Active Cyber defence: Botnet Analysis

Transkript

1 Active Cyber defence: Botnet Analysis Projekthandbuch Pascal Baumgartner Damian Hählen Sandro Häusler Version 30. Mai 2006

2 Inhaltsverzeichnis 0 Allgemeines 2 1 Einleitung Zweck des Dokumentes Projektbeschreibung Ausgangssituation Was ist ein Bot? Was ist ein Botnetz? Für was können Botnetze eingesetzt werden? Ziele Vorgehensstrategie Projektspezifisches Vorgehensmodell Phase Initialisierung Phase Voranalyse Phase Konzept Phase Realisierung Entscheidungspunkte der abzuliefernden Ergebnisse Phase Initialisierung Phase Voranalyse Phase Konzept Phase Realisierung Realisierung Methoden und Werkzeuge 7 6 Standards und Richtlinien Dokumentation Anhang Projektplanung Qualitätssicherung Powered by L A TEX 1

3 0 Allgemeines Name des Dokuments: Botnet Projektantrag Version: 0.8 Datum: 30. Mai 2006 Status: Aktiv Auftraggeber: Stefan Burschka Projektbetreuung: Jean-Pierre Caillot und Adrian Gschwend Projektmanagement: Frank Helbling Autoren des Dokuments: Pascal Baumgartner, Damian Hählen und Sandro Häusler Dokument: Botnet Projektantrag.tex 1 Einleitung 1.1 Zweck des Dokumentes Dieses Dokument beinhaltet die organisatorische Grundlage, damit das Projekt möglichst reibungslos abgewickelt werden kann. Um einen solchen Ablauf zu gewährleisten, muss dieses Dokument immer nachgeführt werden. Das Projekthandbuch dient als einheitliche Handlungsgrundlage für alle Projektbeteiligten und legt damit den allgemeingültigen technischen und organisatorischen Rahmen fest. Es kann als Ausschreibungsunterlage (bei Offerteneinholungen), als Angebotsbestandteil (bei Offerteneinreichungen) oder als Vertragsbestandteil verwendet werden. 2

4 2 Projektbeschreibung 2.1 Ausgangssituation Was ist ein Bot? Unter einem Bot (angelehnt an robot) versteht man ein Computerprogramm, das weitgehend autonom solchen Aufgaben nachgeht, mit denen eine menschlich-interaktiv gesteuerte Software zeit- oder mengenmäßig überfordert wäre. Prominentes Beispiel für Bots sind die Webcrawler von Internet-Suchmaschinen, die selbsttätig Webseiten besuchen, wobei sie den vorhandenen Links folgen und dabei ggf. den Inhalt der Seiten auswerten. Kommunizieren Bots untereinander in einem fernsteuerbaren Netzwerk, so spricht man von einem Botnet. Bei den meisten Botnets handelt es sich um virtuelle Netzwerke vom Angreifer kompromittierter Einzel- Rechner Was ist ein Botnetz? Unter einem Botnet oder Bot-Netz (die Kurzform von Roboter-Netzwerk) versteht man ein fernsteuerbares Netzwerk (im Internet) von PCs, welches aus untereinander kommunizierenden Bots besteht. Diese Kontrolle wird durch Viren bzw. Trojanische Pferde erreicht, die den Computer infizieren und dann auf Anweisungen warten, ohne auf dem infizierten Rechner Schaden anzurichten. Diese Netzwerke können für Spam-Verbreitung, Denial-of-Service-Attacken usw. verwendet werden, zum Teil ohne dass die betroffenen PC-Nutzer etwas davon mitbekommen. Dabei existieren immer ein so genannter Hub-Bot sowie Leaf-Bots. Der Hub-Bot kontrolliert alle anderen Bots, wobei sich durchaus alternative Hub-Bots festlegen lassen, welche bei einem eventuellen Ausfall des Real-Hubs als Alternative genutzt werden können. Die Gefahr, die von Botnets ausgeht, ist extrem hoch, da die von ihnen ausgeführten DDoS-Attacken und Spam-Nachrichten eine enorme Bedrohung für Anbieter von Internetdiensten jeglicher Art darstellen. Das Hauptpotenzial von Botnets besteht darin, dass die Netzwerke Grössen von tausenden Rechnern erreichen können, deren Bandbreitensumme die der meisten herkömmlichen Internetzugänge sprengt. Somit ist es einem Botnet von ausreichender Grösse durch Senden von immensen Datenmengen möglich, die Anbindungen der attackierten Serviceanbieter zu verstopfen. Da die Netze meistens aus übernommenen Heim-PCs aus verschiedensten Regionen (und somit breitem IP-Adressenspektrum) bestehen, können die betroffenen Anbieter nur bedingt mit Schutzmaßnahmen wie Paketfiltern vorgehen. Es ist aber denkbar, dass zum Beispiel die ISPs (Internet Service Provider) mit Hilfe von IDS (Intrusion Detection System) Botnetz-Aktivitäten beobachten könnten, um eine Verbreitung der Botnetze zu verhindern. Botnetze sind schwer zu bekämpfen, da jeder Rechner für sich allein und ungesehen Verbindungen zu anderen herstellt (jeder stirbt für sich allein). Würde man die Verbindungen (Ziel und Herkunft) sammeln, könnte man diese Netze beenden. Leider geht man dabei die Gefahr ein, dem Internet zu schaden, da dabei der gewollte Gedanke der flexiblen Wegesuche zum Ziel untergraben werden würde bzw. werden könnte. 3

