Identifiering och analys av botnät med hjälp av aktiva säkerhetssystem / Identification and analysis of botnets with the help of active security systems

Mynarski, Pawel, Carlsson, Oscar

January 2012

Botnät är idag ett växande hot mot IT-säkerhet. Myndigheter, företag och stora organisationer utsätts dagligen för olika typer av attacker orsakade av botnät och rapporter i media redogör för endast en bråkdel av incidenter som inträffar på Internet. Säkerhetsföretag uppskattar att miljoner av datorer ingår idag i ett eller flera botnät. Bekämpningen av botnät är en komplicerad uppgift på grund av botnätens omfattning och komplexitet. Första steget i processen är identifiering och analys av sådana nätverk. I detta syfte har olika system skapats och s.k. \emph{honeypot}-system är några av dem. \emph{Honeypots} simulerar sårbarheter i nätverkstjänster och samlar in information om intrångsförsök utförda mot dessa tjänster. Honeypot-system har visat sig vara effektiva verktyg särskilt när det gäller detektering av attacker och insamling av data. Sådana lösningar har stor potential och kan utvecklas till att bli ännu mer produktiva genom att tillsammans med externa säkerhetstjänster utföra aktiva analyser av insamlad data om botnätsanslutna enheter. Det här arbetet fokuserar just på tjänster och system som kan användas för att identifiera och analysera botnät för att ta reda på vilken data är möjlig att samla in. På en relativt kort tid lyckades vi registrera över 1 miljon anslutningar från 6757 unika IP-adresser till vår honeypot och på så sätt har vi visat att även med små resurser och enbart fritt tillgänglig programvara och webbtjänster kan man identifiera och kartlägga botnät. Conficker har visat sig vara det mest dominanta botnätet och informationen som vi har lyckats samla in var i hög grad relaterad till attackerna från det botnätverket. Detta resulterade i att nästan all insamlad data var ganska ensidig då en viss typ av malware, vissa nätverkstjänster och några specifika länder var gravt överrepresenterade.

botnät

honeypot

sandbox

Computer Sciences

Datavetenskap (datalogi)

Detektionsmetoder för skadlig kod i IoT-baserat smart hem : En systematisk litteraturstudie / IoT-malware detection methods in smart home : A systematic literature review

Saxmark, William

January 2023

IoT devices are being widely deployed within smart homes. Most of these devices are mass-produced at a low cost. As a result, due to the lack of security mechanisms, IoT devices become vulnerable to malware. As more IoT devices are connected to the internet, and given their inability to maintain robust security, these devices are at an increased risk of being infected with malware. Compromised IoT devices enhance the capabilities of cybercriminals and threat actors to perform attacks and distribute malware. To prevent this, proper detection mechanisms are needed. However, traditional malware detection approaches are often not feasible in an IoT environment. This study compiles current detection methods used to detect IoT-malware in smart homes. Existing malware detection solutions will be included to demonstrate the methods, usage, and effectiveness in a specific context. This was achieved by performing a qualitative systematic literature review of articles from two databases with high technological relevance. In total, 12 articles were utilized for the study. The data from these articles were subject to a thematic analysis, yielding two main themes: method and placement. The “method” theme consists of four categories: anomaly detection, signature detection, statistical analysis, and combination of methods. The “placement” theme consists of two categories: device-based and network-based. The study results indicate that both standalone methods and a combination of multiple methods are being employed for the detection of IoT-malware in smart home environments. Based on the results, anomaly-based detection emerges as the most used method for detecting IoT-malware, both on the device and within the network. / IoT-enheter implementeras i allt större utsträckning inom smarta hem. Många av dessa enheter massproduceras till låg kostnad. Som ett resultat blir IoT-enheter, på grund av bristande säkerhetsmekanismer, sårbara för skadlig kod. När fler IoT-enheter ansluts till internet, och med tanke på deras oförmåga att upprätthålla god säkerhet, löper dessa enheter en ökad risk för att infekteras med skadlig kod. Infekterade IoT-enheter ökar förmågan hos cyberkriminella och hotaktörer att utföra attacker och sprida skadlig kod. För att förhindra detta krävs lämpliga detektionsmekanismer. Traditionella metoder för att detektera skadlig kod är ofta inte genomförbara i en IoT-miljö. Denna studie sammanställer aktuella detekteringsmetoder som används för att upptäcka skadlig kod som riktas mot IoT-enheter inom smarta hem. Existerande lösningar för att detektera skadlig kod inom smarta hem kommer att inkluderas för att demonstrera metoderna, användningen och effektiviteten i ett specifikt sammanhang. Detta uppnåddes genom att utföra en kvalitativ systematisk litteraturstudie av artiklar från två databaser med hög teknologisk relevans. Totalt användes 12 artiklar för att utföra studien. Data från dessa artiklar analyserades med tematisk kodning, som resulterade i två huvudteman, metod och placering. Temat ”metod” består av fyra kategorier: anomalibaserad detektion, signaturbaserad detektion, statistisk analys och kombination av metoder. Temat ”placering” består av två kategorier: enhetsbaserad och nätverksbaserad. Resultatet från studien indikerar på att både självständiga metoder och en kombination av flera metoder används för att upptäcka skadlig kod riktat mot IoT-enheter inom smarta hem. Baserat på resultatet framträder anomalibaserad detektion som den vanligaste metoden för att detektera skadlig kod riktat mot IoT-enheter, både på enheten och inom nätverket.

