Tracking and Mitigation of Malicious Remote Control Networks


Holz, Thorsten


[img]
Preview
PDF
dissertation-holz.pdf - Published

Download (4MB)

URL: http://ub-madoc.bib.uni-mannheim.de/2330
URN: urn:nbn:de:bsz:180-madoc-23306
Document Type: Doctoral dissertation
Year of publication: 2009
The title of a journal, publication series: None
Publishing house: Universität Mannheim
Evaluator: Freiling, Felix
Date of oral examination: 30 April 2009
Publication language: English
Institution: School of Business Informatics and Mathematics > Praktische Informatik I (Freiling 2005-2010)
Subject: 004 Computer science, internet
Classification: CCS: K.6.5 D.4.6 ,
Subject headings (SWD): Software , Computersicherheit , Malware
Keywords (English): Honeypots , Botnets , Malware Analysis
Abstract: Attacks against end-users are one of the negative side effects of today’s networks. The goal of the attacker is to compromise the victim’s machine and obtain control over it. This machine is then used to carry out denial-of-service attacks, to send out spam mails, or for other nefarious purposes. From an attacker’s point of view, this kind of attack is even more efficient if she manages to compromise a large number of machines in parallel. In order to control all these machines, she establishes a "malicious remote control network", i.e., a mechanism that enables an attacker the control over a large number of compromised machines for illicit activities. The most common type of these networks observed so far are so called "botnets". Since these networks are one of the main factors behind current abuses on the Internet, we need to find novel approaches to stop them in an automated and efficient way. In this thesis we focus on this open problem and propose a general root cause methodology to stop malicious remote control networks. The basic idea of our method consists of three steps. In the first step, we use "honeypots" to collect information. A honeypot is an information system resource whose value lies in unauthorized or illicit use of that resource. This technique enables us to study current attacks on the Internet and we can for example capture samples of autonomous spreading malware ("malicious software") in an automated way. We analyze the collected data to extract information about the remote control mechanism in an automated fashion. For example, we utilize an automated binary analysis tool to find the Command & Control (C&C) server that is used to send commands to the infected machines. In the second step, we use the extracted information to infiltrate the malicious remote control networks. This can for example be implemented by impersonating as a bot and infiltrating the remote control channel. Finally, in the third step we use the information collected during the infiltration phase to mitigate the network, e.g., by shutting down the remote control channel such that the attacker cannot send commands to the compromised machines. In this thesis we show the practical feasibility of this method. We examine different kinds of malicious remote control networks and discuss how we can track all of them in an automated way. As a first example, we study botnets that use a central C&C server: We illustrate how the three steps can be implemented in practice and present empirical measurement results obtained on the Internet. Second, we investigate botnets that use a peer-to-peer based communication channel. Mitigating these botnets is harder since no central C&C server exists which could be taken offline. Nevertheless, our methodology can also be applied to this kind of networks and we present empirical measurement results substantiating our method. Third, we study fast-flux service networks. The idea behind these networks is that the attacker does not directly abuse the compromised machines, but uses them to establish a proxy network on top of these machines to enable a robust hosting infrastructure. Our method can be applied to this novel kind of malicious remote control networks and we present empirical results supporting this claim. We anticipate that the methodology proposed in this thesis can also be used to track and mitigate other kinds of malicious remote control networks.
Translation of the title: Verfolgen und Abschwächen von Malicious Remote Control Networks (German)
