1 / 40

Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures

Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures. Shau -en chou Wireless and Broadband Networks Laboratory Department of CSIE National Taipei University of Technology. Outline. Introduction Classificstion Botnet Attack Detection and Tracing

zita
Download Presentation

Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Botnet: Classification, Attacks, Detection, Tracing,and Preventive Measures Shau-en chou Wireless and Broadband Networks Laboratory Department of CSIE National Taipei University of Technology

  2. Outline • Introduction • Classificstion • Botnet Attack • Detection and Tracing • Preventive Measures • Conclusion and Future Chanllenges • References

  3. introduction • What is the major object of this paper? • Exploit open issues in botnet detection and preventive measures through exhaustive analysis of botnets features and existing researches. • What is botnet? • 當一台電腦被植入可遠端操控的惡意程式時,則此台電腦則成為一個robot,當一群的robot被操作去做一些甚至使用者不知道的事情,稱之為botnet • Three component • Command and Control (C2 or C&C) server • Bot herder • Bot client

  4. introduction • BOT怎麼植入我的電腦? • 拜訪含有惡意程式的網站或是部落格 • 有辦法避免嗎? • 培養好個人習慣及網路安全的知識 • 為什麼要有Botnet? • 從事惡意的行為、當作商品販賣

  5. Example

  6. Botnet lifecycle

  7. classification • Botnet lifecycle

  8. classification • IRC-based bot • 優:完整的centralize架構,駭客很好去透過IRC SEVER來傳輸惡意 指令來命令旗下的bot • 缺:正因為IRC Bot的盛行,許多公司的防火牆已經封鎖此 種傳輸協定 • P2P-based bot • 優:不必擔心中央C&C SEVER掛掉的問題 • 缺:因為它沒有中控server,無法在同一時間將指令下達給所 有的bots,所以不能達到要進行DDoS攻擊的時效性要求 • Types of bots • Agobot • Sdbot • Spybot • GTbot

  9. Irc-based • IRC是一種開放式的協定,主要是用來傳送即時的文字訊息 • 在1988年被開發出來,幾乎適用於各種平台 • 建立於client/sever架構上 • 使用者登入client端來向IRC sever請求連線 • 傳統的IRCsever彼此互相連接來擴充整個IRC網路 • Multiple IRC(mIRC) • 藉由多個IRC sever來連接到數以百計的client

  10. Example

  11. P2P-based • 事實上,使用P2P網路來控制受害者電腦並不是一個很新奇的技術 • 在2002年時, 一隻稱為”Slapper”的蠕蟲利用DoS攻擊來感染Linux主機 • Slapper • Sint • Storm Worm • 很遺憾的是上述的P2P-based bot 是相當不成熟且含有許多弱點的 • Centralize sever • Seed list

  12. P2P-based • 為克服上述問題,有些作者提出了混合式的botnet來解決 • 如此的架構提拱了幾項特點: • 他不需要一個"bootatrap"程序 • 只有在被抓包的主機旁邊的bot會曝光 • 攻擊者只要一個命令可以簡單地去控制整個殭屍網路 • 儘管有些作者提出多種的對策應對此類型的botnet attack,越來越多的研究跟預防方法代表著這類型的botnet在未來仍舊有探討空間。

  13. Types of bots • Agobot • SDBot • SpyBot • GT Bot

  14. Agobot • 又稱為Gaobot, Phatbot • 擁有跨平台能力 • 在四種bot裡最複雜的程式碼 • 通常是由C/C++寫成,大概有20,000行 • 去找到新的受害者,Agobot只需要簡單的去掃描預先設定的好的網路範圍 • 不過,它無法有效的分配目標給整組的bots做為一個整體的命令

  15. Agobot • 它擁有下列的幾項特點: • IRC-based C2架構 • 它可以它可以攻擊大量的目標、發動多種的DoS攻擊 • 提供模組化的encoding function • 它可以利用流量監聽來獲取敏感資訊 • 它可以利用關掉後門程式、拒絕連上防毒網站來躲避防毒軟體的偵測 • 它可以偵測除錯軟體(SoftIce、Ollydbg)和虛擬機器來避免被消滅

  16. SDbot • 控制指令與特色類似於Agobot但又簡單許多 • 大多不超過2500行 • 控制指令很好去擴充、增強 • 在網路可以找到大量的惡意補丁 • Scanning • DoSattacks • Sniffers • Information harvesting • Encryption routines

  17. Spybot • 為SDBot的一種改良版 • 除了幾本的控制指令之外,還新增了 • 搜尋被害者的能力 • 模組化的DDos攻擊 • Flooding attack • Spybot很像是Agobot的遠端操作 • 但是卻少了Agobot的廣度與模組化

  18. GT bot • 又稱Global Treat Bot • 像是知名的Aristotles bot • 主要為mIRC-based的bot • 一樣有些基本的能力像是: • IRC host控制、DoS攻擊、port掃描和NetBIOS/RPC的剝削 • 其中GTBot有個重要程式稱HideWindow • 用來隱藏mIRC的情況被免被使用者發現

