UNIVERSITATEA POLITEHNICA...

UNIVERSITATEA POLITEHNICA BUCUREŞTIFacultatea de Electronică, Telecomunica ii i Tehnologia Informa ieiț ș ț

Temă de casă

RE ELE DE CALCULATOARE I INTERNETȚ Ș

Re ele de bo iț ț

Andrei CIORANMaster IISC, AN 2

Bucure ti 2012ș

CUPRINS

1. Introducere..............................................................................................................................31.1. Viru iiș ..................................................................................................................41.2. Viermii.................................................................................................................41.3. Troienii................................................................................................................41.4. Spyware, keylogger-ere i sniffer-ereș .................................................................51.5. Rootkit-uri...........................................................................................................5

2. Apari ia botnet-urilorț .................................................................................................................63. Botnet-urile moderne...............................................................................................................74. Caracteristicile botnet-urilor.....................................................................................................8

4.1. Arhitectura centralizată de comandă i controlș ...................................................84.2. Arhitectura descentralizată de comandă i controlș ............................................104.3. Rolul DNS în botnet-uri.....................................................................................114.4. Metode de împră tiereș ......................................................................................14

4.4.1 Exemplu de propagare – Waledac.............................................................154.4.2 Exemplu de propagare – SymbOS.Exy.C .................................................15

5. Motivele pentru crearea de botnet-uri....................................................................................175.1. Furtul de identitate............................................................................................175.2. Trimiterea de e-mail-uri nesolicitate..................................................................185.3. Fraudarea click-urilor........................................................................................185.4. Atacuri de tip DDOS (Distributed Denial Of Service).........................................19

6. Concluzii................................................................................................................................21Bibliografie.................................................................................................................................22

Andrei CIORAN – Re ele de bo iț ț 2

1. Introducere

Software-ul rău inten ionat, malware pe scurt, a dobândit o pozi ie importantă înț ț stilul modern de via ă. Începând cu primele sisteme programabile au existat abordăriț pentru a le infecta cu software ce con ine malware, dar au avut de multe ori doar unț impact limitat sau local. Succesul Internetului a devenit un punct de plecare pentru infec iile malware pe scară largă, ce afectează milioane de calculatoare din întreagaț lume. Aproape concomitent au devenit populare, re elele de calculatoare deturnateț controlate de la distan ă, a a-numitele botnets. O observa ie critică este că motiva iaț ș ț ț pentru crearea de malware s-a schimbat dramatic în ultimul deceniu. Obiectivul principal nu mai este acela de a ob ine o reputa ie în cadrul unei comunită i restrânseț ț ț de genii IT. Cu Internetul u or accesibil pentru toată lumea i utilizarea pe scară largă aș ș serviciilor financiare online, cum ar fi cumpărături i servicii bancare electronice,ș utilizatorii obi nui i cu cuno tin e tehnice minime au devenit obiective promi ătoareș ț ș ț ț pentru criminali. Câ tigul financiar este acum motiva ia principală pentru crearea deș ț malware.

Ca rezultat, economiile globale de astăzi se confruntă cu o gamă largă de malware care produce pagube însemnate. Dar estimările în ceea ce prive te cât deș însemnate sunt aceste pagube diferă foarte mult. Un raport UIT, oferă o imagine de ansamblu de studii financiare despre malware; prezintă numere de la $US13.2 miliarde pentru economia mondială în 2006 la $US67.2 miliarde pentru întreprinderile din SUA numai în anul 2005. Costul de fraudă prin Adware în 2007 în SUA a fost estimat la $US1 miliard [1]. În timp ce numărul de mostre de malware a crescut într-un ritm exponen ial a lungul ultimilor ani [2], “Computer Economics” a măsurat un declin înț nivelul mondial de atacuri malware asupra întreprinderilor, cu costuri financiare de $US17.5 miliarde în 2004, $US14.2 miliarde în 2005 i $US13.3 miliarde în 2006 [3].ș Precizând motivele lor pentru acest declin, ”Economic Computer” a sus inut că, în ace tiț ș ani, programele antivirus au început să fie folosite pe scară largă în companii i căș obiectivul creatorilor malware-ului s-a mutat de la crearea de ravagii către ob inerea deț câ tig financiar. ș

Diferite termene cum ar fi virus, vierme, troienii, rootkit, i altele au fost stabiliteș pentru a clasifica diferitele tipuri de malware, în func ie de func ionalitate i scop.ț ț ș Următoarea sec iune va oferi o scurtă prezentare generală a acestor diferite tipuri i vaț ș schi a relevanta acestora în contextul botnet-urilor.ț

În ultimii ani, diversitatea de malware a crescut aproape exponen ial. Variante noiț apar în fiecare zi, cu îmbunătă irea constantă a tehnicilor utilizate i un grad ridicat deț ș sofisticare. Un indicator adesea citat de evolu ia malware-ului este numărul deț semnături malware descoperite de producătorii de antiviru i. De exemplu, Symantec aș descoperit în 2009, un total de 2,895,802 noi semnături de malware [4]. Kaspersky a identificat aproximativ 15 milioane e antioane unice de malware în 2009, ceea ceș înseamnă că un e antion necunoscut a fost descoperit aproximativ la fiecare 2 secundeș [5].


Cre terea numărului de probe este o consecin ă a aplicării pe scară largă aș ț conceptul de polimorfism la fi ierele binare de tip malware. Malware-ul polimorf con ineș ț o secventa de cod fixă, ce modifică codul binar în timpul propagării, dar rămâne neschimbat în sine. Malware-ul metamorfic este schimbat în totalitate în cadrul fiecărei încercări de propagare.

Polimorfismul i metamorfismul sunt doar două exemple de tehnici utilizate deș dezvoltatorii i utilizatorii de malware pentru a- i atinge obiectivele. Inten ia principalăș ș ț când vine vorba de dezvoltarea de malware în ziua de azi, este aceea de a ob ine unț beneficiu financiar, în principal prin intermediul conexiunilor cu diverse scheme de fraudă. În general, motivele din spatele creării de malware sunt, de exemplu, beneficiul personal financiar sau material, interesele politice sau, mai rar, doar interes în posibilită ile sale tehnice.ț

1.1. Viru iișUn virus de calculator este un program de calculator care se poate reproduce [6]

i răspândi de la un calculator la altul. Termenul "virus" este, de asemenea, frecvent,ș dar în mod eronat folosit pentru a desemna la alte tipuri de malware, inclusiv, dar nu se limitează la programe de tip adware i spyware, care nu au capacitatea de reproducere.ș Un virus se poate răspândi de la adevărat un calculator la altul (într-o formă de cod executabil), atunci când gazda este luată la calculatorul- intă; de exemplu, deoarece unț utilizator a trimis într-o re ea sau pe Internet, sau a purtat-o pe un suport fizic, cum ar fiț o dischetă, CD, DVD, sau stick USB[7].