Translation of the abstract: Angriffe gegen Nutzer sind einer der negativen Seiteneffekte heutiger Netze. Das Ziel eines Angreifers ist es, die Maschine des Opfers zu kompromittieren und Kontrolle über diese zu erlangen. Die Maschine wird dann dazu benutzt, Denial-of-Service Angriffe durchzuführen, Spam-Nachrichten zu verschicken oder für weitere schädliche Zwecke. Aus der Sicht eines Angreifers sind solche Angriffe noch effizienter, wenn er es schafft, eine große Anzahl an Maschinen gleichzeitig zu kompromittieren. Um alle diese Maschinen kontrollieren zu können, setzt der Angreifer ein "malicious remote control network" auf, das heisst einen Mechanismus, der es dem Angreifer erlaubt, eine große Anzahl an kompromittierten Maschinen zu kontrollieren, um diese für rechtswidrige Aktionen zu benutzen. Die bekannteste Art dieser Netze sind sogenannte "Botnetze". Weil diese Netze einer der Hauptfaktoren derzeitiger Missbräuche im Internet sind, benötigen wir neuartige Ansätze, um sie in einem automatisierten und effizienten Prozess stoppen zu können. In dieser Arbeit konzentrieren wir uns auf dieses offene Problem und stellen eine allgemeine Methodik vor, um die Grundursache hinter "malicious remote control networks" zu stoppen. Die Grundidee unserer Methodik besteht aus drei Schritten. Im ersten Schritt benutzen wir "Honeypots". Ein Honeypot ist ein Informationssystem, dessen Funktion darin besteht, von Angreifern auf unerlaubte oder nicht autorisierte Weise benutzt zu werden. Diese Technik erlaubt es uns, gegenwärtige Angriffe im Internet zu erforschen und wir können beispielsweise Kopien von Schadsoftware ("malware"), die sich selbständig verbreitet, in einem automatisierten Prozess sammeln. Wir analysieren die gesammelten Daten in einem automatisierten Verfahren, um Informationen über den Fernsteuerungsmechanismus zu extrahieren. Wir benutzen beispielsweise ein automatisiertes Programm zur Analyse von Binärdateien, um den "Command & Control" (C&C) Server zu finden, mit dessen Hilfe Kommandos zu den infizierten Maschinen gesendet werden. Im zweiten Schritt benutzen wir die extrahierten Informationen, um das "malicious remote control network" zu infiltrieren. Dies kann beispielsweise umgesetzt werden, indem wir das Verhalten eines Bots simulieren und uns in den Fernsteuerungskanal einschleusen. Letztendlich benutzen wir im dritten Schritt die in der Infiltrierungsphase gesammelten Informationen, um das Netz abzuschwächen. Dies geschieht beispielsweise, indem der Kommunikationskanal geschlossen wird, so dass der Angreifer keine Befehle mehr zu den kompromittierten Maschinen senden kann. In dieser Arbeit demonstrieren wir die praktische Umsetzbarkeit der vorgeschlagenen Methodik. Wir untersuchen verschiedene Typen von "malicious remote control networks" und erörtern, wie wir alle auf automatisierte Art und Weise aufspüren können. Als erstes Beispiel untersuchen wir Botnetze mit einem zentralen C&C-Server: Wir erläutern, wie die vorgeschlagenen drei Schritte in der Praxis umgesetzt werden können und präsentieren empirische Messergebnisse, die im Internet gesammelt wurden. Zweitens erforschen wir Botnetze mit einem Peer-to-Peer-basierten Kommunikationskanal. Eine Abschwächung dieser Botnetze ist schwieriger, da kein zentraler C&C-Server existiert, der abgeschaltet werden könnte. Dennoch kann unsere Methodik auch auf diese Art von Netzen angewandt werden und wir stellen empirische Messergebnisse vor, die unsere Methode untermauern. Als dritten Fall analysieren wir "fast-flux service networks". Die Idee hinter diesen Netzen ist, dass der Angreifer die kompromittierten Maschinen nicht direkt missbraucht. Stattdessen benutzt er sie dazu, ein Proxy-Netzwerk mit Hilfe dieser Maschinen aufzubauen, das dann eine robuste Hostinginfrastruktur ermöglicht. Unsere Methodik kann auch auf diese neuartige Art von "malicious remote control networks" angewandt werden und wir präsentieren empirische Ergebnisse, die diese Behauptung bestätigen. Wir erwarten, daß die in dieser Arbeit vorgeschlagene Methodik auch dazu benutzt werden kann, weitere Arten von "malicious remote control networks" zu verfolgen und abzuschwächen. (German)
Additional information:




Das Dokument wird vom Publikationsserver der Universitätsbibliothek Mannheim bereitgestellt.




Metadata export


Citation


+ Search Authors in

+ Download Statistics

Downloads per month over past year

View more statistics



You have found an error? Please let us know about your desired correction here: E-Mail


Actions (login required)

Show item Show item