Introductie P2P botnets P2P botnet-detectie
Detectie van peer-to-peer botnets Reinier Schoof & Ralph Koning System and Network Engineering University van Amsterdam
9 februari 2007
Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
Inhoudsopgave
Introductie
P2P botnets
P2P botnet-detectie
Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
Introductie
I
Bedreigingen op het internet
I
Opkomst p2p botnets
Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
Achtergrond
I
Peer-to-peer
I
Botnets
Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
Achtergrond - Peer-to-peer Centraal punt dat met alle clients in verbinding staat
Figuur: Klassiek server-client model Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
Achtergrond - Peer-to-peer Alle peers hebben onderling verbindingen
Figuur: Peer-to-peer model Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
Achtergrond - Botnets Bots verbonden met IRC server
Figuur: IRC botnet Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
P2P botnets
I
Geen centraal commandpoint
I
Verspreiding over P2P netwerken
I
Mogelijk gebruik van reeds bestaande P2P netwerken
Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
P2P bot analyse I
Proefopstelling: I I I
I
Sinit: I I I I
I
3 XP machines BSD router met softflowd en nfdump Tcpdump Verspreiding malware. Random IPs Verstuurt pakketen naar UDP port 53 Webserver op TCP port 53
Nugache: I I I
DoS aanvallen Hardcoded lijst met 22 IPs Communiceert over TCP port 8
Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
andere P2P bots
I
Phatbot I I I
I
DoS Aanvallen, Persoonlijke informatie stelen NullSoft WASTE protocol Gnutella cacheservers
SpamThru I I I I
Versturen van spam. Centraal commandpoint Gebruikt P2P als noodoplossing Kaspersky
Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
P2P botnet-detectie I
Open poorten I I
I
Mislukte verbindingen I I I
I
ICMP Unreachable TCP Reset Onvolledige TCP handshakes.
Monitor peer discovery I I
I
Actieve poortscans mogelijk. Lastiger door gebruik van bekende poorten.
IP lijst valt te monitoren. Alternatief is mislukte verbindingen.
Packet-inspectie I I
IDS Signatures
Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
Tegenmaatregelen I
Nugache: I I
I
Phatbot: I I
I
Gebruikt clientstring ’GNUT’ Gnutella beheerders benaderen
Sinit: I I
I
Hosts van hardcoded lijst blokkeren Verkeer op poort 8 monitoren/blokkeren
Monitor UDP 53 verkeer met IDS Niet DNS verkeer wordt verdacht.
SpamThru: I I
Verkeer naar command server monitoren Command server blokkeren
Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
Conclusie
I
Zolang er geld te verdienen is met botnet activiteiten proberen schrijvers detectie moeilijker te maken.
I
Peer discovery en open poorten blijven lastig op te lossen.
I
Er zijn per bot specifieke detectieregels nodig.
Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
Introductie P2P botnets P2P botnet-detectie
Vragen
Stel gerust uw vraag!
Reinier Schoof & Ralph Koning System and Network EngineeringDetectie University vanvan peer-to-peer Amsterdambotnets
