Page 1
Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
OWASP Stammtisch FrankfurtSowas wie Botnetze – Die dunkle Gefahr der Zombie Armee
Marius Klimmek
Referent
Deloitte & Touche GmbH
[email protected]
28.05.2015
Page 2
OWASP
Agenda
Gefahren und Grundlagen von Botnetzen
Newsflash
Botnetz Typen
Evolution der Botnetze
Vorstellung Zeus GameOver
Framework
Skripte
Demonstration
2
Page 3
OWASP
BotnetzeGefahren und Grundlagen von Botnetzen
3
Page 4
OWASP
Lifecycle eines Bots
4
Quelle: http://wiki.cas.mcmaster.ca/index.php/Bots_%26_Botnets
Page 5
OWASP
Gefahren durch Botnetze
Distributed Denial of Service
Spam-Mails, insbesondere Phishing-Mails
Spionage, Spyware
Betrug, Adware, Klickbetrug
Bitcoins, Diebstahl sowie Bitcoin-Mining
5
Page 6
OWASP
Grundlagen von Botnetzen
6
Quelle: https://de.wikipedia.org/wiki/Botnet
Page 7
OWASP
BotnetzeNewsflash
7
Page 8
OWASP
Newsflash
8
Quelle: https://www.elsevier.com/books/botnets/bradley/978-1-59749-135-8
Page 9
OWASP
Newsflash
9
Quelle: https://www.heise.de
Page 10
OWASP
Newsflash
10Quelle: https://www.heise.de
Page 11
OWASP
Newsflash
11
Quelle: https://www.heise.de
Page 12
OWASP
Newsflash
12Quelle: https://www.heise.de
Page 13
OWASP
Newsflash
13
Quelle: https://www.us-cert.gov/
Page 14
OWASP
Newsflash
14
Quelle: https://www.fbi.gov
Page 15
OWASP
Newsflash
15Quelle: https://www.heise.de
Page 16
OWASP
BotnetzeBotnetz Typen
16
Page 17
OWASP
Botnetz Typen
17
Bot/Zombie
Bots führen Angriffe aus
Rechner werden ausspioniert
Master/C&C-Server/CnC-Server/C2-Server
Hat die Kontrolle über das komplette Botnetz
Verteilt Befehle
Superbot/Proxybot
Mittelschicht zwischen Bot und Master
Absicherung des Masters
Datensammelstelle
Page 18
OWASP
Botnetz Typen
18
Bootstrap/Rendevouz-Point
Anlaufstelle von Bots
Liste mit Bots steht zur Verteilung bereit
Target/Opfer
Angriffsvektoren
Page 19
OWASP
BotnetzeEvolution der Botnetze
19
Page 20
OWASP
Evolution der Botnetze
20
Page 21
OWASP
Evolution der Botnetze
21
Page 22
OWASP
Evolution der Botnetze
22
Page 23
OWASP
Evolution der Botnetze
23
Page 24
OWASP
Evolution der Botnetze
24
Page 25
OWASP
Evolution der Botnetze
25
Page 26
OWASP
Evolution der Botnetze
26
Page 27
OWASP
Evolution der Botnetze
27
Page 28
OWASP
Evolution der Botnetze
28
Page 29
OWASP
Evolution der Botnetze
29
Page 30
OWASP
Evolution der Botnetze
30
+DGA
+DGA
+DGA
+DGA
+DGA
Page 31
OWASP
Evolution der Botnetze
31
+DGA & Rating
+DGA & Rating
+DGA & Rating
+DGA & Rating
+DGA & Rating
Page 32
OWASP
BotnetzeVorstellung Zeus GameOver
32
Page 33
OWASP
Ausbreitung
33
Quelle: http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/
Page 34
OWASP
Unsere Erde bei Nacht vs. Ausbreitung II
34
Quelle: http://images.die-erde.com/erde/earthlights2_dmsp_big.jpe
Page 35
OWASP
Visuelle Darstellung
35
Quelle: http://krebsonsecurity.com/wp-content/uploads/2014/06/gameoverp2p.png
Page 36
OWASP
Netzwerktopologie I
36
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
Page 37
OWASP
Netzwerktopologie II
37
Page 38
OWASP
Funktionsweise
38
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
Page 39
OWASP
Peer-to-Peer Netzwerk Aufbau
39
Quelle: http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/
Page 40
OWASP
Peer-to-Peer Netzwerkgeschwindigkeit
40
Quelle: https://dl.acm.org/citation.cfm?id=1698822.1698830
Page 41
OWASP
Peer-to-Peer Nachricht I
41
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
Page 42
OWASP
Peer-to-Peer Nachricht II
42
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
Page 43
OWASP
Peer-to-Peer CMD Befehle
43
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
Page 44
OWASP
Peer-to-Peer Header
44
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
Page 45
OWASP
Peer-to-Peer Version Response Header
45
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
Page 46
OWASP
Peer-to-Peer Peer List Response Header
46
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
Page 47
OWASP
Peer-to-Peer Data Response Header
47
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
Page 48
OWASP
BotnetzeFramework
48
Page 49
OWASP
Netzwerk Aufbau
49
Page 50
OWASP
Klassendiagramm I
50
Page 51
OWASP
Klassendiagramm II
51
Page 52
OWASP
Ablaufdiagramm
52
Page 53
OWASP
BotnetzeSkripte
53
Page 54
OWASP
Framework
54
Fluctuations Model
Statischtiche Mittel zur Veränderung des Botnetzverhalten
Downtime, Onlinetime, On-Off Switcher
Botnet Configuration
Erstellen von Botnetzgruppen
Botnet Simulator
Variablen können vordefiniert werden
Dynamische Handhabung
Page 55
OWASP
Lua
55
Init()
Wird beim Programmstart geladen
Connected()
Wird geladen, sobald der Bot “Online” geht
ProcessCommand()
Falls eine Nachricht ankommt, kann hier reagiert werden
Page 56
OWASP
BotnetzeDemonstration
56
Page 57
OWASP
Demonstration
57
Page 58
OWASP
It‘s time for Questions
58
Quelle: https://sophosnews.files.wordpress.com/2012/03/botguy.jpg%3Fw%3D500%26h%3D375