1.2. ViermiiSpre deosebire de un virus de calculator, un vierme nu are doar capacitatea de a

se copia la diferite medii, dar este, de asemenea, capabil să se răspândească în mod activ. Un vierme informatic este capabil de a căuta autonom alte computere în cadrul re elei i a le infecta, în cazul în care au fost identificate ca fiind vulnerabile. Acest lucruț ș este de obicei realizat prin mijloace de exploatare a vulnerabilităţilor cunoscute sau necunoscute din sistemul de operare sau din software-ul suplimentar instalat în el. Un vierme nu con ine neapărat rutine distructive sau intruzive care afectează sistemul uneiț victime direct. Unii viermi sunt crea i exclusiv pentru a se răspândi i a stabili în cele dinț ș urmă un canal de comunicare cu o entitate de control. În acest context, ei servesc ca suport activ. Cu toate acestea, trebuie să se ină cont că, în general, viermii dăuneazăț sistemului sau re elei de bază în mod indirect. Prin consumarea de resurse, cum ar fiț puterea de calcul i de bandă de re ea, introduc adesea instabilitate în sistemele gazdă.ș ț Activită ile continue de scanare, în special, consumă o mul ime de resurse i pot afectaț ț ș în mod semnificativ re eaua. ț

1.3. TroieniiÎn timp ce viermii operează în tăcere i autonom, un cal troian este o bucată deș

malware care urmează o abordare diferită. În general, un cal troian ascunde rutine de


malware pretinzând că ar fi software legitim. Pretinzând să au un scop legitim, acestea păcălesc utilizatorul să instaleze software-ul sau să execute codul care con ine calulț troian, software ce încarcă apoi rutine încorporate malware.

1.4. Spyware, keylogger-ere i sniffer-ereșO caracteristică prezentă în mod constant în malware este capacitatea de a

extrage datele direct dintr-un sistem de calcul. Acest lucru este de obicei realizat prin substituirea unor func ii importante la nivelul sistemului. Subgrupurile de malware ceț intră în această categorie sunt numite după activitatea lor. Spyware este un termen generic pentru software-ul scris cu inten ia de extragere de date. Acest lucru poate variaț de la monitorizarea comportamentului unui utilizator pentru optimizarea de anun uri laț forme agresive, cum ar fi furtul de numere de serie pentru software sau alte date sensibile, cum ar fi informa ii despre cardul de credit. Malware-ul care înregistreazăț intrările de la tastatură, în scopul de a captura parole este de obicei numit un keylogger. Instrumentele provenind din domeniul analizei de re ea, care au fost găsite utile într-unț context rău inten ionat, fiind folosite pentru a trage cu urechea la traficul din re ea, înț ț scopul de a ob ine parole, sunt numite sniffere.ț

1.5. Rootkit-uriÎn general, malware populează sistemul victimei în mod silenţios, întotdeauna

încercând să penetreze contul principal al sistemului (contul de root). Chiar dacă efectele complete privind activită ile de malware a unei instante nu pot fi de obiceiț ascunse, malware-ul va încerca să rămână cât mai discret posibil. Există abordări diferite pentru a ascunde astfel de programe în ierarhia sistemului de operare. Un termen frecvent folosit în acest context, este a a-numitul rootkit. În general, un rootkitș este o colec ie de instrumente care ajuta dezvoltatorii să prevină anumite rutine iț ș procese de a fi detectate sau dezactivate. Ideea din spatele unui rootkit este de a asigura prezen a continuă a proceselor proprii sau pentru a men ine accesul la unț ț sistem remote. De obicei, privilegii speciale sau func ionalită i specifice sunt activate peț ț sistemul compromis. Din cauza modului de integrare în sistemul intă, rootkit-urile suntț adesea dificil de îndepărtat.


2. Apari ia botnet-urilorțBot este un termen scurt pentru “robot” i se referă la clien ii dintr-un botnet.ș ț

Acesta este derivat din cuvântul ceh “robota”, ceea ce înseamnă literalmente “muncă”. Denumiri alternative pentru bo i sunt “zombi” sau “trântori”. ț

Din punct de vedere istoric, conceptul de bo i nu a inclus un comportamentț dăunător în mod implicit. Termenul a fost folosit ini ial folosit pentru instantele de controlț amplasate în camerele de chat de pe Internet Relay Chat (IRC), apărut din 1989. Ace tiș bo i au fost capabili să interpreteze comenzi simple, să furnizeze sprijin de administrareț sau să ofere servicii cum ar fi jocuri de chat simplu pentru utilizatori. Primul bot IRC cunoscut este Eggdrop [9], publicat pentru prima dată în 1993 i dezvoltat de atunci.ș Apoi, după lansarea lui Eggdrop, a început să apară malware-ul bazat pe bo ii IRC,ț având aceea i idee de bază, dar fiind create în primul rând în scopul de a ataca al iș ț utilizatori sau chiar servere IRC. La scurt timp după, Denial of Service (DoS) i apoiș Distributed Denial of Service (DDoS) au fost puse în aplicare în aceste boti.

Datorită faptului că sistemele informatice devin disponibile pentru publicul larg, DDoS a devenit mai popular la sfâr itul anilor 1990. Instrumente precum Trin00[10],ș Stacheldraht[11], Shaft[12], i Tribal Flood Network 2000[13] au fost create i optimizateș ș de mai multe surse.

Conceptul de viermi de calculator merge înapoi la 1971, atunci când primul specimen, cunoscut sub numele de Creeper, a fost scris[14]. Acest program se copia între calculatoarele din ARPANET (strămo ul Internetului de azi) i afi a un mesaj peș ș ș ecran, dar întotdeauna a încercat să elimine prezenta sa din computerul sursă. La începutul anilor 1980, viermii au fost proiecta i cu inten ii bune, de exemplu, cu scopulț ț de a notifica alţi utilizatori în re ea (Town Crier Worm) sau de a gestiona capacită ile deț ț calcul pe timp de noapte, atunci când nimeni nu opera cu utilaje (Vampire Worm). În 1988, Morris Worm [14] a apărut în Universitatea Cornell i a avut un impact masivș infectând probabil o zecime din toate computerele de pe internet la acea vreme (în jur de 6.000 de sisteme). Deoarece Morris Worm primit o mul ime de aten ie din parteaț ț mass-media, ideea programelor ce se pot răspândi independent în re elele deț calculatoare a ajuns la urechile publicului larg. Implementări răuvoitoare ale unor viermi au fost identificate la scurt timp după aceste evenimente, unele dintre primele [14] fiind, de exemplu, Father Christmas Worm sau Worms Against Nuclear Killers. Viermii de calculator au fost unul din principalii vectorii de propagare ai primelor botnet-uri.

Odată cu creşterea de instrumente de acces de la distan ă cum ar fi Back Orificeț 2k [15] sau SubSeven [16] la sfâr itul anilor 1990, a fost creat un prototip pentruș conceptul de control asupra botnet-urilor cu un singur calculator. Aceste instrumente con ineau deja func ionalită i, cum ar fi de logarea tastelor apăsate i sniffing-ulț ț ț ș conexiunilor.


