Hunting Botnets - How to find them and how they hide

Bachelor Studiengang IT Security

Martin Liebl, BSc
19.09.2014

Ausgangslage

Botnetze haben sich über die Jahre von Amateursystemen zu zum Teil komplexen Netzwerken mit einer Vielzahl von Features entwickelt. Standen zu Beginn noch einzelne Personen oder kleinere Gruppen hinter diesen kriminellen Strukturen, so sind es heute schon eigene Untergrundorganisationen mit einem großen Verwaltungsapparat. Organisation und Innovation wurde auch in diesem Umfeld wichtig, da White Hats Wege fanden die Kontrollinfrastruktur die hinter diesen Netzwerken steht ausfindig zu machen und auszuschalten.

Als Reaktion darauf änderte sich das Design vieler kommerziell erfolgreicher Botnetze, um damit die Verfolgung zu erschweren. Kernpunkte dieser Neuentwicklung betrafen die Dezentralisierung der Kontrollinfrastruktur, die Verschlüsselung des Netzwerkverkehrs sowie der Versuch die Malware und den Kommunikationskanal vor Usern und White Hats zu verstecken. In der Arbeit werden sowohl die zuvor erwähnten Verteidigungsmechanismen, als auch die Techniken von ForscherInnen und White Hats, die zum Aufspüren und Verfolgen von Botnetzen eingesetzt werden können, behandelt.

Ziel

Das Ziel der Arbeit ist es geeignete Methoden zu finden, um möglichst viele Informationen über Botnetze sammeln zu können. Dabei muss auf die verschiedenen Typen von Botnetzen sowie die verschiedenen Arten von Informationen Rücksicht genommen werden. Da manche Methoden auf ein bestehendes Wissen über ein bestimmtes Botnetz aufbauen, müssen auch Abhängigkeiten beachtet werden.

Ergebnis

Als Ergebnis konnte eine Klassifizierung von für Botnetze relevanten Informationen und eine Übersicht des Informationsgewinns verschiedener Methoden erhoben werden. Daraus lässt sich ableiten, welche Methoden zu welchem Zeitpunkt geeignet sind und welche Art von Informationen sich mit den einzelnen Techniken gewinnen lassen.

Ausblick

Botnetze sind und bleiben auch weiterhin ein relevantes Thema in der Security Szene. Sowohl die in der Arbeit besprochenen technischen Ansätze, als auch organisatorische und rechtliche Aspekte haben noch großes Potenzial für neue Entwicklungen. Das Zusammenwirken dieser Felder wird in Zukunft noch wichtiger werden, wenn es zu Abschaltungsversuchen der Kontrollinfrastruktur kommt.

FH-Betreuer: FH-Prof. Dipl.-Ing. Bernhard Fischer