Das kontinuierliche Angebotswachstum im Internet wird von der steigenden Anzahl an Hackerattacken, sowie Einbrüchen in fremde Computersysteme, begleitet. Die Motivation für schädliche Aktivitäten hat sich in den letzten Jahren signifikant verändert: von Vandalismus und Anerkennung in der Hackcommunity bis hin zu Attacken und Einbrüchen um einen finanziellen Nutzen daraus zu ziehen. Diese Veränderung wurde durch die immer besser entwickelten Tools und Methoden um einen Angriff auszuführen gekennzeichnet.
Botnetze sind derzeit eines der größten Gefahren im Internet. Ein Botnetz ist ein Zusammenschluss von mehreren infizierten Clients, welche in der Lage sind Befehle in einer koordinierten Art und Weise entgegenzunehmen.
Die Verwendung von Tausenden infizierten Rechner, um zum Beispiel eine Distributed Denial of Service Attacke gegen Unternehmens - oder Regierungsinternetressourcen auszuführen, ist zu einem üblichen und gefährlichen Trend geworden. Die Besitzer der kompromittierten Clients sind typischerweise als User mit niedrigem Sicherheitsbewusstsein
profiliert.
Übersicht über die Diplomarbeit:
Diese Diplomarbeit repräsentiert eine Arbeit über das Thema Botnetze, welche die Erläuterung verschiedener Technologien zum Ziel hat. Sie versucht, einen kurzen Einblick in die schier grenzlosen Möglichkeiten zu bieten, die durch ein Botnetz geboten werden.
Im Praxisteil wird ein eigenes Botnetz implementiert und der
Datenverkehr zwischen Bot und Server analysiert.
Inhaltsverzeichnis
1 Einleitung
1.1 Einführung in das Thema
1.2 Motivation
1.3 Aufbau der Arbeit
2 Übersicht
2.1 Geschichte der Botnetztechnologie
2.1.1 GM
2.1.2 EggDrop
2.1.3 Pretty Park
2.1.4 SubSeven Trojan/Bot
2.1.5 GTBot
2.1.6 SDBot
2.1.7 AgoBot
2.1.8 SpyBot
2.1.9 RBot
2.1.10 PolyBot
2.1.11 MYTOB
2.1.12 MetaFisher
2.1.13 Storm Worm
2.2 Täter im Hintergrund
2.2.1 Thr34t_Krew
2.2.2 Axel Gembe
2.2.3 Jay Echouafni, Jeanson James Ancheta
2.2.4 Anthony Scott Clark
2.2.5 Christopher Maxwell
3 Einführung in Botnetze
3.1 Was ist ein Botnetz?
3.1.1 Finanzielle Aspekte von Botnetzen
3.1.2 Modulares Design
3.1.3 Botnetz - Management
3.2 Botnetzeigenschaften
3.2.1 Modularer Programmaufbau
3.2.2 (Gezielte) Verbreitungsmöglichkeiten
3.2.3 „Botnet degradation“
3.3 Botnetz - Statistiken
3.4 Lebenszyklus eines Botclients
3.4.1 Exploitation
3.4.2 Rallying und Botnetzclient sichern
3.4.3 Anweisungsentgegennahme und Updateinstallation
4 Botnetzaktivitäten
4.1 Infizierung von Clients
4.2 DDoS
4.2.1 TCP SYN Flood
4.2.2 Push - Ack
4.2.3 Teardrop
4.2.4 Land
4.2.5 Naptha
4.2.6 UDP Flood
4.2.7 ICMP Flood
4.2.8 Ping of Death
4.2.9 Smurf Attacke
4.2.10 Recursive HTTP (Spidering)
4.2.11 DNS Recursion (Amplification Attacks)
4.3 Installation von Adware und Clicks4Hire
4.4 Spam und Phishing
4.5 Pump - and - Dump Betrug
4.6 Speichern und Verteilen von illegalen Raubkopien
4.7 Ransomware
4.8 Data Mining
4.9 Bots vermieten
4.10 Informationsdiebstahl
4.11 Versteckte Kommunikation
4.12 Ergebnisse berichten
4.13 Beweise vernichten
5 Command and Control Technologien
5.1 IRC
5.1.1 Allgemein
5.1.2 IRC Struktur
5.1.3 IRC - Protokoll
5.1.4 IRC - Netzwerke
5.2 Allgemeinübliche Ports
5.3 IRC C&C
5.4 DNS und C&C
5.4.1 Domain Names
