BOTNET: CLASSIFICATION, ATTACKS, DETECTION, TRACING,AND PREVENTIVE MEASURES

SHAU-EN CHOU

WIRELESS AND BROADBAND NETWORKS LABORATORY

DEPARTMENT OF CSIE

NATIONAL TAIPEI UNIVERSITY OF TECHNOLOGY

OUTLINE Introduction

Classificstion

Botnet Attack

Detection and Tracing

Preventive Measures

Conclusion and Future Chanllenges

References

INTRODUCTION What is the major object of this paper?

Exploit open issues in botnet detection and preventive measures through exhaustive analysis of botnets features and existing researches.

What is botnet?

當一台電腦被植入可遠端操控的惡意程式時，則此台電腦則成為一個 robot ，當一群的 robot 被操作去做一些甚至使用者不知道的事情，稱之為 botnet

Three component

Command and Control (C2 or C&C) server Bot herder Bot client

INTRODUCTION BOT怎麼植入我的電腦 ?

拜訪含有惡意程式的網站或是部落格 有辦法避免嗎 ?

培養好個人習慣及網路安全的知識 為什麼要有 Botnet?

從事惡意的行為、當作商品販賣

EXAMPLE

BOTNET LIFECYCLE

CLASSIFICATION

Botnet lifecycle

產生新的BOT

尋找附近有漏洞的電腦

感染

User 修復感染的電腦並更新病毒碼

Bot herder 拋棄這組

Botnet

CLASSIFICATIONIRC-based bot

優 : 完整的 centralize 架構，駭客很好去透過 IRC SEVER 來傳輸惡意 指令來命令旗下的 bot

缺 : 正因為 IRC Bot 的盛行，許多公司的防火牆已經封鎖此 種傳輸協定

P2P-based bot

優 : 不必擔心中央 C&C SEVER 掛掉的問題缺 : 因為它沒有中控 server ，無法在同一時間將指令下達給所 有的 bots ，所以不能達到要進行 DDoS 攻擊的時效性要求

Types of bots

Agobot Sdbot Spybot GTbot

IRC-BASED IRC是一種開放式的協定，主要是用來傳送即時的文字訊息 在 1988年被開發出來，幾乎適用於各種平台 建立於 client/sever架構上 使用者登入 client端來向 IRC sever請求連線 傳統的 IRC sever彼此互相連接來擴充整個 IRC網路 Multiple IRC(mIRC)

藉由多個 IRC sever 來連接到數以百計的 client

EXAMPLE

P2P-BASED 事實上，使用 P2P網路來控制受害者電腦並不是一個很新奇的技術

在 2002 年時， 一隻稱為” Slapper” 的蠕蟲利用 DoS 攻擊來感染Linux 主機

Slapper

Sint

Storm Worm

很遺憾的是上述的 P2P-based bot 是相當不成熟且含有許多弱點的 Centralize sever Seed list

P2P-BASED 為克服上述問題，有些作者提出了混合式的 botnet來解決 如此的架構提拱了幾項特點：

他不需要一個 "bootatrap" 程序 只有在被抓包的主機旁邊的 bot 會曝光 攻擊者只要一個命令可以簡單地去控制整個殭屍網路

儘管有些作者提出多種的對策應對此類型的 botnet attack，越來越多的研究跟預防方法代表著這類型的 botnet在未來仍舊有探討空間。

TYPES OF BOTS Agobot

SDBot

SpyBot

GT Bot

AGOBOT 又稱為 Gaobot, Phatbot

擁有跨平台能力 在四種 bot裡最複雜的程式碼

通常是由 C/C++寫成，大概有 20,000行 去找到新的受害者， Agobot只需要簡單的去掃描預先設定的好的網路範圍

不過，它無法有效的分配目標給整組的 bots做為一個整體的命令

AGOBOT 它擁有下列的幾項特點：

IRC-based C2架構 它可以它可以攻擊大量的目標、發動多種的 DoS攻擊 提供模組化的 encoding function 它可以利用流量監聽來獲取敏感資訊 它可以利用關掉後門程式、拒絕連上防毒網站來躲避防毒軟體的偵測

它可以偵測除錯軟體 (SoftIce、 Ollydbg)和虛擬機器來避免被消滅

SDBOT 控制指令與特色類似於 Agobot但又簡單許多

大多不超過 2500 行 控制指令很好去擴充、增強 在網路可以找到大量的惡意補丁

Scanning DoS attacks Sniffers Information harvesting Encryption routines

SPYBOT 為 SDBot的一種改良版 除了幾本的控制指令之外，還新增了

搜尋被害者的能力 模組化的 DDos 攻擊 Flooding attack

Spybot很像是 Agobot的遠端操作 但是卻少了 Agobot 的廣度與模組化

GT BOT 又稱 Global Treat Bot

像是知名的 Aristotles bot

主要為mIRC-based的 bot

一樣有些基本的能力像是： IRC host 控制、 DoS 攻擊、 port 掃描和 NetBIOS/RPC 的

剝削 其中 GT Bot有個重要程式稱 HideWindow

用來隱藏 mIRC 的情況被免被使用者發現

BOTNET ATTACK DDoS Attack:

Bot herder 利用 botnet 產生數以千計的 request 去癱瘓掉受害者的 IRC SEVER

Spamming and Spreading malware:

散布者常常添加一些隨機且合法的 URL 來變免被偵測 Botnet IP address 經常散佈在一些 Autonomous System

上 儘管 SPAM 的內容不同，他們的接受者地址通常相同

Information Leakage:

有些 bot 不僅可以偷看關鍵資料，甚至可以讀鍵盤所輸入的內容來回傳給 herder ，由 herder 再來過濾其資料

是否為有 用的資訊

BOTNET ATTACK Click Fraud:

有時候 Bot herder 會為了一些理由利用 botnet 來增加一些網站上的廣告點擊次數，正因為每台受害者電腦 IP

位置四 散在全球，每一次的點擊都會被認為是有效且合法的

Identity Fuard:

通常受害者會收到一封看似合法的郵件包含一些 URL叫使用者填入一些個人資料，藉由這些步驟來竊取一些

個人的 資料，通常這些的郵件可以藉由 botnet 透過 spam 機制來 送出

CLICK FRAUD

DETECTION AND TRACING Honeypot and Honeynet:

即是一個可以誘捕駭客活動與行為、收集各項威脅的方式的網路。主要是由多個有缺陷、不具營運價值的誘捕系統(Honeypot) 所構成，藉由模擬真實系統的行為、真實服務

的回應，不僅可誘使駭客進行攻擊，還可捕捉紀錄攻擊手 法和系統行為的改變，最後資料可回饋提供進行分析以改 進防護的方法

HONEYPOT 正因為 Honeypot越來越被廣泛使用，侵入者也開始尋找一些技術來避開 honeypot trap

偵測 VMware 或其他的 virture machine 去偵測 honeypot 的錯誤回應

藉由偵測遠端的代理來判斷是否為 honeypot

如果 honeypot本身沒有開代理則無效

雖然大多數的偵測工具或迴避技術並不是相當的成熟，但這仍是一個在未來需要被重視的題目─ honeypot對 P2P-based botnet不再有效的時候

DETECTION AND TRACING

DNS Tracking:

1. 只有 bots 會送 DNS詢問到 C&C SEVER 的範圍內2. Botnet 的成員同時地行動與遷移3. 一般的 Host 並不會經常得去使用 DDNS ，而 botnet 經常為了

C&C SEVER 去使用 DDNS

基於以上幾點，可以去開發一套用來辨別 DNS詢問的演算法來偵測 botnet

DNS TRACKING 檢查 DDNS 的 query rate

由於攻擊者會經常更換 C&C SEVER位址 異常高的比列將被列入懷疑名單

當 C&C SEVER被解決掉 DDNS 將會重複回傳 name error 被回傳 error 的主機有可能已經被感染並列入懷疑名單

PREVENTIVE MEASURE Countermeasure on Botnet Attack

現今有很多防毒公司都專注於停止 botnet 上面，某一些有提供消費者防護的方法，但大多數都是設計給 ISP 或是企業

目前，在辨認出遭受 botnet 攻擊後，沒有比關掉 IRC 主機或是停掉 DNS entries 更好的方法了

Countermeasure for Public

Home Users System Administrator

HOME USER

SYSTEM ADMINISTRATOR

CONCLUSION 為了更了解 botnet來停止如此般的攻擊，在這篇 PAPER裡提到了一些有關 botnet的架構、 botnet的攻擊方式以及對應的方法，縱使不是每種方法都能夠見效，但都是我們值得去學習的。

另外也有一些有趣的議題是在未來值得去探討的 DDos attack from botnet

無法被避免 目前尚無有效方法去追朔來源並消滅 唯一解決被感染主機的方法

切斷網路、使用掃毒程式 重灌作業系統

REFERENCES

[1] Wikipedia, “Internet bot,” http://en.wikipedia.org/wiki/Internet_bot

[2] Wikipedia, “Botnet,” http://en.wikipedia.org/wiki/Botnet

[3] Wikipedia, “IRC,” http://en.wikipedia.org/wiki/Internet_Relay_Chat

[4] P. Barford and V. Yegneswaran, “An inside look at botnets,”

in Proceedings of the ARO-DHS Special Workshop on Malware

Detection, Advances in Information Security, Springer, 2006.

[5]蔡一郎 ,”深入淺出 Honeynet技術 ,” http://www.myhome.net.tw/cert01/12.htm

[6]TREND雲端運算安全技術 BLOG,”BOTNET 殭屍網路 ,” http://domynews.blog.ithome.com.tw/post/1252/36516

REFERENCES

[7] Wikipedia, “Agobot,” http://en.wikipedia.org/wiki/Agobot

[8] P. Sroufe, S. Phithakkitnukoon, R. Dantu, and J. Cangussu,

“Email shape analysis for spam botnet detection,” in Proceedings

of the 6th IEEE Consumer Communications and

Networking Conference (CCNC ’09), pp. 1–2, Las Vegas, Nev,

USA, January 2009

Q&A?