  19. Botnet attack • DDoS Attack: • Bot herder 利用botnet產生數以千計的request去癱瘓掉受害者的IRC SEVER • Spamming and Spreading malware: • 散布者常常添加一些隨機且合法的URL來變免被偵測 • Botnet IP address 經常散佈在一些Autonomous System上 • 儘管SPAM的內容不同,他們的接受者地址通常相同 • Information Leakage: • 有些bot不僅可以偷看關鍵資料,甚至可以讀鍵盤所輸入的內容來回傳給herder,由herder再來過濾其資料是否為有用的資訊

  20. Botnet attack • Click Fraud: • 有時候Bot herder 會為了一些理由利用botnet來增加一些網站上的廣告點擊次數,正因為每台受害者電腦IP位置四散在全球,每一次的點擊都會被認為是有效且合法的 • Identity Fuard: • 通常受害者會收到一封看似合法的郵件包含一些URL叫使用者填入一些個人資料,藉由這些步驟來竊取一些個人的資料,通常這些的郵件可以藉由botnet透過spam 機制來送出

  21. Click Fraud

  22. Detection and tracing • Honeypot and Honeynet: • 即是一個可以誘捕駭客活動與行為、收集各項威脅的方式的網路。主要是由多個有缺陷、不具營運價值的誘捕系統 (Honeypot)所構成,藉由模擬真實系統的行為、真實服務的回應,不僅可誘使駭客進行攻擊,還可捕捉紀錄攻擊手法和系統行為的改變,最後資料可回饋提供進行分析以改進防護的方法

  23. Honeypot • 正因為Honeypot越來越被廣泛使用,侵入者也開始尋找一些技術來避開honeypot trap • 偵測VMware或其他的virture machine • 去偵測honeypot的錯誤回應 • 藉由偵測遠端的代理來判斷是否為honeypot • 如果honeypot本身沒有開代理則無效 • 雖然大多數的偵測工具或迴避技術並不是相當的成熟,但這仍是一個在未來需要被重視的題目─honeypot對P2P-based botnet不再有效的時候

  24. Detection and tracing • DNS Tracking: • 只有bots會送DNS詢問到C&C SEVER的範圍內 • Botnet的成員同時地行動與遷移 • 一般的Host並不會經常得去使用DDNS,而botnet經常為了C&C SEVER去使用DDNS • 基於以上幾點,可以去開發一套用來辨別DNS詢問的演算法來偵測botnet

  25. DNS tracking • 檢查DDNS的query rate • 由於攻擊者會經常更換C&CSEVER位址 • 異常高的比列將被列入懷疑名單 • 當C&C SEVER被解決掉 • DDNS將會重複回傳name error • 被回傳error的主機有可能已經被感染並列入懷疑名單

  26. Preventive measure • Countermeasure on Botnet Attack • 現今有很多防毒公司都專注於停止botnet上面,某一些有提供消費者防護的方法,但大多數都是設計給ISP或是企業 • 目前,在辨認出遭受botnet攻擊後,沒有比關掉IRC主機或是停掉DNS entries 更好的方法了 • Countermeasurefor Public • Home Users • System Administrator

  27. Home user

  28. System administrator

  29. Conclusion • 為了更了解botnet來停止如此般的攻擊,在這篇PAPER裡提到了一些有關botnet的架構、botnet的攻擊方式以及對應的方法,縱使不是每種方法都能夠見效,但都是我們值得去學習的。 • 另外也有一些有趣的議題是在未來值得去探討的 • DDos attack from botnet • 無法被避免 • 目前尚無有效方法去追朔來源並消滅 • 唯一解決被感染主機的方法 • 切斷網路、使用掃毒程式 • 重灌作業系統

  30. REferences • [1] Wikipedia, “Internet bot,” http://en.wikipedia.org/wiki/Internet_bot • [2] Wikipedia, “Botnet,” http://en.wikipedia.org/wiki/Botnet • [3] Wikipedia,“IRC,” http://en.wikipedia.org/wiki/Internet_Relay_Chat • [4] P. Barford and V. Yegneswaran, “An inside look at botnets,” • in Proceedings of the ARO-DHS Special Workshop on Malware • Detection, Advances in Information Security, Springer, 2006. • [5]蔡一郎,”深入淺出Honeynet技術,”http://www.myhome.net.tw/cert01/12.htm • [6]TREND雲端運算安全技術BLOG,”BOTNET殭屍網路,” http://domynews.blog.ithome.com.tw/post/1252/36516

  31. REferences • [7] Wikipedia, “Agobot,”http://en.wikipedia.org/wiki/Agobot • [8] P. Sroufe, S. Phithakkitnukoon, R. Dantu, and J. Cangussu, • “Email shape analysis for spam botnet detection,” in Proceedings • of the 6th IEEE Consumer Communications and • Networking Conference (CCNC ’09), pp. 1–2, Las Vegas, Nev, • USA, January 2009

  32. Q&A?

More Related