Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation

OWASP

http://www.owasp.org

OWASP Stammtisch FrankfurtSowas wie Botnetze – Die dunkle Gefahr der Zombie Armee

Marius Klimmek

Referent

Deloitte & Touche GmbH

mklimmek@deloitte.de

28.05.2015

OWASP

Agenda

Gefahren und Grundlagen von Botnetzen

Newsflash

Botnetz Typen

Evolution der Botnetze

Vorstellung Zeus GameOver

Framework

Skripte

Demonstration

2

OWASP

BotnetzeGefahren und Grundlagen von Botnetzen

3

OWASP

Lifecycle eines Bots

4

Quelle: http://wiki.cas.mcmaster.ca/index.php/Bots_%26_Botnets

OWASP

Gefahren durch Botnetze

Distributed Denial of Service

Spam-Mails, insbesondere Phishing-Mails

Spionage, Spyware

Betrug, Adware, Klickbetrug

Bitcoins, Diebstahl sowie Bitcoin-Mining

5

OWASP

Grundlagen von Botnetzen

6

Quelle: https://de.wikipedia.org/wiki/Botnet

OWASP

BotnetzeNewsflash

7

OWASP

Newsflash

8

Quelle: https://www.elsevier.com/books/botnets/bradley/978-1-59749-135-8

OWASP

Newsflash

9

Quelle: https://www.heise.de

OWASP

Newsflash

10Quelle: https://www.heise.de

OWASP

Newsflash

11

Quelle: https://www.heise.de

OWASP

Newsflash

12Quelle: https://www.heise.de

OWASP

Newsflash

13

Quelle: https://www.us-cert.gov/

OWASP

Newsflash

14

Quelle: https://www.fbi.gov

OWASP

Newsflash

15Quelle: https://www.heise.de

OWASP

BotnetzeBotnetz Typen

16

OWASP

Botnetz Typen

17

Bot/Zombie

Bots führen Angriffe aus

Rechner werden ausspioniert

Master/C&C-Server/CnC-Server/C2-Server

Hat die Kontrolle über das komplette Botnetz

Verteilt Befehle

Superbot/Proxybot

Mittelschicht zwischen Bot und Master

Absicherung des Masters

Datensammelstelle

OWASP

Botnetz Typen

18

Bootstrap/Rendevouz-Point

Anlaufstelle von Bots

Liste mit Bots steht zur Verteilung bereit

Target/Opfer

Angriffsvektoren

OWASP

BotnetzeEvolution der Botnetze

19

OWASP

Evolution der Botnetze

20

OWASP

Evolution der Botnetze

21

OWASP

Evolution der Botnetze

22

OWASP

Evolution der Botnetze

23

OWASP

Evolution der Botnetze

24

OWASP

Evolution der Botnetze

25

OWASP

Evolution der Botnetze

26

OWASP

Evolution der Botnetze

27

OWASP

Evolution der Botnetze

28

OWASP

Evolution der Botnetze

29

OWASP

Evolution der Botnetze

30

+DGA

+DGA

+DGA

+DGA

+DGA

OWASP

Evolution der Botnetze

31

+DGA & Rating

+DGA & Rating

+DGA & Rating

+DGA & Rating

+DGA & Rating

OWASP

BotnetzeVorstellung Zeus GameOver

32

OWASP

Ausbreitung

33

Quelle: http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/

OWASP

Unsere Erde bei Nacht vs. Ausbreitung II

34

Quelle: http://images.die-erde.com/erde/earthlights2_dmsp_big.jpe

OWASP

Visuelle Darstellung

35

Quelle: http://krebsonsecurity.com/wp-content/uploads/2014/06/gameoverp2p.png

OWASP

Netzwerktopologie I

36

Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf

OWASP

Netzwerktopologie II

37

OWASP

Funktionsweise

38

Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf

OWASP

Peer-to-Peer Netzwerk Aufbau

39

Quelle: http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/

OWASP

Peer-to-Peer Netzwerkgeschwindigkeit

40

Quelle: https://dl.acm.org/citation.cfm?id=1698822.1698830

OWASP

Peer-to-Peer Nachricht I

41

Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf

OWASP

Peer-to-Peer Nachricht II

42

Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf

OWASP

Peer-to-Peer CMD Befehle

43

Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf

OWASP

Peer-to-Peer Header

44

Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf

OWASP

Peer-to-Peer Version Response Header

45

Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf

OWASP

Peer-to-Peer Peer List Response Header

46

Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf

OWASP

Peer-to-Peer Data Response Header

47

Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf

OWASP

BotnetzeFramework

48

OWASP

Netzwerk Aufbau

49

OWASP

Klassendiagramm I

50

OWASP

Klassendiagramm II

51

OWASP

Ablaufdiagramm

52

OWASP

BotnetzeSkripte

53

OWASP

Framework

54

Fluctuations Model

Statischtiche Mittel zur Veränderung des Botnetzverhalten

Downtime, Onlinetime, On-Off Switcher

Botnet Configuration

Erstellen von Botnetzgruppen

Botnet Simulator

Variablen können vordefiniert werden

Dynamische Handhabung

OWASP

Lua

55

Init()

Wird beim Programmstart geladen

Connected()

Wird geladen, sobald der Bot “Online” geht

ProcessCommand()

Falls eine Nachricht ankommt, kann hier reagiert werden

OWASP

BotnetzeDemonstration

56

OWASP

Demonstration

57

OWASP

It‘s time for Questions

58

Quelle: https://sophosnews.files.wordpress.com/2012/03/botguy.jpg%3Fw%3D500%26h%3D375