ANALISI DELLE BOTNET DI NUOVA GENERAZIONE ...Le Botnet • Reti di host (Bot), connessi ad Internet, controllati da un’unica entità: il Botmaster 2/19 • Il codice malevolo dell’infezione

UNIVERSITÀ DEGLI STUDI DI PARMA

FACOLTÀ DI INGEGNERIA

CORSO DI LAUREA SPECIALISTICA IN

INGEGNERIA DELLE TELECOMUNICAZIONI

ANALISI DELLE BOTNET DI NUOVA

GENERAZIONE BASATE SU PEER TO PEER

E IMPLEMENTAZIONE

IN AMBIENTE EMULATORelatore:Chiar.mo Prof. Ing. LUCA VELTRI

Tesi di laurea di

STEFANO FANTI

Correlatori:Dott. Ing. NATALYA FEDOTOVA

Dott. Ing. ROBERTO TANARA

ANNO ACCADEMICO 2008-2009

WLAN/3G secure authentication based on SIPUniversità degli Studi di Parma

Dipartimento di Ingegneria dell'InformazioneANALISI DELLE BOTNET DI NUOVA GENERAZIONE BASATE SU PEER TO PEER

E IMPLEMENTAZIONE IN AMBIENTE EMULATO

11-12-2009Stefano Fanti

Obiettivi

• Analisi delle caratteristiche generali delle moderne Botnet

• Studio dello Storm worm

• Implementazione del Botnet Emulator

• Confronti sull’evoluzione di diversi scenari di rete

• Sviluppi futuri

1/19





Le Botnet• Reti di host (Bot), connessi ad Internet, controllati da un’unica entità:

il Botmaster

2/19

• Il codice malevolo dell’infezione può compromettere un host

sfruttando:

- utilizzo di malware come worm,

trojan-horse, spyware, adware,

keylogger, backdoor

- vulnerabilità dei browser web

- assenza delle più recenti patch di sicurezza

• Il canale di comunicazione (Command & Control)

tra Botmaster e host può essere formato da:

- uno o più server centralizzati

- rete peer-to-peer (P2P)





Perchè creare una Botnet?

• Furto di informazioni riservate:

- credenziali di accesso per

webmail, FTP, POP3, SMTP,

HTTP

- password di sistema

- tutto ciò che viene digitato da

tastiera (grazie ai keylogger)

3/19

• Esecuzione di attacchi informatici

su comando del Botmaster:

- Distributed Denial of Service

- Phishing

- Spamming





Perchè creare una Botnet?

4/19

• Alcuni dati (ottenuti tramite infiltrazione nella Botnet “Torpig”):

- 70 GB di dati raccolti tra cui 300.000 credenziali di accesso (cifrate e non)

- 47.000 password rubate in Italia (principalmente da PayPal e Poste Italiane)

- 1.700 codici di carte di credito rubati : 49% in USA, 12% in Italia





Le Botnet

• Come avviene un tipico attacco:

5/19

1 2

3

45

BOTMASTER

EXPLOIT

MACHINE

BOTSERVER /

P2P NETWORK

BOTCONTROLLER

HOST

TARGET

Infezione Secondaria





Le Botnet di tipo Peer To Peer

• Il canale di C&C sfrutta una rete P2P

• Le tecniche P2P sono utilizzate sia per la diffusione di risorse

infette che per il controllo da parte del Botmaster

6/19

• VANTAGGI: - rendono difficile il Botnet tracking

- non è semplice bloccare la loro attività

• SVANTAGGI: - è più difficile eseguire la peer-discovery

- maggiore latenza di rete

• TIPOLOGIE: - closed P2P networks (protocolli ad hoc)

- open P2P networks (usano reti esistenti)

• SVILUPPI: - design di nuove funzionalità

(propagazione, invisibilità nel sistema,

nuovi obiettivi da raggiungere)

- nuove strategie di C&C (detection)





Storm

• Dal 2007 inizia la sua attività infettiva, mediante spamming:

milioni di mail inviate contenevano un eseguibile che si rivelò

essere un Trojan, e venne chiamato Peacomm.

7/19

• L’eseguibile è polimorfico per

rendere più difficile la detection

• L’iniezione del payload avviene in

modalità kernel, tramite il driver

wincom32.sys e sfruttando il

processo services.exe, che attiva le

thread per le comunicazioni P2P




11-12-2009Stefano Fanti 8/19

Storm

• Protocollo di comunicazione utilizzato da uno Storm-bot:

1 Connessione ad Overnet

(rete P2P esistente) o a

Stormnet

2 Download dell’URL

dell’infezione

secondaria

3 Decryption dell’URL

4 Download dell’infezione secondaria

5 Esecuzione dell’infezione

• L’algoritmo di crittografia a chiave pubblica usato da Storm: RSA

- PU = [e,n] PR=[d,n] modeC M n moddM C n

- n = pXq ( ) ( 1)( 1)n p q gcd( ( ), ) 1n e 1 mod ( )d e n

• In Storm: d è hard-coded nel bot, n si ricava dai search_result





Storm• Pubblicazione e ricerca di aggiornamenti:

9/19

- In Overnet ogni chiave è

pubblicata presso 20 peer diversi

- Ogni bot ricerca una chiave

specifica in un determinato istante,

scelta da un insieme noto a priori al

Botmaster: key = f(d,r)

- I bot utilizzano particolari

identificativi denominati “chiavi”

• Numero di IP

differenti che

effettuano:

- ricerche (SX)

- pubblicazioni (DX)





Implementazione del Botnet Emulator• Obiettivo: emulare una Botnet di tipo peer to peer che utilizza

Kademlia come algoritmo DHT per il routing e la gestione degli ID

di nodo e delle tabelle di hash delle risorse

10/19

• L’evoluzione della Botnet avviene grazie alle operazioni eseguite

dai peer emulati, che interagiscono tra loro condividendo e

ricercando risorse e update fittizi

• Dopo la join, ogni peer ricerca nella Botnet un file di

aggiornamento (BotUpdate1.dll): rappresenta un tentativo di

connessione al Botmaster

• Lo scheduling degli eventi emulati (join / leave / put / get) è

aleatorio, ma rispetta le distribuzioni dei tempi di inter-evento

impostate dall’utente a inizio emulazione

• Ambiente di sviluppo utilizzato: Eclipse

• Framework utilizzato: DLS

JAVA





Il framework DLS• Obiettivo: permettere la creazione di applicazioni peer to peer

basate sul concetto di “Distributed Location Service”

11/19

• Sistema DHT-based che permette

ai nodi di gestire al loro interno

associazioni tra chiavi (URI) e

valori corrispondenti (contatti)

• Il protocollo DLS permette all’utente di focalizzarsi sullo sviluppo

applicativo, ignorando i dettagli della DHT e della comunicazione

peer to peer





Il framework DLS• Schema del progetto DLS:

12/19

• Azioni eseguite dai peer:

- join:

permette la registrazione del

peer nella DHT

- put:

registra nel DLS

l’associazione tra una chiave

(URI) e una lista di contatti

- get:

ricerca nel DLS i contatti

associati alla risorsa

- leave:

permette al peer di

abbandonare il DLS





Il Botnet Emulator• Schema delle classi dell’emulatore:

13/19

Emulation Manager

• Emulation Timer

• Statistics & Logs

• Finds Peer & Resources for Actions

• DHT Callbacks

Emulation Timer

• Timer

• Interevent-Time

Emulation Constants

• Emulation Time

• Peer & Resources Life Time

• File Paths

• Botnet Flags

Peer Action

• Create & Join Peer

• Put/Get Resources/Updates

• Leave Peer

Peer

• DLS Application

• BotnetFlag(true)

• EmulationLog

Resource

• Resource Name

• Resource Flag

Resource Index

• Get BotnetResource From File

Resource Arrays

• BotnetResource Lists

Emulation Log

• Main Log

• Peer Log

• Statistics Log

Resource Statistics

• BotnetResource

• Peer/TimeStamp Vectors

Emulation

• Emulation Manager

• Event Timer

• Botnet Peer Actions





Il Botnet Emulator

• Tempi di interevento:

- distribuzioni esponenziali negative

- possibilità di impostare il valor medio

(in sec.) della distribuzione di ciascuna

azione: join/put/get/leave

14/19

( ) .exp ( )

1[

( ) 1 exp

]

X

X

f x x u x

E X

F x x





Il Botnet Emulator• Log generati dall’emulatore:

- Emulator.log

registra tutte le azioni di tutti i peer

15/19

- IP.port.log

registra le sole azioni che riguardano il peer

specificato

- ResourceStatistics.log

registra per tutte le risorse i peer che effettuano

put/get e il time dell’azione

- ResName_PUT/GET.log

registra hostport e time in cui

avvengono put/get sulla

risorsa ResName





Il Botnet Emulator• Elaborazione e confronto dei risultati ottenuti dalle emulazioni:

n° totale peer generati, n° peer attivi, n° max peer attivi

- Test 1: E[join] = E[leave] = E[put] = E[get] = 30 sec

16/19

- Test 2: E[join] = 5 sec; E[leave] = 30 sec;

E[put] = 50 sec; E[get] = 40 sec






percentuale di peer che hanno pubblicato/ottenuto risorse


% put/get della risorsa BotUpdate

17/19


% get BotUpdate vs % get altre risorse






percentuale di peer che hanno ottenuto l’aggiornamento

- Test: % get riuscite sulla risorsa BotUpdate

variando i tempi medi di interevento [join-put-get-leave]

18/19





Conclusioni

• Realizzazione di un emulatore di reti Botnet Peer To Peer

• Configurabilità dei parametri di ingresso del Botnet Emulator

• Confronto grafico delle dinamiche di rete in diversi scenari

• SVILUPPI FUTURI:

- introduzione di nuove variabili di sistema

- implementazione di tecniche di infiltrazione e attacco alla Botnet

19/19

Documents

ANALISI DELLE BOTNET DI NUOVA GENERAZIONE ...Le Botnet • Reti di host (Bot), connessi ad Internet, controllati da un’unica entità: il Botmaster 2/19 • Il codice malevolo dell’infezione