Combina ia dintre funcţionalită ile men ionate anterior a dus în cele din urmă laț ț ț conceptul de botnet modern, primele specimene fiind Pretty Park, GTbot, SDBot, Agobot, Spybot, Rbot i mai multe [17].ș

3. Botnet-urile moderne

O defini ie modernă a bot-ului este un concept avansat de software răuț inten ionat care încorporează, de obicei, unul sau mai multe aspecte ale tehnicilorț men ionate anterior, introduse de viru i, viermi, troieni i rootkit-uri pentru înmul ire i deț ș ș ț ș integrare într-un sistem, oferind func ionalitatea compromisă a sistemului atacatorului.ț

O caracteristică definitorie a bo ilor este faptul că, după ce compromite cu succesț sistemul gazdă, se conectează la un server central sau alte ma ini infectate formândș astfel o re ea. Această re ea este numită un botnet. Bo ii oferă o gamă largă deț ț ț caracteristici puse în aplicare de o entitate de control corespunzătoare. Această entitate este de obicei un server de comandă i control de inut de una sau mai multe persoane,ș ț numite botmaster(i) sau botherder(i), care trimit comenzi prin acest server. În func ie deț infrastructura de re ea, bo ii pot fi conecta i i între ei pentru a permite ob inereaț ț ț ș ț structurii dorite. Alternativ, pot exista complet independent, fără a ti de existen a altorș ț bo i. Caracteristicile de modelele de comunicare botnet sunt discutate în detaliu înț sec iunile următoare. Func iile tipice pe care bo ii le furnizează celor ce-i controleazăț ț ț includ: extragerea automată a datelor victimei, distribuirea de spam, capacitatea de a participa la atacuri de tipul DDoS, sau extinderea botnet-ului prin recrutarea de noi bo i.ț Motiva ia pentru aceste activită i este determinată în mare parte de interesele financiareț ț ale [1] botmaster-ilor.


4. Caracteristicile botnet-urilor

Cea mai importantă parte a unui botnet este a a-numita infrastructură deș comandă i control (C & C). Această infrastructură este formată din bo i i dintr-oș ț ș entitate de control care poate fi centralizată sau distribuită. Unul sau mai multe protocoale de comunicare sunt utilizate de către botmaster-i pentru a comanda calculatoarele victimă i pentru a le coordona ac iunile. Seturile de instruc iuni iș ț ț ș func ionalitatea botnet-urilor variază foarte mult în func ie de motiva ia din spateleț ț ț utilizării lor.

Infrastructura de C & C, de obicei, serve te ca singura modalitate de a controlaș bo ii în cadrul botnet-ului. Bo ii trebuie să men ină o conexiune stabilă cu aceastăț ț ț infrastructură în scopul de a func iona eficient. Prin urmare, arhitectura infrastructurii Cț & C determină robuste ea, stabilitatea i timpul de reac ie. În general, sunt folosite douăț ș ț tipuri de arhitectură, una centralizată i una descentralizată. Abordarea centralizată esteș comparabilă cu modelul clasic de re ea client-server. În aceste botnet-uri, bo ii au rolulț ț clien ilor i sunt conecta i la unul sau mai multe servere centrale, de la care primescț ș ț comenzi. Modele descentralizate de C & C, necesită de multe ori ca bo ii să ac ionezeț ț cel pu in par ial autonom. Bo ii păstrează legătura cu al i bo i i emit cererile de comenziț ț ț ț ț ș noi de la botnet. Deoarece nu există nici un set unic de servere de comandă care poate servi ca un punct unic de e ec, botmasterii se pot ascunde în interiorul re elei de bo iș ț ț atunci când dau comenzi, fiind greu de detectat.

Botnet-uri moderne necesită o mare flexibilitate i robuste e pentru a putea să seș ț ocupe de numerele mari de bo i i pentru a maximiza profitul pe care îl vor genera.ț ș Botnet-urile timpurii utilizau, în principal protocoale standard bine-cunoscute, aproape fără modificări. Tehnologia modernă de comandă i control s-a dezvoltat rapid,ș introducând seturi de instruc iuni pe deplin personalizate i utilizând criptografia [18],ț ș [19], [20]. Punerea în aplicare a metodelor de eliminare a botnet-urilor duce la o evolu ieț constantă a protocoalelor de comandă i control.ș

4.1. Arhitectura centralizată de comandă i controlș

Într-o arhitectură centralizată de comandă i control, to i bo ii trebuie săș ț ț stabilească canal de comunicare cu unul, sau câteva puncte, cu un singur sens, a aș cum este ilustrat în figura 4.1.1. Acestea sunt de obicei servere de comandă i control,ș aflate sub controlul botmaster-ului (sau botmaster-ilor). Pentru că to i bo ii se vorț ț conecta la aceste servere, botmaster-ii sunt capabili să comunice cu to i bo ii în acela iț ț ș timp i pot emite comenzi. Acest lucru le oferă un timp scăzut de reac ie i un bun mijlocș ț ș de coordonare. Feedback-ul direct permite monitorizarea facilă a stării re elei i oferăț ș


informa ii despre proprietă ile fundamentale, cum ar fi numărul de bo i activi sauț ț ț distribuirea lor la nivel mondial.

Figura 4.1.1 - un botnet cu arhitectură centralizată de comandă i control.ș

Ideea de botnet-uri provine de la Internet Relay Chat (IRC), un sistem de chat bazat pe text care organizează comunicarea în canale [17]. Protocolul IRC încă serveşte ca o tehnologie importantă pentru controlul botnet-urilor i permite construireaș unei arhitecturi după modelul centralizat. Potrivit “Symantec Internet Security Threat Report - 2009” [6], 31% din serverele centralizate de comandă i control descoperiteș folosesc IRC ca protocol de comunica ie. O importantă proprietate a acestui protocolț este că numărul de poten iali participan i într-un canal de comunica ie nu este limitat.ț ț ț Acest lucru permite colectarea unor numere foarte mari de bo i într-un astfel de canal,ț precum i capacitatea de a-i comanda în paralel, dar permi ând în acela i timp iș ț ș ș controlul individual. Deoarece protocolul IRC este bazat pe text, este u or deș implementat i personalizat. În contextul de botnet, aceste proprietă i oferă o modalitateș ț robustă, testată i u or de implementat pentru a comandat un botnet. Canalele de IRCș ș pentru controlul botnet-urilor sunt fie găzduite pe servere publice IRC sau pe serverele de inute de botmaster. Bo ii pun în aplicare, de obicei, doar un subset al IRC set deț ț instruc iuni, acest lucru fiind suficient pentru a permite operatorului sa controlezeț sistemele i pentru a reduce func ionalitatea la minimul necesar. Dacă propriile servereș ț sunt folosite, se pot face modificări arbitrare ale protocolului cu ajutorul propriilor seturi


de instruc iuni i se poate folosi o metodă de criptare. Acest lucru întăre te botnet-ulț ș ș împotriva contra-măsurilor.

