Botnetze & DDoS-Attacken Perstling, Tabibian 8. Juni 2012 Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 1 / 33
Übersicht Botnetze Bots Aufbau und Kommunikation (C&C, zentralisierte/dezentralisierte Architektur) Verwendung Heutige Dimensionen Gegenmaßnahmen (Erkennung, Bekämpfung) DDoS-Attacken Funktionsweise Angriffsarten Abwehrmaßnahmen Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 2 / 33
Botnetze Bot Der Begriff bot steht für robot und bezeichnet Software, die ursprünglich zur automatisierten Verwaltung und Kontrolle von chat rooms innerhalb des Internet Relay Chat (IRC) verwendet wurde Eggdrop - Erster IRC-Bot, 1993 - Kein böswilliger Hintergrund Kurz darauf Aufkommen von Bots zum Angriff anderer IRC-Teilnehmer Verbreitung mit Hilfe von Trojanern, Würmern Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 3 / 33
Botnetze Definition Bots stellen Verbindung zu zentralem Server oder anderen infizierten Systemen auf Netzwerk von zentral gesteuerten Computern Bots besitzen Kontrolle über Systemressourcen und können selbstständig Aufgaben durchführen Infizierte Rechner werden als Bot oder Zombie bezeichnet Botmaster, Botherder Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 4 / 33
Botnetze - Aufbau und Kommunikation Command and Control Ein essentieller Teil des Botnetzes ist die command-and-control Infrastruktur (C&C) Kommunikationskanal zwischen Botmaster und Botnetz Es liegen dabei zwei unterschiedliche Architekturansätze vor: zentralisierte und dezentralisierte Botnetze Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 5 / 33
Botnetze - Aufbau und Kommunikation Zentralisierte C&C-Architektur Alle Zombies mit einer oder einigen wenigen C&C-Einheiten verbunden C&C-Einheiten registrieren neu hinzugekommene Bots in ihrer Datenbank Botmaster kontaktiert einen infizierten Computer und steuert diesen mittels Befehlen, die im Bot-Programm integriert sind IRC, HTTP zur Kommunikation Mit geringem Aufwand konstruierbar, aber auch verhälnismaßig einfach außer Kraft zu setzen Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 6 / 33
Botnetze - Aufbau und Kommunikation Dezentralisierte C&C-Architektur Bots innerhalb eines dezentralisiert aufgebauten Botnetzes verbinden sich jeweils mit einigen anderen infizierten Computern aus dem Zombie-Verbund peer-to-peer Netze Jeder Bot verfügt über eine Adressliste einiger Nachbarrechner und leitet eingehende Befehle an diese weiter e2k, Gnutella, FastTrack beliebte Protokolle zur Kommunikation Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 7 / 33
Botnetze - Aufbau und Kommunikation Zentralisierte C&C-Architektur Dezentralisierte C&C-Architektur Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 8 / 33
Botnetze - Verwendung Verteiltes Rechnen Zusammenschließen von Standardrechnern um Supercomputer zu erstellen Berechnung von komplexen Problemen beschleunigen Informations- und Datensammlung Download von Dokumenten aus dem infizierten System Aufzeichnen von Tastenanschlägen um diverse Zugangsdaten zu erhalten Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 9 / 33
Botnetze - Verwendung Phishing und Spam Durch das Sammeln von Informationen auf dem Zielrechner stehen dem Botnetz eine Vielzahl von e-mail Adressen zur Verfügung Botnetzbetreiber vermieten ihre Netze an andere Kriminelle, die diese dann zum flächendeckenden Versand von Spam- und Phishingmails verwenden Proxy Zombies werden als Zwischenhost genutzt Cyberkriminelle nutzen die Zombie-Rechner zur Verschlüsselung ihrer Herkunft Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 10 / 33
Botnetze - Verwendung Ransomware Bots verschlüsseln Daten auf Opfersystemen Zum Entschlüsseln wird Geld verlangt Click fraud Bots rufen heimlich Webseiten auf Erhöhen dadurch Gewinn für Werbetreibende DDoS-Attacken Bots mit der Fähigkeit DoS-Attacken durchzuführen werden koordiniert Zerstörungspotential von Angriffen wird dadurch entsprechend erhöht Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 11 / 33
