Обнаружение ботнета и снижение последствий его влияния

Аннотация

Это исследование оценивает поведение ботнета и закладывает фундамент для развития инструмента для создания генерации трафика ботнетов, который используется для исследования свойств бот-сетей в крупных сетях. Ботнеты создают важные вопросы безопасности и безопасности данных и являются эффективными инструментами для распространения киберпреступности. Крайне важно, чтобы ИТ-сообщества  разрабатывало эффективные средства обнаружения и смягчения вредоносного поведения ботнетов. Это исследование предназначено: (а) для моделирования поведения ботов и руководителей ботнетов через переходное состояния, диаграммы и блок-схемы жизненного цикла, (б) для получения моделируемой сети потока данных эквивалентного поведения руководителем ботнета или "ботов", а также хостов во время атаки, и (в) для изучения топологий ботнетов, поведения и жизненного цикла событий и действий.

1. Введение

Ботнет представляет собой общий термин, и представляет собой совокупность программ-роботов, программное обеспечение, которое работает без вмешательства человека. Они несут в основном вредоносный характер, однако они также могут быть связаны с сетью распределенных компьютеров. В этом исследовании рассматривается поведение ботнетов и разработаны модели процессов, которые позволят аналитикам безопасности разработать эффективные анти-ботнет инструменты для смягчения их вредоносных действий. Учитывая широкое распространение негативных последствий ботнетов, влияющих на безопасность и безопасность данной сети или Интернета в целом, крайне важно, чтобы мы боролись с ботнетами с применением новейших технологий и построить на заказ алгоритмы обнаружения ботнетов.

Обнаружение ботнета становится важно, учитывая тот факт, что это может спасти нас на миллиарды долларов каждый год. Это исследование анализирует, как ботнеты работают, чтобы получить ценную информацию, которая может привести к развитию обнаружения ботнета и, в свою очередь, проложить путь для будущей работы над инструментов смягчения последствий от ботнетов.

Исследование было разделено на три задачи. Первой задачей было моделирование поведение ботов и руководителей бот-сети через диаграммы  переходного состояния, блок-схемы жизненного цикла, и диаграммы потоков данных. Это помогло нам понять модели поведения ботнетов.

Второй задачей было создание моделируемого (синтетические) сетевого потока (NetFlow, CISCO propriety technology) [35], [36], [37] данные отражают поведение типичного ботнета. Большие количества трафика были проанализированы с генератором трафика NetFlow и из интернета, определялись и рассматривались модели поведения потока данных.

Третья задача заключается в использовании этих данных для изучения топологии ботнета, поведения и жизненного цикла событий и действий. Мы изучили протоколы, включая TCP, ICMP, UDP и HTTP, чтобы изолировать характеристики плохих записей NetFlow ботнета. Это дало нам возможность проверить строительство схемы информационных потоков и диаграммы переходов состояний представляющих жизненный цикл ботнета.

Эта статья организована следующим образом. В разделе 2 представлена ​​общая информация о бот-сетях. В разделе 3 рассматриваются текущие исследования, связанные с этим проектом. В разделе 4 приведены общие направления атак, которые используют ботнеты, а в разделе 5 приведены три тематические исследования в литературе. Основные компоненты, методология и результаты этого исследования представлены в разделе 6. Разделы 7 и 8 представляют наши выводы и рекомендации для дальнейшей работы. Это исследование было проведено в рамках одного семестра дипломном проект (IT691) осенью 2009 года [46]. Доктор Чарльз Тапперт вел курс инструктора и г-н Джозеф Масси был заказчиком проекта [47], [48].

2. Общая информация

Ботнеты существуют уже около 10 лет [17]. Эксперты по безопасности предостерегали общественность об угрозе, исходящей от бот-сетей в течение некоторого времени. Тем не менее, масштаб и размах проблемы, связанной с ботнетами недооценивали, а большинство пользователей не понимают реальной угрозы, которую они представляют [17].