Un standard bine-cunoscut în întreaga lume este HyperText Transfer Protocol (HTTP). HTTP este protocolul cel mai frecvent utilizat pentru livrarea de date peste Internet. Aceasta include con inut care poate fi în eles direct de oameni, cum ar fi site-ț țuri Web i imagini, i, de asemenea, datele binare. Datorită acestor caracteristiciș ș importante, HTTP este disponibil în aproape fiecare re ea conectată la Internet i esteț ș rareori filtrat. Acest lucru este deosebit de interesant pentru operatorii de botnet-uri, deoarece îl face viabil ca protocol de comandă i control. Bo ii HTTP trebuie să emităș ț periodic solicitări pentru instruc iuni către serverul de C&C. Aceste cereri constau deț obicei dintr-un raport de stare, pe baza căruia serverului decide ce comenzi sunt transferate special către acest bot. Serverele dintr-o arhitectură centralizată de comandă i control bazate pe HTTP reprezintă 69% [6] din toate serverele C&C i, prinș ș urmare, sunt cel mai comun mod de a control unui botnet. Un exemplu tipic de botnet-uri ce folosesc HTTP pentru comunicare sunt cele generate cu toolkit-ul comercial “ZeuS”, oferind un instrument pentru construc ia de fi iere binare de comenzi i oț ș ș interfa a grafică cu utilizatorul situată pe serverul C&C. ț

Acest lucru permite crearea de botnet-uri care pot să fie gestionate cu o cantitate mică de aptitudini tehnice. În unele cazuri, un botnet va fi organizat într-o structură mai complexă. De exemplu, în locul unui singur server de C&C poate exista o infrastructură de servere. Această infrastructură are de obicei un design ierarhic i poate include, deș exemplu, servere dedicate pentru împăr irea i controlul boţilor în subgrupuri, similar cuț ș un load-balancer, i mai multe servere pentru livrarea de con inut, cum ar fi abloaneș ț ș pentru spam [21]. Această structură poate include de asemenea diferen ierea bo ilor, deț ț exemplu, cei cu acces direct la Internet ac ionând ca proxy-uri pentru botnet, i ceiț ș ascun i în re ele interne ac ionând ca lucrători [22].ș ț ț

4.2. Arhitectura descentralizată de comandă i controlș

în cadrul arhitecturii descentralizate de comandă i control bo ii comunică printr-oș ț re ea de tip mesh, acest tip de re ea purtând denumirea de peer-to-peer. Cuno tin eleț ț ș ț despre participarea bo ilor sunt distribuite pe întreg teritoriul re elei, din bot în bot. Înț ț consecin ă, informa iile cu privire la botnet în ansamblu nu pot fi ob inute în mod direct,ț ț ț iar comenzile trebuie să fie injectate într-un punct al re elei, urmând a se propagaț automat prin aceasta. De obicei, acest proces are loc fie folosind protocolul de comunica ie în mod direct fie prin înlocuirea soft-ului ce controlează bo ii cu o versiuneț ț nouă ce con ine noile comenzi (în acest caz, bo ii vor schimba versiunea de softț ț folosită, iar cele mai vechi vor fi înlocuite cu versiunea nouă). Introducerea de astfel de actualizări i comenzile în botnet se face de obicei dintr-un punct arbitrar, făcândș detectarea botmaster-ului aproape imposibilă. Acestă caracteristică oferă un grad ridicat de anonimat, monitorizarea activităţilor i a propagării update-urilor prin re ea fiindș ț


foarte dificil de executat. Figura 4.2.1 prezintă o re ea simplă de tip peer-to-peer ceț implementează un botnet cu arhitectură descentralizată de comandă i control. ș

Figura 4.2.1 - un botnet cu arhitectură descentralizată de comandă i controlș

În ceea ce prive te robuste ea, botnet-urile de tip peer-to-peer au avantajul majorș ț că nu depind de nici un server central ce poate fi atacat în mod direct pentru a le elimina. Pe de altă parte propagarea automată a comenzilor prin re ea se traduce printr-țo viteză de reac ie scăzută. Există cel pu in un caz cunoscut de botnet hibrid,ț ț SpamThru [23], în care func ionalitatea peer-to-peer a fost folosită ca un canal deț rezervă.

4.3. Rolul DNS în botnet-uri

Pentru abordări centralizate, Domain Name System (DNS) are un rol important, deoarece permite modificări dinamice ale infrastructurii de C&C. Când DNS este folosit, serverul de comandă- i-control este identificat printr-un nume de domeniu, care seș rezolvă prin DNS la o adresă IP.

Principiul Fast-Flux Service Networks (FFSN) este o inven ie a dezvoltatorilor deț botnet-uri, fiind conceput pentru a cre te capacitatea de adaptare i anonimatul, i de aș ș ș


cre te semnificativ numărul de bo i dintr-o re ea. Ideea FFSN este comparabilă cuș ț ț Content Delivery Networks (CDN), după cum este descris în figura 3.

Figura 4.3.1 - FFSN - mod de func ionare.ț

Când un nume de domeniu malware trebuie să fie rezolvat, o interogare este de obicei trimisă la cel mai apropiat server DNS i apoi transmisă prin sistemul CDN la unș server DNS controlat de un botmaster. FFSN exploatează proprietă ile de DNS ca celeț care urmează: răspunsul la interogare va include, de obicei, un număr mare de adrese IP asociate cu bo i. Ace ti bo i func ionează ca proxy-uri, transmi ând toate datele cătreț ș ț ț ț un server ce se ascunde în spatele abstractizării oferite de proxy. În spatele acestei abstractizări se pot ascunde servicii de malware cum ar fi phishing de pagini web, reclame suspecte, sau arhive malware pentru descărcarea de module suplimentare. În general, răspunsurile DNS răspuns au o perioadă foarte scurtă de valabilitate, ceea ce duce la schimbarea rapidă a răspunsurilor pentru acela i nume de domeniu. ș

O abordare comună pentru eliminarea botnet-urilor este blocarea nume de domeniu corespunzătoare servelor de malware. În func ie de furnizorul de servicii DNSț responsabil, această procedură poate necesita un efort considerabil. În orice caz, un singur domeniu poate fi blocat cu u urin ă. Acest lucru a dus la un alt concept care aș ț fost inventat pentru a fi utilizat în botnet-uri, Domain Generation Algorithms (DGA - Algoritmi de generare de domenii). Ideea din spatele DGA este de a genera nume de domeniu C&C (nume de domenii legate de înregistrări DNS de servere de C&C) în func ie de una sau mai multe surse de informare externe, care emit numere de ordineț într-un mod previzibil. Aceste numere de ordine sunt numite markeri i pot fi accesateș de robo ii i botmaster-i deopotrivă. Markeri care au fost utiliza i în acest context pot fiț ș ț marcaje de timp, precum i date de la site-uri populare cum ar fi Twitter Trends [24]. Înș timp ce marcajele de timp oferă abilitatea de a genera nume de domeniu cu mult în avans, utilizarea de con inut web dinamic elimină acest element de previzibilitate. Sute,ț


sau chiar mii, de nume de domenii pot fi generate în intervale scurte de timp. O perioadă de timp tipică pentru valabilitatea acestor domenii este de o zi. Orice încercarea de a contracara acest tip de atac botnet se confruntă acum cu numeroase domenii suspecte. Efortul necesar pentru a crea o apărare împotriva acestui tip de atac cre te masiv, având în vedere că botmaster-ii pot alege pur i simplu unul dintreș ș domeniile care va fi apoi înregistrat i pus să ofere instruc iuni noi, sau o actualizare aș ț softului de control, în timpul duratei de valabilitate a acestui nume de domeniu.