Botnetze - Dimensionen Bezogen auf Größe von Botnetzen (Anzahl der infizierten Computer) gibt es viele, sich zum Teil widersprechende Erhebungen Ermittlung der Anzahl an infizierten Rechnern problematisch Großteil der Zahlen wird aus der Extrapolation von kleineren Messungen erreicht Fehlen von exakten Informationen über Methoden und Zeiträume der Erhebungen Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 12 / 33
Botnetze - Dimensionen Auch kleinere Netze in der Lage großen Schaden anzurichten Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 13 / 33
Botnetze - Gegenmaßnahmen Erkennung Kann lokal oder über das Netzwerk erfolgen Systemanomalien, wie beispielsweise eine dauerhaft erhöhte CPU-Last können auf Infektion hinweisen Antivirensoftware Intrusion Detection Systeme Netzwerkverkehrsüberwachung Honeypots Große Anzahl an Botnetzen unentdeckt Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 14 / 33
Botnetze - Gegenmaßnahmen Bekämpfung Von Botnetzen ausgehende Bedrohung minimieren Bestehende Netze schwächen - Bestehende Infektionen verringern - C&C-Infrastrukturen ausschalten Neuinfektionen verhindern - Frühe Erkennung - Sicherheitsbewusstsein erhöhen Rentabilität für Betreiber einschränken - Strafrechtliche Verfolgung von Botnetzbetreibern - Harte Strafen zwecks Abschreckung Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 15 / 33
Botnetze - Gegenmaßnahmen Bekämpfungsmethoden Blacklisting BGP-Blackholing - Vor allem zur Schwächung von Botnetzen mit statischer C&C-Infrastruktur geeignet Paketfilterung - Applikationsebene - Netzwerkebene Ausnutzen des Austauschmechanismus von Kontaktlisten in peer-to-peer Netzen Sybil Attack - Routing innerhalb von peer-to-peer Netzen manipulieren Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 16 / 33
DoS-Attacken Denial-of-Service DoS-Attacken sind Angriffe, welche zum Ziel haben, den betroffenen Host lahm zu legen Opfer wird mit Paketen bombardiert Bei einem Angriff ist der Host so stark ausgelastet, dass es ihm nicht mehr möglich ist, seinen eigentlichen Aufgaben nachzugehen Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 17 / 33
DoS-Attacken Angriffsarten Mail Bombing Broadcast Storms Smurf TCP Syn Flooding Ping Flooding UDP Flooding Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 18 / 33
DDoS-Attacken Distributed Denial-of-Service DDoS-Attacken sind DoS-Attacken, die von mehreren Standorten gleichzeitig ausgehen Botnetz Ab ungefähr 50 beteiligten Angriffsrechnern Flooding von Zielrechnern Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 19 / 33
DDoS-Funktionsweise Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 20 / 33
Mail Bombing Empfänger erhält eine Vielzahl von gleichen Mails Gleicher Empfänger sehr oft im BCC einer versendeten Email Moderne Mailserver unterbinden diese Art von Mail Bombing Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 21 / 33
Broadcast Storms Als Broadcast Storm wird eine starke Anhäufung von Broadcast und Multicastverkehr bezeichnet An jeden Rechner im Netzwerk wird eine Flut von IP-Paketen geschickt, die an nichtexisitierende Ziele adressiert sind Überlastet Netzwerk sehr schnell, da falsch adressierte Pakete über die Gateways immer wieder in andere Subnetze verschoben werden Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 22 / 33
Broadcast Storms Smurf Angreifer versendet sehr viele ICMP Pakete (z.b. Ping-Anfragen) an Broadcast-Adresse eines Netzwerks Angreifer tarnt sich mit IP-Adresse des Ziels Wenn Netzwerk richtig konfiguriert, werden ICMP Antworten am Router geblockt Wenn ICMP Broadcasting am Router erlaubt ist, werden multiple ICMP Antworten an das Ziel weitergeleitet und die reguläre Datenkommunikation unterbunden Fraggle wie Smurf, anstelle von ICMP Echo Paketen UDP Echo Pakete verschickt Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 23 / 33