Пресловутый NetBus и Back0rifice2000 (первый ботнет) появились впервые в 1998 году. Это были проверка концепции программы троянского коня. Это были первые программы, включающие в себя полный набор функций, которые сделали возможным удаленное администрирование зараженных компьютеров, что позволяет злоумышленнику выполнять операции с файлами на удаленных машинах, запуск новых программ, делать снимки экрана, открытие или закрытие CD-ROM дисков, и т.д. [13]

2.1. Каким образом ботнет работает?

 

Большинство ботнетов выполнены в виде распределенной системы, с основным оператором ботнета (бот-мастер), который выдает команды непосредственно на систему. Эти машины распространяют инструкции другим зараженных машин, как правило, через Internet Relay Chat (IRC) [15]. Составляющие типичный ботнет включают в себя сервер программы, клиентскую программу для работы, и программу, которая внедряется на машине жертвы. Все эти три составляющие обычно общаются друг с другом по сети и могут использовать шифрование для скрытности и для защиты от обнаружения или вторжения в сеть управления ботнетом [16].

 

Рис 2.1 Пример DDoS-атаки [9]

Ботнеты являются эффективными в выполнении задач, которые не смог бы выполнить один компьютер, один IP-адрес, или одно подключение к Интернету. Первоначально, бот-сети были использованы для распределенных атак отказа в обслуживании. (См. рисунок 2.1) Большинство современных веб-сервера разработали стратегии для борьбы с такими атаками DDoS, что делает использование ботнета менее эффективным [15]. При заражении компьютера, боты подключаются к IRC-серверам на выбранный канал в качестве гостей и ожидают сообщение от бот-мастера. Бот-мастер может бать онлайн в любое время, просмотреть список ботов, посылать команды на все зараженные компьютеры сразу, или отправить личное сообщение одному зараженному компьютеру. Это пример централизованного ботнета [13]. (См. рисунок 2.2)

Рис 2.2. Выдача команд ботам в центтрализованной топологии

 

2.2. Почему ботнеты опасны сегодня?

Бот-сети сегодня являются одним из самых опасных видов сетевых атак, потому что они используют большие, скоординированные группы машин для выполнения как массовых атак, так единичных атак. Совокупность ботов, с инфраструктурой command and control (C&C), формируют ботнет с централизованной топологией [11], [18] и [19]. Так как боты работают вместе в больших группах, принимают команды централизованно от бот-мастера, они могут остановить работу крупномасштабных сетей за короткие сроки.

Много работы было проведено для уменьшения влияния бот-сетей, чтобы избежать потери данных и финансовых потерь. Тем не менее продолжаются работы над исправлением известных уязвимостей в хостах и сетях, всегда находятся уязвимости, которые разработчики вредоносных программ и кибер-преступники могут использовать.