Un caz special de botnet centralizată este a a-numita re ea botnet cu locomo ie.ș ț ț Ideea din spatele locomo iei este să se bazeze pe un model centralizat de C&C darț schimbând componenta centralizată la intervale de timp fixe. Figura 4.3.2 ilustrează conceptul de locomo ie. Prin schimbarea numelor de domenii sau servere asociateț frecvent, botmaster exploatează eforturile administrative necesare pentru a ob ineț radierea unui nume de domeniu sau închiderea unui server. Migrarea de la serverul central poate fi realizată prin actualizări ale softului sau prin DNS.

Figura 4.3.2 - Botnet cu locomo ie.ț


4.4. Metode de împră tiereș

Figura 4.4.1 – Etapele împră tierii unui malwareș

Un mecanism comun de răspândire a botnet-urilor este de a exploata vulnerabilită i la distan ă executând cod prin serviciile de re ea. Dacă exploit-ul areț ț ț succes, malware-ul transferă o copie a programului de control la ma ina victimei iș ș executa această copie în scopul de a se propaga de la o ma ină la altul. Acestș mecanism de propagare este utilizat, de exemplu, de către CodeRed [23], Slammer [24], i toţi bo ii comuni IRC [25]. Storm Worm, cu toate acestea, se propaga numai prinș ț utilizarea e-mail-ului, similar cu viermii e-mail cum ar fi Loveletter / ILOVEYOU i Bagle.ș Corpul e-mail-ului con ine diferite texte în engleză care încearcă să înşele destinatarulț fie să deschidă un ata ament, fie să dea click pe un link. ș

Dispozitivele mobile sunt în prezent capabile să utilizeze tehnologia broadband, putând sta on-line i conectate la Internet tot timpul. Terminalele mobile devin tot maiș mult ca laptopurile, dar oferă posibilită i noi de propagare a malware-ului, cum ar fiț MMS-urile, SMS-urile, Bluetooth-ul si sincronizarea între computere i dispozitiveș mobile. Dar, prin natura lor, dispozitivele mobile nu vor fi disponibile pe internet tot timpul. Acestea comută destul de des între conexiuni WiFi, broadband sau doar cele de voce. Dispozitivele mobile care utilizează internetul pot sta în spatele unui firewall i potș avea adrese IP private care nu sunt disponibile pe Internet, nepermi ând botmaster-uluiț să trimită comenzi. Dar această provocare a fost deja rezolvată cu bo i baza i peț ț tehnologii web ce se conectează automat la serverele de comandă i control i î i iauș ș ș singuri instruc iunile.ț


Figura 4.4.2 – Model de conectare automată la serverul de comandă iș control[41]

4.4.1 Exemplu de propagare – Waledac

Waledac este un exemplu de botnet bazat pe tehnologii web [26] ce se bazează pe o arhitectură pe trei niveluri: C&C, servere proxy i bo i. Bo ii care răspund la cereriș ț ț HTTP ac ionează ca proxy-uri pentru serverele de C&C. Nici unul dintre bo i nuț ț comunică direct cu serverele de C&C.

Sarcină utilă de cereri HTTP se încadrează în două păr i. Prima parte a sarciniiț utile i con ine elemente XML. A doua parte a sarcinii utile con ine Adrese IP dacăș ț ț expeditorul este un server proxy i AAAAAA (36 0-biti, care sunt de bază 64 codate) înș cazul în care expeditorul este un botclient.

Expedierea mesajelor de tip SMS i MMS care con in ca sarcina utilă elementeș ț cum ar fi XML-uri ca cele utilizate în Waledac, va da botului de pe telefonul mobil posibilitatea de a men ine conexiunea cu serverele de C&C prin proxy-uri. Un proxyț poate fi un dispozitiv care să în eleagă i să citească SMS i mesaje MMS i să aibă înț ș ș ș acela i timp acces la Internet. Monitorizând SMS-urile primite, un bot poate tergeș ș mesajul înainte de a fi adăugat în sec iunea de mesajele primite, pentru a- i ascundeț ș activită ile.ț

Waledac folose te tehnologia P2P, în sensul că dispozitivele de telefonie mobilăș infectate trebuie să comunice unul cu celălalt pentru a schimba lista de servere proxy active. Acest lucru poate fi realizat prin intermediul mesajelor MMS comunicate între infectate dispozitive de pe re eaua de telefonie mobilă.ț

Propagarea ini ială se face prin email-uri cu ata amente infectate.ț ș


4.4.2 Exemplu de propagare – SymbOS.Exy.C

Symantec a raportat [27] la 13 iulie 2009 că a fost dezvoltat primul bot pentru sistemul de operare Symbian, numit SymbOS.Exy.C. Acesta este un vierme similar cu al ii făcu i pentru sistemul de operare Symbian, dar diferen a este că încearcă să iaț ț ț legătura cu un server, raportând tipul dispozitivului mobil, IMEI-ul (International Mobile Equipment Identity) i IMSI (International Mobile Subscriber Identity). Symantecș menţionează că aceasta poate fi prima apari ie a unui bot ce rulează pe un terminalț mobil.

Botul se răspânde te prin intermediul unui fi ier infectat. Când acesta esteș ș deschis pe un telefon cu Symbian OS v3, este afi at mesajul:ș

InstallSexy Space?

Dacă utilizatorul apasă butonul ”Yes”, este pornit un installer ce afi eazăș următorul mesaj:

Name: Sexy SpaceVersion: 1.07

Supplier: Play Boy

Pentru a cre te ansele de instalare, fisierul afi ează de asemenea un certificatș ș ș digital pentru Symbian:

Subject: XinZhongLi TianJin Co. Ltd.Valid from: 6/17/2009Valid until: 6/18/2019

Odată ce utilizatorul î i dă acordul pentru instalarea aplica iei, următoarele fi iereș ț ș sunt copiate în memoria dispozitivului mobil: c:\sys\bin\AcsServer.exe, c:\sys\bin\Installer_0x20025CA6.exe, c:\private\101f875a\import\[20026CA5].rsc. După această etapă, începe transmisia de SMSuri, con inând datele specificate mai sus,ț către o serie de numere predefinite.


