owasp stammtisch frankfurt sowas wie botnetze die ......2015/05/25 · owasp agenda gefahren und...
TRANSCRIPT
Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
OWASP Stammtisch FrankfurtSowas wie Botnetze – Die dunkle Gefahr der Zombie Armee
Marius Klimmek
Referent
Deloitte & Touche GmbH
28.05.2015
OWASP
Agenda
Gefahren und Grundlagen von Botnetzen
Newsflash
Botnetz Typen
Evolution der Botnetze
Vorstellung Zeus GameOver
Framework
Skripte
Demonstration
2
OWASP
BotnetzeGefahren und Grundlagen von Botnetzen
3
OWASP
Lifecycle eines Bots
4
Quelle: http://wiki.cas.mcmaster.ca/index.php/Bots_%26_Botnets
OWASP
Gefahren durch Botnetze
Distributed Denial of Service
Spam-Mails, insbesondere Phishing-Mails
Spionage, Spyware
Betrug, Adware, Klickbetrug
Bitcoins, Diebstahl sowie Bitcoin-Mining
5
OWASP
Grundlagen von Botnetzen
6
Quelle: https://de.wikipedia.org/wiki/Botnet
OWASP
BotnetzeNewsflash
7
OWASP
Newsflash
8
Quelle: https://www.elsevier.com/books/botnets/bradley/978-1-59749-135-8
OWASP
Newsflash
9
Quelle: https://www.heise.de
OWASP
Newsflash
10Quelle: https://www.heise.de
OWASP
Newsflash
11
Quelle: https://www.heise.de
OWASP
Newsflash
12Quelle: https://www.heise.de
OWASP
Newsflash
13
Quelle: https://www.us-cert.gov/
OWASP
Newsflash
14
Quelle: https://www.fbi.gov
OWASP
Newsflash
15Quelle: https://www.heise.de
OWASP
BotnetzeBotnetz Typen
16
OWASP
Botnetz Typen
17
Bot/Zombie
Bots führen Angriffe aus
Rechner werden ausspioniert
Master/C&C-Server/CnC-Server/C2-Server
Hat die Kontrolle über das komplette Botnetz
Verteilt Befehle
Superbot/Proxybot
Mittelschicht zwischen Bot und Master
Absicherung des Masters
Datensammelstelle
OWASP
Botnetz Typen
18
Bootstrap/Rendevouz-Point
Anlaufstelle von Bots
Liste mit Bots steht zur Verteilung bereit
Target/Opfer
Angriffsvektoren
OWASP
BotnetzeEvolution der Botnetze
19
OWASP
Evolution der Botnetze
20
OWASP
Evolution der Botnetze
21
OWASP
Evolution der Botnetze
22
OWASP
Evolution der Botnetze
23
OWASP
Evolution der Botnetze
24
OWASP
Evolution der Botnetze
25
OWASP
Evolution der Botnetze
26
OWASP
Evolution der Botnetze
27
OWASP
Evolution der Botnetze
28
OWASP
Evolution der Botnetze
29
OWASP
Evolution der Botnetze
30
+DGA
+DGA
+DGA
+DGA
+DGA
OWASP
Evolution der Botnetze
31
+DGA & Rating
+DGA & Rating
+DGA & Rating
+DGA & Rating
+DGA & Rating
OWASP
BotnetzeVorstellung Zeus GameOver
32
OWASP
Ausbreitung
33
Quelle: http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/
OWASP
Unsere Erde bei Nacht vs. Ausbreitung II
34
Quelle: http://images.die-erde.com/erde/earthlights2_dmsp_big.jpe
OWASP
Visuelle Darstellung
35
Quelle: http://krebsonsecurity.com/wp-content/uploads/2014/06/gameoverp2p.png
OWASP
Netzwerktopologie I
36
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
OWASP
Netzwerktopologie II
37
OWASP
Funktionsweise
38
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
OWASP
Peer-to-Peer Netzwerk Aufbau
39
Quelle: http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/
OWASP
Peer-to-Peer Netzwerkgeschwindigkeit
40
Quelle: https://dl.acm.org/citation.cfm?id=1698822.1698830
OWASP
Peer-to-Peer Nachricht I
41
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
OWASP
Peer-to-Peer Nachricht II
42
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
OWASP
Peer-to-Peer CMD Befehle
43
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
OWASP
Peer-to-Peer Header
44
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
OWASP
Peer-to-Peer Version Response Header
45
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
OWASP
Peer-to-Peer Peer List Response Header
46
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
OWASP
Peer-to-Peer Data Response Header
47
Quelle: http://www.cert.pl//PDF/2013-06-p2p-rap_en.pdf
OWASP
BotnetzeFramework
48
OWASP
Netzwerk Aufbau
49
OWASP
Klassendiagramm I
50
OWASP
Klassendiagramm II
51
OWASP
Ablaufdiagramm
52
OWASP
BotnetzeSkripte
53
OWASP
Framework
54
Fluctuations Model
Statischtiche Mittel zur Veränderung des Botnetzverhalten
Downtime, Onlinetime, On-Off Switcher
Botnet Configuration
Erstellen von Botnetzgruppen
Botnet Simulator
Variablen können vordefiniert werden
Dynamische Handhabung
OWASP
Lua
55
Init()
Wird beim Programmstart geladen
Connected()
Wird geladen, sobald der Bot “Online” geht
ProcessCommand()
Falls eine Nachricht ankommt, kann hier reagiert werden
OWASP
BotnetzeDemonstration
56
OWASP
Demonstration
57
OWASP
It‘s time for Questions
58
Quelle: https://sophosnews.files.wordpress.com/2012/03/botguy.jpg%3Fw%3D500%26h%3D375