IT-Security und Botnetze. Aktuelle Angriffs- und Abwehrmethoden

Inhaltsverzeichnis

1 Einleitung

1.1 Einführung in das Thema

1.2 Motivation

1.3 Aufbau der Arbeit

2 Übersicht

2.1 Geschichte der Botnetztechnologie

2.1.1 GM

2.1.2 EggDrop

2.1.3 Pretty Park

2.1.4 SubSeven Trojan/Bot

2.1.5 GTBot

2.1.6 SDBot

2.1.7 AgoBot

2.1.8 SpyBot

2.1.9 RBot

2.1.10 PolyBot

2.1.11 MYTOB

2.1.12 MetaFisher

2.1.13 Storm Worm

2.2 Täter im Hintergrund

2.2.1 Thr34t_Krew

2.2.2 Axel Gembe

2.2.3 Jay Echouafni, Jeanson James Ancheta

2.2.4 Anthony Scott Clark

2.2.5 Christopher Maxwell

3 Einführung in Botnetze

3.1 Was ist ein Botnetz?

3.1.1 Finanzielle Aspekte von Botnetzen

3.1.2 Modulares Design

3.1.3 Botnetz - Management

3.2 Botnetzeigenschaften

3.2.1 Modularer Programmaufbau

3.2.2 (Gezielte) Verbreitungsmöglichkeiten

3.2.3 „Botnet degradation“

3.3 Botnetz - Statistiken

3.4 Lebenszyklus eines Botclients

3.4.1 Exploitation

3.4.2 Rallying und Botnetzclient sichern

3.4.3 Anweisungsentgegennahme und Updateinstallation

4 Botnetzaktivitäten

4.1 Infizierung von Clients

4.2 DDoS

4.2.1 TCP SYN Flood

4.2.2 Push - Ack

4.2.3 Teardrop

4.2.4 Land

4.2.5 Naptha

4.2.6 UDP Flood

4.2.7 ICMP Flood

4.2.8 Ping of Death

4.2.9 Smurf Attacke

4.2.10 Recursive HTTP (Spidering)

4.2.11 DNS Recursion (Amplification Attacks)

4.3 Installation von Adware und Clicks4Hire

4.4 Spam und Phishing

4.5 Pump - and - Dump Betrug

4.6 Speichern und Verteilen von illegalen Raubkopien

4.7 Ransomware

4.8 Data Mining

4.9 Bots vermieten

4.10 Informationsdiebstahl

4.11 Versteckte Kommunikation

4.12 Ergebnisse berichten

4.13 Beweise vernichten

5 Command and Control Technologien

5.1 IRC

5.1.1 Allgemein

5.1.2 IRC Struktur

5.1.3 IRC - Protokoll

5.1.4 IRC - Netzwerke

5.2 Allgemeinübliche Ports

5.3 IRC C&C

5.4 DNS und C&C

5.4.1 Domain Names

5.4.2 Multihoming

5.5 Alternative Kontrollchannels

5.6 Web - Based C&C Server

5.6.1 Echo - Based

5.6.2 Command Based

5.7 P2P Botnezte

5.8 Instant Messaging C&C

5.9 Drop Zones and FTP - Based C&C

5.10 Advanced DNS - Based Botnets

5.10.1 DynamicDNS

5.10.2 Fastflux DNS

5.11 Superbotnetz

5.12 Verschlüsselung

5.13 Ausblick

6 Bekannte Botnetze

6.1 SDBot

6.1.1 Pseudonamen

6.1.2 Infizierungsvorgang

6.1.3 Infektionsanzeichen

6.1.4 Ausbreitung

6.2 RBot

6.2.1 Pseudonamen

6.2.2 Infizierungsvorgang

6.2.3 Infektionsanzeichen

6.2.4 Ausbreitung

6.3 AgoBot

6.3.1 Pseudonamen

6.3.2 Infizierungsvorgang

6.3.3 Infektionsanzeichen

6.3.4 Ausbreitung

6.4 Conficker

6.4.1 Geschichtlicher Überblick

6.4.2 Infektionsverteilung

6.4.3 Conficker.A

6.4.4 Conficker.B

6.4.5 Conficker.C

6.4.6 Conficker.D

6.4.7 Conficker.E

7 Praxis - Botnetz Implementierung

7.1 Struktur

7.2 IRC - Server installieren, konfigurieren

7.3 Bot Sourcecode modifizieren und installieren

7.4 Analyse der Funktionen

7.4.1 Überblick

7.4.2 Verbindungsaufbau nach Infektion

7.4.3 Befehle

7.4.4 keylog

7.5 Bots im Zusammenhang mit Firewallsystemen

8 Ausblick und Zusammenfassung

8.1 Zusammenfassung

Zielsetzung & Themen

Die Diplomarbeit untersucht Botnetze als eines der größten Sicherheitsrisiken im modernen Internet. Das primäre Ziel der Arbeit ist die Erläuterung der verschiedenen Technologien, die bei Botnetzen zum Einsatz kommen, sowie die Aufdeckung ihrer Funktionsweise. Im Praxisteil wird ein eigenes Botnetz implementiert, um den Datenverkehr zwischen Bot und Server detailliert zu analysieren und Möglichkeiten der Abwehr aufzuzeigen.