5. Motivele pentru crearea de botnet-uri

Principala motiva ie pentru operarea de botnet-uri este de a genera profitț financiar de la activită ilor pe care le permit. Prin urmare, capacită ile gazdelorț ț compromise i datele stocate pe ele trebuie să fie transformate în bani. Alte motiva iiș ț posibile numără interese politice sau chiar militare. În ultimii ani, câteva aplica ii legateț de botnet-uri au căpătat un rol foarte important i pot fi considerate ca fiind caracteristic.ș

5.1. Furtul de identitateO utilizare majoră a botnet-urilor, cu inten ia de a ob ine avantaje financiare, esteț ț

extragerea automată a datelor de utilizator i a acreditărilor din sistemele infectate.ș Obiective-cheie includ parole pentru diferite servicii cum ar fi conturi de e-mail, magazine online, platforme bancare sau platforme de social networking [28]. Aceasta tehnica este adesea numită ”furt de identitate”, deoarece permite botmaster-ului să joace rolul victimei, ceea ce face ac iuni suplimentare, cum ar fi frauda, posibile. Deț exemplu, ob inerea parolei de la contul de e-mail poate dezvălui date de contact aleț proprietarului prin inbox i agendă:ș

○ Aceste contacte pot fi folosite de botmaster prin trimiterea de email-uri cu un ata ament malware, recrutând astfel resurse suplimentare pentru botnet. ș

○ Adrese de e-mail extrase pot fi folosite pentru spam deoarece sunt confirmate ca fiind adrese valide.

○ Multe site-uri permite re-trimiterea parolei pe adresa de e-mail asociată contului. Astfel accesul la o adresă de e-mail poate servi ca o cheie pentru ob ine acces la alte conturi.ț

Multe dintre aceste cazuri pot fi aplicate i la re elele sociale. În acestea, rela iileș ț ț personal ale victimă pot facilita atacuri. Creden ialele pentru magazine web i platformeț ș bancar promit profit imediat pentru un atacator. Platformele bancară pot fi abuzate pentru transferuri frauduloase de bani i pentru cumpărarea de bunurilor, care sunt apoiș vândute. Acela i lucru este valabil pentru informa iile extrase din ma ina victimei ce inș ț ș ț de cardurile bancare. Ilegalită ile descrise nu trebuie să fie efectuate de către botmasterț direct. Existen a unei pie e pentru identită i furate fiind o alta op iune pentru monetizareaț ț ț ț de date.


5.2. Trimiterea de e-mail-uri nesolicitate

Una dintre cele mai populare utilizări ale botnet-urilor este trimitere de mailuri nesolicitate (spam e-mail). În timp ce spam-ul clasic a fost realizat cu un singur server sau cu re ele de calculatoare relativ mici, de inute i men inute direct de către spammer-ț ț ș ți, botnet-urile au permis transferarea costurilor necesare pentru între inere, operare iț ș lă imea de bandă către proprietarii de sisteme compromise. De asemenea, capacitateaț de a folosi IP-urile sistemelor din re elele botnet pentru a ascunde adevărata origine aț email-urilor complică măsurile de contracarare, cum ar fi blocarea IP-urilor responsabile. Inten ia primară din spatele acestor email-uri în masă este publicitatea.ț Frecvent, ter e păr i cumpăra un lot de e-mail-uri nedorite pentru a face publicitateț ț produselor lor. În plus, mail-uri nedorite pot fi folosite pentru răspândirea de malware sau ca link-uri către site-uri infectate. Încercarea de a ob ine parole, fenomen cunoscutț sub numele de phishing, este o altă utilizare a spam-ul strâns legată de tehnici de inginerie socială, fiind folosită pentru a pentru furtul de identitate. În ultimii ani se estimează că 80-90% din toate email-urile trimise sunt email-uri nedorite[29]. Potrivit ”Ferris Research”, la nivel mondial costul financiar al email-urilor nedorite în 2009 a fost în jurul valorii de 130 miliarde de dolari [30].

5.3. Fraudarea click-urilor

Un alt mod de monetizarea a botnet-urilor este prin ceea ce se nume teș fraudarea click-urilor. În primul rând, atacatorul stabile te un cont cu un agent deș publicitate on-line, care plăte te în func ie de numărul de vizitatori ai unei pagini sau înș ț func ie de numărul de click-uri pe un link publicitar sau un banner. În al doilea rând,ț atacatorul utilizează bo ii controla i pentru a vizita acele pagini sau pentru a generaț ț click-urii pe bannere-le sau link-urile intă. În acest caz, atacatorul câ tigă bani în modț ș direct de la compania de publicitate, care, la rândul său, nu beneficiază de traficul generat. În contextul de botnet-uri, click-uri pot fi vândute către agen ii de publicitate, înț scopul de a cre te popularitatea lor i a se clasa mai bine în motoarele de căutare.ș ș Alternativ, generatoare de un astfel de trafic pot fi utilizate pentru a influen a sondajeț on-line.

”Click Forensics” [31], o companie specializată în cre terea calită ii traficuluiș ț pentru furnizorii de publicitate on-line, a raportat de o medie de tentative de fraudă prin click-uri de 18,6% (din toate clicurile înregistrate pe anun urile monitorizate) pentru T2ț din 2010, medie care a crescut continuu de la 14,1% în T3 din 2009.

”Anchor Intelligence”[32], care este de asemenea specializată în analiza calită iiț traficului, estimează o rată mult mai mare de fraudă a click-urilor, 28,9% din toate click-urile făcute pe anun urile monitorizate (tot pentru T2 din 2010).ț


5.4. Atacuri de tip DDOS (Distributed Denial Of Service)

Botnet-urile constau de obicei în număr atât de mare de sisteme controlate de la distan ă încât lă imea lor de bandă cumulată poate ajunge la mai mul i GB de trafic peț ț ț secundă. Acest lucru permite botmaster-ilor să pornească atacuri împotriva site-uri web. Comandând bo ii să contacteze un site frecvent, serverele devin inaccesibile, deoareceț nu se pot ocupa de tot traficul de intrare. Acest atac se nume te Distributed Denial ofș Service (DDoS); distribuit, deoarece un număr mare de bo ii distribui i din punct deț ț vedere geografic participă la atac. Aceste atacuri se întâmplă în mod regulat i schemaș directă de profit în legătură cu această utilizare a botnet-urilor este antajul. Multeș Companiile depind de servicii bazate pe web, cel mai exemplu fiind, magazinele web, iș perioadele de nefuncţionare a site-ului determină pierderi în volumul de afaceri.