Литература

1. Ferris Research (2009), Industry statistics. Retrieved October 31, 2009 from http://www.ferris.com/research-librarv/industrv-statistics/
2. Webroot Software, Inc. (2006). From viruses to spyware: In the malware trenches with small and medium-sized businesses. Retrieved October 31, 2009 from http://www.webroot.com/shared/pdf/wp SMBtrenches.pdf
3. Krebs, B. (February 19, 2006). Invasion of the computer snatchers. Washington Post. Retrieved October 31, 2009 from http://www.washinstonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342.html
4. Nazario, Dr. J. (May 2004). The zombie roundup: Understanding, detecting, and disrupting botnets. Retrieved October 31, 2009 from http://www.eecs.umich.edu/~emcooke/pubs/botnets-sruti05.pdf
5. Trend Micro 2007 threat report and forecast. Retrieved October 31, 2009 from http://trendmicro.mediaroom.com/index.php?s=65&item=163
6. The Honeynet Project. (November 7, 2007). Know your enemy: Behind the Scenes of Malicious Web Servers. Retrieved October 31, 2009 from http://honeynet.org/papers/wek/
7. Rajab, M., Zarfoss, J., Monrose, F., & Terzis, A. (October 2006). A multifaceted approach to understanding the botnet phenomenon. Retrieved October 31, 2009 from http://www.imconf.net/imc- 2006/papers/p4-rajab.pdf
8. NetFlow Packet Generator http://www.vconsole.com/client/?page=page&id=21
9. Threats That Computer Botnets Pose to International Businesses By Matthew West http://mattdanger.net/papers/Matt West - Botnets.pdf
10. P. Maymounkov and D. Mazi'eres, “Kademlia: A peer-to-peer information system based on the XOR metric,” in 1st International Workshop on Peer-to-Peer Systems, pp. 53-62, March 2002
11. Botnet Detection Countering the largest security threat by Wenke Lee Cliff Wang David Dagon
12. http://www.honeynet.org/node/52
13. http://www.viruslist.com/en/analysis?pubid=204792003
14. http://www.zscaler.com/botnets.html
15. http://what-is-what.com/what is/botnet.html
16. http://en.wikipedia.org/wiki/Botnet
17. http://www.kaspersky.com/reading room?chapter=207716701
18. http://www.ecommercetimes.com/story/68128.html
19. Botnet Detection Based on Network Behavior : W. Timothy Strayer5 , David Lapsely5 , Robert Walsh5 and Carl Livadas6
20. http://www.usenix.org/events/hotbots07/tech/full papers/daswani/daswani.pdf
21. http://www.usenix.ors/event/hotbots07/tech/full papers/srizzard/srizzard.pdf
22. http://www.usenix.ors/event/hotbots07/tech/full papers/chians/chians.html/
23. http://www.honeynet.ors/node/52
24. http://www. systrax.com/ webcasts.php
25. http://www.youtube.com/watch?v=Eu7YnfzbAkw
26. http://www.plixer.com/products/netflow-sflow/flowalyzer-netflow-sflow-tester.php
27. http://www.vconsole.com/client/?pase=pase&id=21
28. http://www.softpedia.com/prosDownload/Netflow-Traffic-Generator- Download-132869.html
29. http://www.download3k.com/Install-Flowalyzer-NetFlow- Generator.html
30. http://www.slasell.name/Adam Slasells Research Home/Old Projectsfiles/luo05.pdf
31. http://laim.ncsa.illinois.edu/downloads/li05.pdf
32. (From the paper "The Anatomy of Clickbot.A” published at HotBots 2007 Workshop)
33. (From Peer-to-Peer Botnets: Overview and Case Study) By Julian B. Grizzard , The Johns Hopkins University; Vikram Sharma, Chris Nunnery, and Brent ByunsHoon Kans, University of North Carolina at Charlotte; David Dason, Geo^ia Institute of Technolosy
34. (By Ken Chians, Levi Lloyd, Sandia National Laboratories)
35. https://*3www.cisco.com/en/US/docs/net msmt/netflow collection ens ine/5.0/user/suide/format.html#wp1006108
36. http://www.cisco.com/en/US/technolosies/tk648/tk362/technolosies wh ite paper09186a00800a3db9.html
37. http://www.securitytube.net/Analyze-a-Bot-Infected-Host-with- Wireshark-video.aspx
38. http://sourceforse.net/apps/mediawiki/networkminer/index.php?title=Publicly available PCAP files
39. http://rasnarokvalkyriebot.blosspot.com/2009/04/packet-extractor- senerates.html
40. “Trends in DoS Attack Technolosy”, http://www.cert.ors/archive/pdf/DoS trends.pdf
41. http://zeous21.exteen.com/20050928/entry-3
42. http://www.aboutonlinetips.com/zombie-army-and-how-does-botnet-attack/
43. http://wireshark.org/captures
44. http://sourceforse.net/apps/mediawiki/networkminer/index.php?title=Pu blicly available PCAP files
45. http://www.cert.ors/advisories/CA-1998-01.html
46. http://csis.pace.edu/~ctappert/it691-09fall/default.htm
47. J. R. Massi, Idea Paper: An Investisation Into the Application of Network Topolosy Analysis to the Detection and Mitisation of Botnets, Pace University, 2009.
48. J.R. Massi, Project Proposal: Development of a Botnet Simulation Tool to Support an Investisation Into the Application of Network Topolosy Analysis to the Detection and Mitisation of Bot-nets, Pace University, 2009.