT
BOTNET: CLASSIFICATION, ATTACKS, DETECTION, TRACING,AND PREVENTIVE MEASURES
SHAU-EN CHOU
WIRELESS AND BROADBAND NETWORKS LABORATORY
DEPARTMENT OF CSIE
NATIONAL TAIPEI UNIVERSITY OF TECHNOLOGY
OUTLINE Introduction
Classificstion
Botnet Attack
Detection and Tracing
Preventive Measures
Conclusion and Future Chanllenges
References
INTRODUCTION What is the major object of this paper?
Exploit open issues in botnet detection and preventive measures through exhaustive analysis of botnets features and existing researches.
What is botnet?
當一台電腦被植入可遠端操控的惡意程式時,則此台電腦則成為一個 robot ,當一群的 robot 被操作去做一些甚至使用者不知道的事情,稱之為 botnet
Three component
Command and Control (C2 or C&C) server Bot herder Bot client
INTRODUCTION BOT怎麼植入我的電腦 ?
拜訪含有惡意程式的網站或是部落格 有辦法避免嗎 ?
培養好個人習慣及網路安全的知識 為什麼要有 Botnet?
從事惡意的行為、當作商品販賣
EXAMPLE
BOTNET LIFECYCLE
CLASSIFICATION
Botnet lifecycle
產生新的BOT
尋找附近有漏洞的電腦
感染
User 修復感染的電腦並更新病毒碼
Bot herder 拋棄這組
Botnet
CLASSIFICATIONIRC-based bot
優 : 完整的 centralize 架構,駭客很好去透過 IRC SEVER 來傳輸惡意 指令來命令旗下的 bot
缺 : 正因為 IRC Bot 的盛行,許多公司的防火牆已經封鎖此 種傳輸協定
P2P-based bot
優 : 不必擔心中央 C&C SEVER 掛掉的問題缺 : 因為它沒有中控 server ,無法在同一時間將指令下達給所 有的 bots ,所以不能達到要進行 DDoS 攻擊的時效性要求
Types of bots
Agobot Sdbot Spybot GTbot
IRC-BASED IRC是一種開放式的協定,主要是用來傳送即時的文字訊息 在 1988年被開發出來,幾乎適用於各種平台 建立於 client/sever架構上 使用者登入 client端來向 IRC sever請求連線 傳統的 IRC sever彼此互相連接來擴充整個 IRC網路 Multiple IRC(mIRC)
藉由多個 IRC sever 來連接到數以百計的 client
EXAMPLE
P2P-BASED 事實上,使用 P2P網路來控制受害者電腦並不是一個很新奇的技術
在 2002 年時, 一隻稱為” Slapper” 的蠕蟲利用 DoS 攻擊來感染Linux 主機
Slapper
Sint
Storm Worm
很遺憾的是上述的 P2P-based bot 是相當不成熟且含有許多弱點的 Centralize sever Seed list
P2P-BASED 為克服上述問題,有些作者提出了混合式的 botnet來解決 如此的架構提拱了幾項特點:
他不需要一個 "bootatrap" 程序 只有在被抓包的主機旁邊的 bot 會曝光 攻擊者只要一個命令可以簡單地去控制整個殭屍網路
儘管有些作者提出多種的對策應對此類型的 botnet attack,越來越多的研究跟預防方法代表著這類型的 botnet在未來仍舊有探討空間。
TYPES OF BOTS Agobot
SDBot
SpyBot
GT Bot
AGOBOT 又稱為 Gaobot, Phatbot
擁有跨平台能力 在四種 bot裡最複雜的程式碼
通常是由 C/C++寫成,大概有 20,000行 去找到新的受害者, Agobot只需要簡單的去掃描預先設定的好的網路範圍
不過,它無法有效的分配目標給整組的 bots做為一個整體的命令
AGOBOT 它擁有下列的幾項特點:
IRC-based C2架構 它可以它可以攻擊大量的目標、發動多種的 DoS攻擊 提供模組化的 encoding function 它可以利用流量監聽來獲取敏感資訊 它可以利用關掉後門程式、拒絕連上防毒網站來躲避防毒軟體的偵測
它可以偵測除錯軟體 (SoftIce、 Ollydbg)和虛擬機器來避免被消滅
SDBOT 控制指令與特色類似於 Agobot但又簡單許多
大多不超過 2500 行 控制指令很好去擴充、增強 在網路可以找到大量的惡意補丁
Scanning DoS attacks Sniffers Information harvesting Encryption routines
SPYBOT 為 SDBot的一種改良版 除了幾本的控制指令之外,還新增了
搜尋被害者的能力 模組化的 DDos 攻擊 Flooding attack
Spybot很像是 Agobot的遠端操作 但是卻少了 Agobot 的廣度與模組化
GT BOT 又稱 Global Treat Bot
像是知名的 Aristotles bot
主要為mIRC-based的 bot
一樣有些基本的能力像是: IRC host 控制、 DoS 攻擊、 port 掃描和 NetBIOS/RPC 的
剝削 其中 GT Bot有個重要程式稱 HideWindow
用來隱藏 mIRC 的情況被免被使用者發現
BOTNET ATTACK DDoS Attack:
Bot herder 利用 botnet 產生數以千計的 request 去癱瘓掉受害者的 IRC SEVER
Spamming and Spreading malware:
散布者常常添加一些隨機且合法的 URL 來變免被偵測 Botnet IP address 經常散佈在一些 Autonomous System
上 儘管 SPAM 的內容不同,他們的接受者地址通常相同
Information Leakage:
有些 bot 不僅可以偷看關鍵資料,甚至可以讀鍵盤所輸入的內容來回傳給 herder ,由 herder 再來過濾其資料
是否為有 用的資訊
BOTNET ATTACK Click Fraud:
有時候 Bot herder 會為了一些理由利用 botnet 來增加一些網站上的廣告點擊次數,正因為每台受害者電腦 IP
位置四 散在全球,每一次的點擊都會被認為是有效且合法的
Identity Fuard:
通常受害者會收到一封看似合法的郵件包含一些 URL叫使用者填入一些個人資料,藉由這些步驟來竊取一些
個人的 資料,通常這些的郵件可以藉由 botnet 透過 spam 機制來 送出
CLICK FRAUD
DETECTION AND TRACING Honeypot and Honeynet:
即是一個可以誘捕駭客活動與行為、收集各項威脅的方式的網路。主要是由多個有缺陷、不具營運價值的誘捕系統(Honeypot) 所構成,藉由模擬真實系統的行為、真實服務
的回應,不僅可誘使駭客進行攻擊,還可捕捉紀錄攻擊手 法和系統行為的改變,最後資料可回饋提供進行分析以改 進防護的方法
HONEYPOT 正因為 Honeypot越來越被廣泛使用,侵入者也開始尋找一些技術來避開 honeypot trap
偵測 VMware 或其他的 virture machine 去偵測 honeypot 的錯誤回應
藉由偵測遠端的代理來判斷是否為 honeypot
如果 honeypot本身沒有開代理則無效
雖然大多數的偵測工具或迴避技術並不是相當的成熟,但這仍是一個在未來需要被重視的題目─ honeypot對 P2P-based botnet不再有效的時候
DETECTION AND TRACING
DNS Tracking:
1. 只有 bots 會送 DNS詢問到 C&C SEVER 的範圍內2. Botnet 的成員同時地行動與遷移3. 一般的 Host 並不會經常得去使用 DDNS ,而 botnet 經常為了
C&C SEVER 去使用 DDNS
基於以上幾點,可以去開發一套用來辨別 DNS詢問的演算法來偵測 botnet
DNS TRACKING 檢查 DDNS 的 query rate
由於攻擊者會經常更換 C&C SEVER位址 異常高的比列將被列入懷疑名單
當 C&C SEVER被解決掉 DDNS 將會重複回傳 name error 被回傳 error 的主機有可能已經被感染並列入懷疑名單
PREVENTIVE MEASURE Countermeasure on Botnet Attack
現今有很多防毒公司都專注於停止 botnet 上面,某一些有提供消費者防護的方法,但大多數都是設計給 ISP 或是企業
目前,在辨認出遭受 botnet 攻擊後,沒有比關掉 IRC 主機或是停掉 DNS entries 更好的方法了
Countermeasure for Public
Home Users System Administrator
HOME USER
SYSTEM ADMINISTRATOR
CONCLUSION 為了更了解 botnet來停止如此般的攻擊,在這篇 PAPER裡提到了一些有關 botnet的架構、 botnet的攻擊方式以及對應的方法,縱使不是每種方法都能夠見效,但都是我們值得去學習的。
另外也有一些有趣的議題是在未來值得去探討的 DDos attack from botnet
無法被避免 目前尚無有效方法去追朔來源並消滅 唯一解決被感染主機的方法
切斷網路、使用掃毒程式 重灌作業系統
REFERENCES
[1] Wikipedia, “Internet bot,” http://en.wikipedia.org/wiki/Internet_bot
[2] Wikipedia, “Botnet,” http://en.wikipedia.org/wiki/Botnet
[3] Wikipedia, “IRC,” http://en.wikipedia.org/wiki/Internet_Relay_Chat
[4] P. Barford and V. Yegneswaran, “An inside look at botnets,”
in Proceedings of the ARO-DHS Special Workshop on Malware
Detection, Advances in Information Security, Springer, 2006.
[5]蔡一郎 ,”深入淺出 Honeynet技術 ,” http://www.myhome.net.tw/cert01/12.htm
[6]TREND雲端運算安全技術 BLOG,”BOTNET 殭屍網路 ,” http://domynews.blog.ithome.com.tw/post/1252/36516
REFERENCES
[7] Wikipedia, “Agobot,” http://en.wikipedia.org/wiki/Agobot
[8] P. Sroufe, S. Phithakkitnukoon, R. Dantu, and J. Cangussu,
“Email shape analysis for spam botnet detection,” in Proceedings
of the 6th IEEE Consumer Communications and
Networking Conference (CCNC ’09), pp. 1–2, Las Vegas, Nev,
USA, January 2009
Q&A?