În timpul publicării a mai mult de 250.000 de telegrame ale ambasadelor SUA din diverse ări de către WikiLeaks, serviciile i site-urile mai multor companii mari au fostț ș cu succes blocate prin atacuri de tip DDoS. În acest context, o comunitate on-line, constând dintr-o număr variabil de utilizatori anonimi care acţionează în mod coordonat (cunoscu i sub numele de ”Anonymous”), a utilizat un instrument open-source, Lowț Orbit Ion Cannon (LOIC), pentru a efectua atacuri de tip DDoS. Acest instrument permite utilizatorilor să se conecteze voluntar la un server IRC, care furnizează în mod coordonat inte pentru atac. Aceste ac iuni sunt sincronizate între to i voluntarii, prinț ț ț canalul IRC. Trebuie remarcat faptul că aceasta nu este de fapt un botnet: în cazul de LOIC, software-ul folosit pentru atacuri DDoS este instalat chiar de către utilizator i, înș plus, utilizatorul poate decide în orice moment când i împotriva căror inte vrea săș ț ofere lă imea de bandă pentru a sprijini atacul. intele vizate de ”Anonymous” au fostț Ț institu iile financiare care au încetat transferul dona iilor către WikiLeaks i institu iileț ț ș ț implicate în investiga ii împotriva redactorului-şef Wikileaks, Julian Assange. ț

Funda ia ”Shadowserver” [33] a identificat recent un tip nou de botnet, denumitț ”Darkness”[34]. Acesta este, în general, comparabil cu botul BlackEnergy [35], care este de asemenea specializat în atacuri DDoS, dar este mult mai eficient.”Darkness” a fost deja utilizat activ în unele atacuri DDoS i este promovat ca fiind în măsură săș doboare chiar i site-urile mari, cu doar câ iva mii de bo i [34].ș ț ț

În plus fa a de interesele lor economice, botnet-urile pot fi de asemenea utilizateț în contexte politice sau militare. Un exemplu semnificativ de un atac DDoS de succes este cel din aprilie 2007, din Estonia. Pentru aproximativ două săptămâni site-uri federale, bancare i de tiri au fost de mai multe inte ale unor atacuri DDoSș ș ț concentrate legate de botnet-uri. Se presupune că aceste atacuri au avut loc datorită mutării unui monument al unui soldat rus căzut în al Doilea Război Mondial din Tallinn, Estonia. Atacurile au fost sprijinite prin forumuri si bloguri în limba rusă, care au oferit o platformă de distribu ie a instrumentelor de atac[36]. Aceste canale de comunica ie auț ț fost, de asemenea, folosite pentru coordonarea de atacuri, în ceea ce prive te atâtș poten ialele inte cât i timpul atacului. Acestea au fost considerate primele atacuriț ț ș


cibernetice cu substrat politic de această dimensiune. Atacurile DDoS a avut un impact semnificativ asupra popula iei estone [37]. ț

În 2009 i 2010, două botnet-uri de spionaj au fost explorate în profunzime,ș GhostNet [38] i Shadow Network [39]. Investigarea lui GhostNet a condus laș descoperirea a 1295 de ma ini infectate în 103 ări, cu aproximativ 30% dinș ț computerele infectate considerate ca fiind de mare valoare, deoarece acestea erau situate în institu iile guvernamentale. Acestea includ calculatoare în diferite ambasade iț ș ministere. Mai multe urme capturate de la aceste ma ini au arătat comunica ia întreș ț gazdele infectate i adrese IP de comandă i control ale unor servere situate în China.ș ș Aceste urme, au dovedit extrac ia unor documentelor sensibile [39]. ț

Un alt exemplu recent este viermele Stuxnet. La scurt timp după apari ie, acestț specimen de malware a fost considerat unul dintre cele mai complexe piese de malware [40] identificată vreodată, atrăgând aten ia multor anali ti în 2010. După o analizăț ș intensă, elementele principale ale func ionalită ii sale au fost descoperit [41]. De i esteț ț ș discutabil dacă Stuxnet ar trebui să fi calificat drept un botnet, acesta con ine multeț caracteristici tipice botnet-urilor. După infectarea cu succes, gazda compromisă verifică conexiunea la Internet i apoi încearcă să se conecteze la două servere de C&C, înș scopul de a trimite informa ii despre sistem i a cere o actualizare [41]. Caracteristicileț ș Stuxnet includ rutine care identifica i ataca numai sisteme industriale care con in oș ț configuraţie specific definită. Prin urmare, este primul vierme pentru ce inte teț ș infrastructuri specifice i critice. În plus, mecanismele de răspândire ale Stuxnetș folosesc patru vulnerabilită i necunoscute până atunci (zero-day exploits) i douăț ș certificate digitale furate.


6. Concluzii

Comercializarea de bo i deschide pia a botnet pentru botmaster-ii fără cuno tin eț ț ș ț tehnice avansate. Acesta poate servi, de asemenea, ca un punct de intrare pentru păr iț cu interesele politice, ce pot folosi botnet-urile ca instrument de influen ă politică sau deț terorism. În ultimii ani a existat o tendin ă spre folosirea botnet-urilor într-un contextț politic. Mai multe atacuri au fost observate împotriva site-urile guvernamentale iș împotriva intereselor economice na ionale. În aceste atacuri motivate politic, utilizareaț de botnet-uri trebuie să fie în mod clar separată de fenomenul de hacktivism. În general, în hacktivism, simpatizan ii contribuie în mod voluntar propriile resurse pentru atacur.ț Exemple recente de acest fenomen sunt atacuri organizate de către ”Anonymous” în cursul cazului WikiLeaks. De exemplu, institu iile financiare care au oprit transferurile deț bani către WikiLeaks au fost vizate în atacurile coordonate cu instrumentele DDoS ca LOIC. Trebuie remarcat totu i că, de i acestea au caracteristici comune cu botnet-urile,ș ș nu se potrivesc cu defini ia unui botnet, deoarece participarea este în întregimeț voluntară.

Disponibilitatea tot mai mare a accesului la Internet mobil duce la cre tereaș posibilită ii ca smartphone-urile să fie compromise pe o scară largă. Smartphone-urileț sunt atractive pentru infractori din cauza cre terii capacită ii de calcul i a capacită ii deș ț ș ț a se conecta la Internet. Unele rapoarte au sus inut că malware-ul pentru telefoaneț apăruse deja în 2001. Exemple de mecanisme automate de răspândire a malware-ului între telefoane mobile a apărut în 2009. Răspândirea viermelui a fost sus inută deț accesul foarte simplu la contactele personale stocate pe telefoanele infectate. Cu toate acestea, interac iunea cu utilizatorul a fost încă necesară pentru a permite acest viermeț să se răspândească.

În ultima vreme a fost observată o rată ridicată a apari iei de noi versiuni, lucruț posibil prin conceptele de polimorfism i metamorfism. O tendin ă observată în ultimiiș ț ani este faptul că aceste modificări de cod sunt efectuate numai pe serverele de malware, ascunzându-se astfel mecanismele exacte de modificare de către cercetătorii din firmele de securitate. Acest malware poate depinde de parametrii unici prezen i înț sistemul care îl solicită, malware-ul fiind astfel personalizat pentru fiecare gazdă. Acest lucru are un impact extrem de negativ asupra abordărilor de detectare automată.

Pentru a combate toate aceste îmbunătă iri ale malware-ului, contra-măsurileț împotriva botnet-urilor pot deveni mai radicale. pe principiul a a-numi ilor ”viermi albi”, ș țcare sunt programelor autonome ce se răspândesc asemănător cu viermii, dar care vizează cură area sistemelor infectate. Dar deocamdată instalarea neautorizată iț ș executarea unei bucă i de cod, adică lucrurile necesare pentru un vierme alb, rămânț încă ilegale.


