Active Cyber defence: Botnet Analysis

Transkript

1 Active Cyber defence: Botnet Analysis Projektantrag Pascal Baumgartner Damian Hählen Sandro Häusler Version 4. Juli 2006

2 Inhaltsverzeichnis Powered by L A TEX 1

3 0 Allgemeines Name des Dokuments: Botnet Projektantrag Version: 0.7 Datum: 4. Juli 2006 Status: Aktiv Auftraggeber: Stefan Burschka Projektbetreuung: Jean-Pierre Caillot und Adrian Gschwend Projektmanagement: Frank Helbling Autoren des Dokuments: Pascal Baumgartner, Damian Hählen und Sandro Häusler Dokument: Botnet Projektantrag.tex 1 Zweck des Dokuments Der Projektantrag soll für das Projekt,,Active Cyber defence: Botnet Analysis eine definierte Ausgangslage schaffen, um über das weitere Vorgehen entscheiden zu können. Die für die Beurteilung notwendigen Angaben werden zusammenfassend dargestellt. 2 Management-Übersicht Unter einem Botnet oder Bot-Netz (die Kurzform von Roboter-Netzwerk) versteht man ein fernsteuerbares Netzwerk (im Internet) von PCs, welches aus untereinander kommunizierenden Bots besteht. Diese Kontrolle wird durch Viren bzw. Trojanische Pferde erreicht, die den Computer infizieren und dann auf Anweisungen warten, ohne auf dem infizierten Rechner Schaden anzurichten. Diese Netzwerke können für Spam-Verbreitung, Denial-of-Service-Attacken usw. verwendet werden, zum Teil ohne dass die betroffenen PC-Nutzer etwas davon mitbekommen. Ein Botnetz ist eine Bedrohungsart, die kritische Infrastrukturen in ihrer Funktion lähmen kann. Passive Methoden wie z.b. Firewallregeln, Verkehrsregelung auf Routern und Switches etc. werden in Zukunft nicht ausreichen, insbesondere wenn Softwarebots Methoden der Künstlichen Intelligenz verwenden oder sonstige neue Technologien verwenden. Deswegen ist es erforderlich, dass Aktive Methoden untersucht werden um zu lernen wie Botnetze bekämpft werden können. Die Studienarbeit ist eingebettet in ein langfristiges Projekt zur Botnetbekämpfung und kann je nach Ergebnis als Diplomarbeit weitergeführt werden. Ziel der Studienarbeit ist es gegenwärtige Botnetze zu erforschen. Es gilt ihre Kommunikationskanäle, Ausbreitungsverhalten, Tracking und Updates zu verstehen und zu dokumentieren. Botnetze können vielseitig eingesetzt werden: Distributed Denial-of-Service Attacken Spamming Traffic Sniffing Keylogging Verbreiten von Malware Manipulation von Online Umfragen oder Spielen Identitätsdiebstahl Um Botnetze zu bekämpfen muss man in der Lage sein, den Aufbau und die Kommunikation in Botnetzen zu verstehen. Dieses Projekt soll eine Übersicht über momentane Bedrohungen durch Botnetze geben. 2