5.4.2 Multihoming
5.5 Alternative Kontrollchannels
5.6 Web - Based C&C Server
5.6.1 Echo - Based
5.6.2 Command Based
5.7 P2P Botnezte
5.8 Instant Messaging C&C
5.9 Drop Zones and FTP - Based C&C
5.10 Advanced DNS - Based Botnets
5.10.1 DynamicDNS
5.10.2 Fastflux DNS
5.11 Superbotnetz
5.12 Verschlüsselung
5.13 Ausblick
6 Bekannte Botnetze
6.1 SDBot
6.1.1 Pseudonamen
6.1.2 Infizierungsvorgang
6.1.3 Infektionsanzeichen
6.1.4 Ausbreitung
6.2 RBot
6.2.1 Pseudonamen
6.2.2 Infizierungsvorgang
6.2.3 Infektionsanzeichen
6.2.4 Ausbreitung
6.3 AgoBot
6.3.1 Pseudonamen
6.3.2 Infizierungsvorgang
6.3.3 Infektionsanzeichen
6.3.4 Ausbreitung
6.4 Conficker
6.4.1 Geschichtlicher Überblick
6.4.2 Infektionsverteilung
6.4.3 Conficker.A
6.4.4 Conficker.B
6.4.5 Conficker.C
6.4.6 Conficker.D
6.4.7 Conficker.E
7 Praxis - Botnetz Implementierung
7.1 Struktur
7.2 IRC - Server installieren, konfigurieren
7.3 Bot Sourcecode modifizieren und installieren
7.4 Analyse der Funktionen
7.4.1 Überblick
7.4.2 Verbindungsaufbau nach Infektion
7.4.3 Befehle
7.4.4 keylog
7.5 Bots im Zusammenhang mit Firewallsystemen
8 Ausblick und Zusammenfassung
8.1 Zusammenfassung
Zielsetzung & Themen
Die Diplomarbeit untersucht Botnetze als eines der größten Sicherheitsrisiken im modernen Internet. Das primäre Ziel der Arbeit ist die Erläuterung der verschiedenen Technologien, die bei Botnetzen zum Einsatz kommen, sowie die Aufdeckung ihrer Funktionsweise. Im Praxisteil wird ein eigenes Botnetz implementiert, um den Datenverkehr zwischen Bot und Server detailliert zu analysieren und Möglichkeiten der Abwehr aufzuzeigen.
- Evolution und Geschichte der Botnetztechnologie
- Lebenszyklus eines Botclients und Infektionsmethoden
- Command and Control (C&C) Technologien
- Analyse bekannter Botnetze (SDBot, RBot, AgoBot, Conficker)
- Praktische Implementierung und Analyse eines eigenen Test-Botnetzes
Auszug aus dem Buch
3.1 Was ist ein Botnetz?
Um von einem Botnetz sprechen zu können müssen folgende zwei Kriterien erfüllt sein:
1. Der Hacker muss in der Lage sein dem Client Befehle ausführen zu lassen, ohne dass sich der Angreifer in das Betriebssystem (Windows, Unix, Mac etc.) einloggen muss.
2. Mehrere Clients müssen in der Lage sein, in einer koordinierten Art und Weise Befehle entgegenzunehmen und auszuführen, um ein gemeinsames Ziel zu erreichen. Dieser Vorgang darf nur wenig oder gar keine Intervention von dem Hacker verlangen.
(vgl. [Sch07])
Erfüllt eine Sammlung/Menge von miteinander vernetzten Computern diese Kriterien, dann handelt es sich um ein Botnetz.
Ein Botnetz ist die Zusammenführung von mehreren Bedrohungen. Das typische Botnetz besteht aus einem Bot Server (meistens ein IRC - Server) und ein oder mehreren Botclients (siehe Abbildung 3.1). Botnetze mit einer Größe von mehreren Hunderten oder ein paar Tausenden Botclients (auch Zombies oder Drones genannt) sind kleine Botnetze. Bei solch einem Umfang kommuniziert der Botherder mit den Clients meistens über einen IRC Channel auf einem Remote Command and Control (C&C) Server.
Zusammenfassung der Kapitel
1 Einleitung: Beschreibt die Bedeutung des Internets und die zunehmende Bedrohung durch Botnetze als kriminelles Werkzeug.