5 2.1.3 Für was können Botnetze eingesetzt werden? Ein Botnetz ist eine Bedrohungsart, die kritische Infrastrukturen in ihrer Funktion lähmen kann. Passive Methoden wie z.b. Firewallregeln, Verkehrsregelung auf Routern und Switches etc. werden in Zukunft nicht ausreichen, insbesondere wenn Softwarebots Methoden der Künstlichen Intelligenz verwenden oder sonstige neue Technologien verwenden. Deswegen ist es erforderlich, dass Aktive Methoden untersucht werden um zu lernen wie Botnetze bekämpft werden können. Die Studienarbeit ist eingebettet in ein langfristiges Projekt zur Botnetbekämpfung und kann je nach Ergebnis als Diplomarbeit weitergeführt werden. Ziel der Studienarbeit ist es gegenwärtige Botnetze zu erforschen. Es gilt ihre Kommunikationskanäle, Ausbreitungsverhalten, Tracking und Updates zu verstehen und zu dokumentieren. Botnetze können vielseitig eingesetzt werden: ˆ Distributed Denial-of-Service Attacken ˆ Spamming ˆ Traffic Sniffing ˆ Keylogging ˆ Verbreiten von Malware ˆ Manipulation von Online Umfragen oder Spielen ˆ Identitätsdiebstahl Um Botnetze zu bekämpfen muss man in der Lage sein, den Aufbau und die Kommunikation in Botnetzen zu verstehen. Dieses Projekt soll eine Übersicht über momentane Bedrohungen durch Botnetze geben. 2.2 Ziele Identifizieren von aktuellen Botvarianten und die Analyse der verwendeten Technologien. Zum Einfangen von Bots stehen verschiedene Applikationen zu Verfügung. In unserer Projektarbeit wollen wir uns mit den folgenden Applikationen befassen: ˆ Sebek 3 ˆ Mwcollect ˆ Nepenthes und Zusätzlich werden wir versuchen, mit unsicheren Windows Maschinen (Windows XP) Bots einzufangen. Dafür werden wir Firewall Maschinen einsetzen. Diese Firewalls sollen die Kommunikation zwischen den Bots kontrollieren und regulieren. 2.3 Vorgehensstrategie Vorgehensmodell ist Hermes

6 3 Projektspezifisches Vorgehensmodell 3.1 Phase Initialisierung Hauptaktivität Ergebnis Bemerkung/ Begründung Projekt vorbereiten Projektantrag - Projekthandbuch Projektplan 3.2 Phase Voranalyse Hauptaktivität Ergebnis Bemerkung/ Begründung Ziele definieren Situationsanalyse Wie sieht die heutige Bedrohungslage aus Einarbeiten Vorbereitung Informieren über Tools und Applikationen 3.3 Phase Konzept Hauptaktivität Ergebnis Bemerkung/ Begründung Projekt initialisieren Tools erkunden Einarbeiten in die verschiedenen Tools/Applikationen 3.4 Phase Realisierung Hauptaktivität Ergebnis Bemerkung/ Begründung Projekt realisieren Bots analysieren Analysieren und verstehen der Bots und ihrer Kommunikation 5

7 4 Entscheidungspunkte der abzuliefernden Ergebnisse 4.1 Phase Initialisierung Entscheidungspunkte Bemerkung / Ergebnisse Prüfung Begründung Projektauftrag - Projektantrag Review Projektplan Projekthandbuch Abschluss Phase Der Phasenabschluss wird - keine Initialisierung mit dem Entscheidungspunkt Projektauftragäbgedeckt 4.2 Phase Voranalyse Entscheidungspunkte Bemerkung / Ergebnisse Prüfung Begründung Zielvereinbarung Wie weit wollen wir Situationsanalyse Review, Besprechung bei der Semesterarbeit mit Fachdozent gehen Lösungsauswahl Weitere Vorgehensweise Lösungsvorschläge Besprechung Freigabe Phase Konzept - Projektplan Review Projekthandbuch 4.3 Phase Konzept Entscheidungspunkte Bemerkung / Ergebnisse Prüfung Begründung Konzept Vorgehen definiert, Detailstudie Review, mit Fachdozent Sachmittelbedarf überprüfen das die Richtung stimmt Freigabe - Projekthandbuch Projektplan Review Phase Realisierung 4.4 Phase Realisierung Entscheidungspunkte Bemerkung / Ergebnisse Prüfung Begründung Projekt realisieren Bots analysieren, Analyse Review 6

8 5 Realisierung Methoden und Werkzeuge Aktivität Methode Werkzeug Dokumente Text, Grafiken, Tabellen Word 2003, L A TEX, Matlab Planung Balkendiagramm Project 2003 Organisation Organigramm, Flowcharts Word 2003, Visio 2003 Projektablage HTI 6 Standards und Richtlinien Das Projektmanagement wird nach dem Standart Hermes 2003 abgewickelt 6.1 Dokumentation Für die Dokumentation verwenden wir L A TEX. 7 Anhang 7.1 Projektplanung Meilenstein Datum Beginn der Semesterarbeit (Kick-Off) Beginn der Initialisierungsphase (Vorabklärungen) Abgabe Projektantrag Abgabe Projekthandbuch und -plan Ende der Initialisierungsphase (Vorabklärungen) Entscheid über weiteres Vorgehen Beginn der Phase Forschung / Realisierung Ende der Phase Forschung / Realisierung Ende der Semesterarbeit Qualitätssicherung Projektführungsdokumente: Technische Dokumentationen: Review durch Frank Helbling, Jean-Pierre.Caillot, Adrian Gschwend und Stefan Burschka Review durch Jean-Pierre Caillot, Adrian Gschwend und Stefan Burschka 7