TCP Syn Flooding Nützt Handshake Mechanismus (SYN/ACK) aus Gefälschte IP Adresse SYN-ACK Paket mehrmals ins Nichts geschickt Wird eine Vielzahl von SYN Paketen von einer gefälschten (scheinbar nicht existierenden) IP Adresse verschickt, sendet der Router ein ICMP-Unreachable Paket Bei vielen ICMP Unreachable Paketen entsteht schnell hoher Datenverkehr Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 24 / 33
TCP Syn Flooding Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 25 / 33
Ping Flooding Nutzen keine Sicherheitslücken aus Massenweise Ping Anfragen werden vom Zielsystem beantwortet, falls kein Schutzmechanismus vorhanden Lastet System und Netzwerkverbindung aus Kann für Ziel teuer werden, wenn nach Datenmenge abgerechnet wird Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 26 / 33
UDP Flooding Verbindungsloses User Datagram Protocol (UDP) verwendet Angreifer sendet UDP-Paket an zufälligen Port des Opfersystems Opfersystem versucht herauszufinden, welche Anwendung auf diesem Port wartet Keine Anwendung wartet Destination Unreachable Paket an gefälschte Absenderadresse Bei ausreichend UDP-Paketen auf diversen Ports kommt es zum Systemabsturz Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 27 / 33
DDoS Gegenmaßnahmen Für die Abwehr von Angriffen steht ein breites Spektrum von Abwehrmaßnahmen zur Verfügung. Sie lassen sich in folgende Kategorien einteilen: Vorbeugende Maßnahmen Angriffserkennung Gezielte Abwehrmaßnahmen Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 28 / 33
DDoS Gegenmaßnahmen Vorbeugende Maßnahmen Vorhandene Sicherheitslücken bzw. Schwachstellen beseitigen Regelmäßige Software Aktualisierungen (patches) Überwachung des Internetverkehrs (Paketfilteregeln) Schwachstellenanalyse Ratenkontrollen für ressourcenkonsumierende Protokollabläufe (z.b. Verbindungsaufbauwünsche, zufälliges Verwerfen bei Überschreiten bestimmter Schwellwerte) Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 29 / 33
DDoS Gegenmaßnahmen Angriffserkennung Voraussetzung für eine effektive Verteidigung Allerdings schwierig umzusetzen Intrusion Detection Systeme - basiert auf Monitoring/ Auditing (Netz, BS und Applikation Auditing) - Anomalieerkennung - Signaturerkennung (Misuse Detection) - Policy basierte Erkennung Flow Monitoring - Erkennen von DoS Attacken durch Messen des Verkehrsaufkommens (Backscatter Pakete) Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 30 / 33
DDoS Gegenmaßnahmen Gezielte Abwehrmaßnahmen Maßnahmen um die Auswirkungen eines erfolgten Angriffs zu begrenzen bzw. vor Wiederholung zu schützen Akute Angriffsabwehr - Abbruch von Kommunikationsbeziehungen - Modifikation der Paketfilterregeln - Auch automatisiert von Intrusion Detection Systemen (Response Mechanismen) Rückverfolgung des Angriffs (Traceback) Erweiterung von Protokollen Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 31 / 33
DDoS Gegenmaßnahmen Nachanalyse Welche Gegenmaßnahmen waren erfolgreich, welche nicht? Wie gut reagierte der Netzwerkbetreiber? Welche Abwehrmechanismen haben die beste oder schlechteste Unterstützung in der Reaktion auf den Angriff geboten? Wie genau funktionierte der Angriff? Wichtig alle gewonnenen Informationen an Nachbarsysteme zu senden, damit bei einem erneuten Angriff im Vorfeld die Attacke abgewehrt bzw. abgeschwächt werden kann Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 32 / 33
Quellen http://www.shadowserver.org/wiki/pmwiki.php/information/botnets http://de.wikipedia.org/wiki/botnet http://www.viruslist.com/de/analysis?pubid=200883611 http://www.heise.de/security/artikel/unter-beschuss-271208.html http://www.computec.ch/download.php?view.793 http://www.netplanet.org/sicherheit Enisa - Botnets: Detection, Measurement, Disinfection & Defence Distributed Denial of Service (DDoS) and Botnet Attacks - An idefense Security Report. April 28, 2006 Perstling, Tabibian Botnetze & DDoS-Attacken 8. Juni 2012 33 / 33