2 Übersicht: Bietet einen historischen Überblick über die Entwicklung von Botnetzen von den Anfängen bis zu bekannten Schädlingen wie Conficker.
3 Einführung in Botnetze: Definiert Botnetze, ihre Eigenschaften, ihren Lebenszyklus und die finanzielle Motivation hinter ihrer Erstellung.
4 Botnetzaktivitäten: Erläutert die verschiedenen kriminellen Einsatzgebiete von Botnetzen wie DDoS-Angriffe, Spam, Phishing und Betrugsmaschen.
5 Command and Control Technologien: Detaillierte Darstellung der Kommunikationsmethoden zwischen Botmaster und infizierten Clients, wie IRC, DNS-Tricks und Web-basierte Server.
6 Bekannte Botnetze: Analysiert spezifische Botnetz-Varianten wie SDBot, RBot, AgoBot und Conficker hinsichtlich ihrer Funktionsweise und Verbreitung.
7 Praxis - Botnetz Implementierung: Dokumentiert den Aufbau eines eigenen Test-Botnetzes in einer kontrollierten Umgebung und die Analyse des Datenverkehrs.
8 Ausblick und Zusammenfassung: Fasst die Ergebnisse der Arbeit zusammen und gibt einen Ausblick auf die zukünftige Entwicklung des "Katz und Maus Spiels" zwischen Angreifern und Sicherheitsexperten.
Schlüsselwörter
Botnetz, Botherder, Zombie, IRC, Command and Control, C&C, DDoS, Malware, Infizierung, Schadcode, Netzwerksicherheit, Conficker, SDBot, RBot, AgoBot
Häufig gestellte Fragen
Worum geht es in dieser Diplomarbeit grundsätzlich?
Die Arbeit behandelt das Thema Botnetze als kriminelle Technologie im Internet, ihre Funktionsweise, ihre Verbreitungswege und Möglichkeiten, diese zu analysieren und zu bekämpfen.
Welche zentralen Themenfelder deckt die Arbeit ab?
Die zentralen Themen sind die historische Entwicklung von Bots, die technische Infrastruktur von Botnetzen (C&C-Methoden), die Aktivitäten (z.B. DDoS, Spam) sowie eine detaillierte technische Analyse bekannter Botnetz-Familien.
Was ist das primäre Ziel der Arbeit?
Ziel ist es, ein tiefes Verständnis für die Arbeitsweise von Botnetzen zu vermitteln und durch die praktische Implementierung einer Testumgebung die Angriffsmuster nachvollziehbar zu machen.
Welche wissenschaftliche Methode wurde verwendet?
Die Arbeit stützt sich auf eine theoretische Literaturanalyse sowie einen praktischen Teil, bei dem eine Testumgebung aufgebaut und der Datenverkehr zwischen den Komponenten (Bot und Server) mittels Paketanalyse untersucht wurde.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in die theoretische Basis (Struktur, Lebenszyklus), eine detaillierte Beschreibung der Botnetz-Aktivitäten, eine Übersicht der Command-and-Control-Technologien und eine Fallstudie zu spezifischen, bekannten Botnetzen.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die zentralen Schlagworte sind Botnetz, Botherder, Zombie, Command and Control, DDoS, Schadcode und Netzwerksicherheit.
Was unterscheidet moderne Botnetze wie Conficker von frühen Bot-Entwicklungen?
Frühe Bots waren oft einfache Werkzeuge für IRC-Kanal-Verwaltung. Moderne Varianten wie Conficker nutzen komplexe, modulare Strukturen, automatisierte Verbreitung via Sicherheitslücken und ausgeklügelte Verschleierungstechniken (z.B. Fastflux, P2P-Protokolle), um ihre Entdeckung zu erschweren.
Welchen Erkenntnisgewinn bietet der Praxisteil für das Verständnis von Botnetzen?
Der Praxisteil verdeutlicht, wie der Verbindungsaufbau (Handshake) und der Befehlsaustausch in einem Botnetz konkret abläuft, was das Verständnis für die Möglichkeiten der Netzwerküberwachung und Paket-Analyse in einem realen Angriffsszenario signifikant erhöht.
- Arbeit zitieren
- Dominik Wagner (Autor:in), 2010, IT-Security und Botnetze. Aktuelle Angriffs- und Abwehrmethoden, München, GRIN Verlag, https://www.hausarbeiten.de/document/173170