Malware

botnet

detection

IoT

smart home

methods

Skadlig kod

botnät

detektion

IoT

smarta hem

metoder

Information Systems, Social aspects

C&C architecture : Automation of the deployment of a sophisticated infrastructure, for new malicious uses, harder to detect

Glasser, Timon

January 2021

Today cybersecurity is becoming a major concern for all of society. Companies can lose billions of dollars because of cyberattacks. States need to keep the vital infrastructure of the country running and must prepare for cyberwar against cyberterrorism and other states. And finally, everyone can also suffer a cyberattack, like credit card stealing, ransomware asking for money, etc. In this tensed context, botnets and Remote Access Trojan are emerging as one of the major threats against cybersecurity.  In this master thesis we will focus on Command & Control (C&C) architectures, which can be used as a first step on a network, to compromise it entirely afterwards. To do so, the malware used to put in place the C&C architecture must first bypass all antivirus protections, and then establish a connection with a C&C server. This master thesis will be about the automation of the deployment of such architecture, which should be stealth enough to bypass the common protections.  This master thesis took part at Wavestone company, which performs cybersecurity audits. After a brief presentation of Wavestone, we will first explain why a C&C architecture is very useful for auditors (and consequently for cybercriminals as well), and what steps will be taken to achieve this project. Then, we will focus on the history and the functioning of botnets: botnets are indeed the most common use of C&C architecture. Afterwards, we will focus on the detection of a C&C architecture, to understand what challenges the implementation will have to meet. Finally, we will present an implementation that was made during the thesis of an end-to-end C&C scenario, based on an open software called SilentTrinity, and corresponding to the needs of the auditors. / I dag är cybersäkerhet en viktig fråga för hela samhället. Företag kan förlora miljarder dollar på grund av cyberattacker. Stater måste hålla landets vitala infrastruktur igång och måste förbereda sig för cyberkrig mot cyberterrorism och andra stater. Och slutligen kan alla också drabbas av en cyberattack, som t.ex. kreditkortsstöld, utpressningstrojaner som ber om pengar osv. I detta spända sammanhang framstår botnät och Remote Access Trojan som ett av de största hoten mot cybersäkerheten.  I denna masteruppsats kommer vi att fokusera på Command & Control-arkitekturer, som kan användas som ett första steg i ett nätverk för att sedan kompromettera det helt och hållet. För att göra detta måste den skadliga kod som används för att sätta C&C-arkitekturen på plats först kringgå alla antivirusskydd och sedan upprätta en anslutning till en C&C-server. Denna masteruppsats kommer att handla om automatiseringen av införandet av en sådan arkitektur, som ska vara tillräckligt smygande för att kringgå de vanligaste skydden.  Denna masteruppsats deltog vid företaget Wavestone, som utför cybersäkerhetsrevisioner. Efter en kort presentation av Wavestone kommer vi först att förklara varför en C&C-arkitektur är mycket användbar för revisorer (och följaktligen även för cyberkriminella), och vilka steg som kommer att tas för att genomföra detta projekt. Därefter kommer vi att fokusera på botnets historia och funktion: botnets är faktiskt den vanligaste användningen av C&C-arkitektur. Därefter kommer vi att fokusera på upptäckten av en C&C-arkitektur för att förstå vilka utmaningar som genomförandet måste möta. Slutligen kommer vi att presentera ett genomförande som gjordes under avhandlingen av ett C&C-scenario från början till slut, baserat på en öppen programvara som heter SilentTrinity, och som motsvarar revisorernas behov.

Command & Control

botnets

RAT

detection

implementation

Red Team

Command & Control

botnät

RAT

upptäckt

genomförande

Red Team

Elektroteknik och elektronik