Bibliografie

[1] ITU Study on the Financial Aspects of Network Security: Malware and Spam. ICTApplications and Cybersecurity Division, Policies and Strategies Department, ITUTelecommunication Development Sector, 2008.

[2] Year-end malware stats from AV-Test, 2011. [Online]http://sunbeltblog.blogspot.com/2011/01/updated-virus-stats-from-av-test.htmlhttp://www.av-test.org/

[3] 2007 Malware Report: The Economic Impact of Viruses, Spyware, Adware,Botnets, and Other Malicious Code. Computer Economics, 2007.

[4] Symantec Global Internet Security Threat Report: Trends for 2009 (Volume XV).Symantec Corp., 2010.

[5] Kaspersky Security Bulletin 2009: Malware Evolution 2009.

[6]Dr. Solomon's Virus Encyclopedia, 1995, ISBN 1897661002 , Abstract at http :// vx . netlux . org / lib / aas 10. html

[7]Jussi Parikka (2007) "Digital Contagions. A Media Archaeology of Computer Viruses", Peter Lang: New York. Digital Formations-series. ISBN 978-0-8204-8837-0 , p. 19

[9] Eggheads.org - eggdrop development. [Online] http://www.eggheads.org/

[10] The DoS Project's "trinoo" distributed denial of service attack tool. Dittrich, D. University of Washington, 1999.

[11] The "Stacheldraht" distributed denial of service attack tool. Dittrich, D. University of Washington, 1999.

[12] An analysis of the "Shaft" distributed denial of service tool. Dietrich, S., Long, N. Dittrich, D. 2000.

[13] TFN2K - An Analysis. Barlow, J., Thrower W. AXENT Security Team, 2000.

[14] The history of worm-like programs. Darby, T., Schmidt, C., 2000. [Online] http :// www . snowplow . org / tom / worm / history . html

[15] BO2K. Cult of the Dead Cow. [Online]. www . bo 2 k . com /

[16] SubSeven 2.3.1. SubSevenCrew, [Online]. www . subseven . org

[17] The Botnet Chronicles - The Botnet Chronicles. Ferguson, R. Trend Micro Whitepaper, 2010.


http://www.subseven.org/





http://www.bo2k.com/








http://www.snowplow.org/tom/worm/history.html















http://en.wikipedia.org/wiki/Special:BookSources/9780820488370


http://en.wikipedia.org/wiki/Jussi_Parikka

http://en.wikipedia.org/wiki/Jussi_Parikka

http://vx.netlux.org/lib/aas10.html















[18] On the Analysis of the Zeus Botnet Crimeware Toolkit. Binsalleeh, H., Ormerod,T., Boukhtouta, A., Sinha, P., Youssef, A., Debbabi, M., Wang, L. In: Proceedings ofthe 8th Annual Conference on Privacy, Security and Trust, PST'2010, 2010.

[19] An Analysis of Conficker's Logic and Rendezvous Points. Porras P., Saidi, H.,Yegneswaran, V. Technical Report, SRI International, 2009.[20] The waledac protocol: The how and why. Sinclair, G., Nunnery, C., Kang, B.B.-H.In: Proceedings of the 4th International Conference on Malicious and UnwantedSoftware (MALWARE), 2009.

[21] Insights from the Inside: A View of Botnet Management from Infiltration. Cho, C.Y.,Caballero, J., Grier, C., Paxson, V., Song, D. In: Proceedings of the 3 rd UsenixWorkshop on Large-Scale Exploits and Emergent Threats (LEET‘10), 2010.

[22] Spamalytics: An Empirical Analysis of Spam Marketing Conversion. Kanich, C.,Kreibich, C., Levchenko, K., Enright, B., Voelker, G., Paxson, V., Savage, S. In:Proceedings of the 15th ACM Conference on Computer and Communications Security(CCS), 2008.

[23] D. Moore, C. Shannon, and k claffy. Code-red: A case study on the spread and victims of an internet worm. In Proceedings of the 2nd ACM SIGCOMM Workshop on Internet Measurment, pages 273–284, New York, NY, USA, 2002. ACM Press.

[24] D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, and N. Weaver. Inside the slammer worm. IEEE Security and Privacy, 1(4):33–39, 2003.

[25] P. Barford and V. Yegneswaran. An inside Look at Botnets, volum 27 of Advances in Information Security, pages 171-191.

[26] Lasse Trolle Borup. Peer to peer botnets: A case study on waledac. Master’s thesis, Technical University of Denmark, Department of Informatics and Mathematical Modeling, System Security, Building 321, DK-2800, Kongens Lyngby, Denmark, 2009. [27] Irfan Asrar. Could sexy space be the birth of the sms botnet? Syman- tec, Internet blog, jul 2009. http://www.symantec.com/connect/blogs/ could-sexy-space-be-birth-sms-botnet, read: 2009.07.30.

[28] Learning more about the underground economy: a case-study of keyloggers anddropzones. Holz, T., Engelberth, M., Freiling, F. In: Proceedings of the 14 th Europeanconference on Research in computer security (ESORICS'09 ), 2009.

[29] M86 Security, Spam Statistics. [Online]http://www.m86security.com/labs/spam_statistics.asp


http://www.m86security.com/labs/spam_statistics.asp

[30] Ferris Research. [Online] www.ferris.com

[31] ClickForensics, Inc. [Online] www.clickforensics.com

[32] Anchor Intelligence, Inc. [Online] www.anchorintelligence.com

[33] ShadowServer Foundation. [Online] http://www.shadowserver.org

[34] BlackEnergy competitor – The 'Darkness' DDoS Bot. DiMino A. M. ShadowServer,2010. [Online] http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20101205

[35] BlackEnergy DDoS Bot Analysis. Nazario J. Technical Report, Arbor Networks,2007.

[36] Politically Motivated Denial of Service Attacks. Nazario, J. In: The VirtualBattlefield: Perspectives on Cyber Warfare (pp. 163-181), IOS Press, 2009.

[37] International Cyber Incidents: Legal Considerations. Tikk, E., Kaska, K., & Vihul,L. In: CCD COE Publications, 2010.

[38] Tracking GhostNet: Investigating a Cyber Espionage Network. InformationWarfare Monitor, 2009.

[39] Shadows in the Cloud: An investigation into cyber espionage 2.0. InformationWarfare Monitor and Shadowserver Foundation, 2010.

[40] Is Stuxnet the best‘ malware ever? Keizer, G. Computerworld, 2010.̳http://www.computerworld.com/s/article/9185919/Is_Stuxnet_the_best_malware_ever_?

[41] W32.Stuxnet Dossier v1.3. Symantec Corp., 2010.

[42] http://www.microsoft.com/technet/security/advisory/2286198.mspx.


http://www.microsoft.com/technet/security/advisory/2286198.mspx

http://www.computerworld.com/s/article/9185919/Is_Stuxnet_the_best_malware_ever

http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20101205

http://www.shadowserver.org/

http://www.clickforensics.com/

http://www.ferris.com/

UNIVERSITATEA POLITEHNICA...

Documents

Transcript of UNIVERSITATEA POLITEHNICA...