4 3 Ausgangslage 3.1 Problemstellung Botnetze stellen schon heute eine grosse Bedrohung dar. Da Bots meist vom Benutzer unbemerkt operieren,bleiben sie unentdeckt. Mit immer grösseren Bandbreiten und weltweiter Verfügbarkeit von Internetanschlüssen werden sich Bots immer rascher ausbreiten. Da sich PC-Benutzer im Privatbereich nicht um das Thema Sicherheit kümmern, bieten private Arbeitsstationen einen idealen Angriffspunkt für Bots. 3.2 Anlass und Begründung des Projekts In Fachzeitschriften wird in letzter Zeit immer häufiger über bösartige Botnetze berichtet. So wurden anfang deses Jahres in den Niederlanden drei Hacker verurteilt, die ein Botnetz mit über 1,5 Millionen Zombiehoste kontrollierten. Ein kleine Beispiel: Schon ein kleines Botnetz mit 1000 PCs kann einen grossen Schaden anrichten. Diese 1000 Bots mit einem Upstream von je 128KBit/s haben zusammen eine kombinierte Bandbreite von 100MBit/s. Dies könnte problemlos einzelne Server oder ganze Systeme unbenutzbar machen. 3.3 Projektrahmenbedingungen Mit diesem Projekt wollen wir die heutigen Möglichkeiten von Bots aufzeigen. Es handelt sich um ein Security Projekt welches nicht dazu dienen soll, durch die gewonnenen Erkenntnisse illegale Aktionen durchzuführen. 3.4 Situationsanalyse Ähnliche Projekte wurden schon von verschiedenen Institutionen durchgeführt. Da sich die Bedrohungslage aber ständig ändert, wollen wir überprüfen wie sich die Botnetz-Technologien weiterentwickelt haben. 3.5 erbrachte Vorleistungen Einarbeiten in die Terminologie von Botnetzen. 4 Ziele und Lösungen 4.1 Zielvorstellungen Identifizieren von aktuellen Botvarianten und die Analyse der verwendeten Technologien. 4.2 Mögliche Lösungen Zum Einfangen von Bots stehen verschiedene Applikationen zu Verfügung. In unserer Projektarbeit wollen wir uns mit den folgenden Applikationen befassen: Sebek 3 Mwcollect Nepenthes und Zusätzlich werden wir versuchen, mit unsicheren Windows Maschinen (Windows XP) Bots einzufangen. Dafür werden wir Firewall Maschinen einsetzen. Diese Firewalls sollen die Kommunikation zwischen den Bots kontrollieren und regulieren. 3

5 5 Mittelbedarf Schätzung über den Bedarf an: 5.1 Bewertung der Sicherheits- und Datenschutzaspekte Da es sich bei diesem Projekt um ein Security Projekt handelt, sollten spezielle Sicherheitsaspekte beachtet werden. Beim Umgang mit Viren und Würmern muss mit grösster Vorsicht vorgegangen werden. Der Einsatz der Windows Maschinen benötigt zusätzliche Sicherheitsmassnahen, da diese sonst bei einer DDoS Attacke verwendet werden könnten. 5.2 Sachmittel Folgende Sachmittel werden während des ganzen Projekts benötigt ( bis ) 3 Arbeitsplätze an der HTI Biel 6 Computer (2 Stück mit 2 Netzwerkkarten) 6 IP-Adressen, welche sich in einem ungefilterten Netzwerk befinden Für allfällige Test mit Bots steht uns ein Testnetz von Swisscom Innovations zu Verfügung. 5.3 Personal Das Projektteam,,Active Cyber defence: Botnet Analysis besteht aus Pascal Baumgartner, Damian Hählen und Sandro Häusler und den Projektbetreuern Jean-Pierre Caillot und Adrian Gschwend. Das Projekt wird durch Stefan Burschka von der Swisscom Innovations geleitet. Bei Projektmanagementproblemen steht uns Frank Helbling zu Seite. 5.4 Ausbildung Das Projektteam verfügt über Kenntnisse in den Gebieten Netzwerk und Netzwerk Security. 4

6 6 Planung und Organisation 6.1 Projektorganisation Projektteam: Pascal Baumgartner, Damian Hählen, Sandro Häusler, Projektauftrag und Projektleitung: Stefan Burschka, Projektbetreuung: Pierre Caillot, Adrian Gschwend, Projektmanagement: Frank Helbling, 6.2 Termine Kalenderwoche Ereignis 13 Kick-Off Meeting 14 Projektantrag 17 Projekthandbuch 17 Projektplan 26 Erfahrungsbericht 6.3 Prioritäten Oberste Priorität hat das Sammeln und Analysieren von Informationen über Botnetze. 5

7 7 Antrag 7.1 Bisherige Entscheide Das Projekt wird gemäss Vorgabe der HTI Biel nach HERMES 2003 abgewickelt. Die Ergebnisse des Forschungsprojektes werden im Rahmen der Diplomarbeit weiterverwendet. 7.2 Formulierung des Projektantrags Wir ersuchen aufgrund der erwähnten Gründe um die Förderung des Projektes,,Active Cyber defence: Botnet Analysis. Die im Rahmen des Projekts anfallenden Arbeiten könnten vom Antragsteller durchgeführt werden. 8 Anhang 8.1 ergänzende Unterlagen Protokolle Keine vorhanden 6