• Evolution und Geschichte der Botnetztechnologie
• Lebenszyklus eines Botclients und Infektionsmethoden
• Command and Control (C&C) Technologien
• Analyse bekannter Botnetze (SDBot, RBot, AgoBot, Conficker)
• Praktische Implementierung und Analyse eines eigenen Test-Botnetzes

Auszug aus dem Buch

Zusammenfassung der Kapitel

1 Einleitung: Beschreibt die Bedeutung des Internets und die zunehmende Bedrohung durch Botnetze als kriminelles Werkzeug.

2 Übersicht: Bietet einen historischen Überblick über die Entwicklung von Botnetzen von den Anfängen bis zu bekannten Schädlingen wie Conficker.

3 Einführung in Botnetze: Definiert Botnetze, ihre Eigenschaften, ihren Lebenszyklus und die finanzielle Motivation hinter ihrer Erstellung.

4 Botnetzaktivitäten: Erläutert die verschiedenen kriminellen Einsatzgebiete von Botnetzen wie DDoS-Angriffe, Spam, Phishing und Betrugsmaschen.

5 Command and Control Technologien: Detaillierte Darstellung der Kommunikationsmethoden zwischen Botmaster und infizierten Clients, wie IRC, DNS-Tricks und Web-basierte Server.

6 Bekannte Botnetze: Analysiert spezifische Botnetz-Varianten wie SDBot, RBot, AgoBot und Conficker hinsichtlich ihrer Funktionsweise und Verbreitung.

7 Praxis - Botnetz Implementierung: Dokumentiert den Aufbau eines eigenen Test-Botnetzes in einer kontrollierten Umgebung und die Analyse des Datenverkehrs.

8 Ausblick und Zusammenfassung: Fasst die Ergebnisse der Arbeit zusammen und gibt einen Ausblick auf die zukünftige Entwicklung des "Katz und Maus Spiels" zwischen Angreifern und Sicherheitsexperten.

Schlüsselwörter

Botnetz, Botherder, Zombie, IRC, Command and Control, C&C, DDoS, Malware, Infizierung, Schadcode, Netzwerksicherheit, Conficker, SDBot, RBot, AgoBot

Häufig gestellte Fragen

Worum geht es in dieser Diplomarbeit grundsätzlich?

Die Arbeit behandelt das Thema Botnetze als kriminelle Technologie im Internet, ihre Funktionsweise, ihre Verbreitungswege und Möglichkeiten, diese zu analysieren und zu bekämpfen.

Welche zentralen Themenfelder deckt die Arbeit ab?

Die zentralen Themen sind die historische Entwicklung von Bots, die technische Infrastruktur von Botnetzen (C&C-Methoden), die Aktivitäten (z.B. DDoS, Spam) sowie eine detaillierte technische Analyse bekannter Botnetz-Familien.

Was ist das primäre Ziel der Arbeit?

Ziel ist es, ein tiefes Verständnis für die Arbeitsweise von Botnetzen zu vermitteln und durch die praktische Implementierung einer Testumgebung die Angriffsmuster nachvollziehbar zu machen.

Welche wissenschaftliche Methode wurde verwendet?

Die Arbeit stützt sich auf eine theoretische Literaturanalyse sowie einen praktischen Teil, bei dem eine Testumgebung aufgebaut und der Datenverkehr zwischen den Komponenten (Bot und Server) mittels Paketanalyse untersucht wurde.

Was wird im Hauptteil der Arbeit behandelt?

Der Hauptteil gliedert sich in die theoretische Basis (Struktur, Lebenszyklus), eine detaillierte Beschreibung der Botnetz-Aktivitäten, eine Übersicht der Command-and-Control-Technologien und eine Fallstudie zu spezifischen, bekannten Botnetzen.

Welche Schlüsselwörter charakterisieren die Arbeit?

Die zentralen Schlagworte sind Botnetz, Botherder, Zombie, Command and Control, DDoS, Schadcode und Netzwerksicherheit.

Was unterscheidet moderne Botnetze wie Conficker von frühen Bot-Entwicklungen?

Frühe Bots waren oft einfache Werkzeuge für IRC-Kanal-Verwaltung. Moderne Varianten wie Conficker nutzen komplexe, modulare Strukturen, automatisierte Verbreitung via Sicherheitslücken und ausgeklügelte Verschleierungstechniken (z.B. Fastflux, P2P-Protokolle), um ihre Entdeckung zu erschweren.

Welchen Erkenntnisgewinn bietet der Praxisteil für das Verständnis von Botnetzen?

Der Praxisteil verdeutlicht, wie der Verbindungsaufbau (Handshake) und der Befehlsaustausch in einem Botnetz konkret abläuft, was das Verständnis für die Möglichkeiten der Netzwerküberwachung und Paket-Analyse in einem realen Angriffsszenario signifikant erhöht.