C&C architecture : Automation of the deployment of a sophisticated infrastructure, for new malicious uses, harder to detect

Glasser, Timon

January 2021

Today cybersecurity is becoming a major concern for all of society. Companies can lose billions of dollars because of cyberattacks. States need to keep the vital infrastructure of the country running and must prepare for cyberwar against cyberterrorism and other states. And finally, everyone can also suffer a cyberattack, like credit card stealing, ransomware asking for money, etc. In this tensed context, botnets and Remote Access Trojan are emerging as one of the major threats against cybersecurity.  In this master thesis we will focus on Command & Control (C&C) architectures, which can be used as a first step on a network, to compromise it entirely afterwards. To do so, the malware used to put in place the C&C architecture must first bypass all antivirus protections, and then establish a connection with a C&C server. This master thesis will be about the automation of the deployment of such architecture, which should be stealth enough to bypass the common protections.  This master thesis took part at Wavestone company, which performs cybersecurity audits. After a brief presentation of Wavestone, we will first explain why a C&C architecture is very useful for auditors (and consequently for cybercriminals as well), and what steps will be taken to achieve this project. Then, we will focus on the history and the functioning of botnets: botnets are indeed the most common use of C&C architecture. Afterwards, we will focus on the detection of a C&C architecture, to understand what challenges the implementation will have to meet. Finally, we will present an implementation that was made during the thesis of an end-to-end C&C scenario, based on an open software called SilentTrinity, and corresponding to the needs of the auditors. / I dag är cybersäkerhet en viktig fråga för hela samhället. Företag kan förlora miljarder dollar på grund av cyberattacker. Stater måste hålla landets vitala infrastruktur igång och måste förbereda sig för cyberkrig mot cyberterrorism och andra stater. Och slutligen kan alla också drabbas av en cyberattack, som t.ex. kreditkortsstöld, utpressningstrojaner som ber om pengar osv. I detta spända sammanhang framstår botnät och Remote Access Trojan som ett av de största hoten mot cybersäkerheten.  I denna masteruppsats kommer vi att fokusera på Command & Control-arkitekturer, som kan användas som ett första steg i ett nätverk för att sedan kompromettera det helt och hållet. För att göra detta måste den skadliga kod som används för att sätta C&C-arkitekturen på plats först kringgå alla antivirusskydd och sedan upprätta en anslutning till en C&C-server. Denna masteruppsats kommer att handla om automatiseringen av införandet av en sådan arkitektur, som ska vara tillräckligt smygande för att kringgå de vanligaste skydden.  Denna masteruppsats deltog vid företaget Wavestone, som utför cybersäkerhetsrevisioner. Efter en kort presentation av Wavestone kommer vi först att förklara varför en C&C-arkitektur är mycket användbar för revisorer (och följaktligen även för cyberkriminella), och vilka steg som kommer att tas för att genomföra detta projekt. Därefter kommer vi att fokusera på botnets historia och funktion: botnets är faktiskt den vanligaste användningen av C&C-arkitektur. Därefter kommer vi att fokusera på upptäckten av en C&C-arkitektur för att förstå vilka utmaningar som genomförandet måste möta. Slutligen kommer vi att presentera ett genomförande som gjordes under avhandlingen av ett C&C-scenario från början till slut, baserat på en öppen programvara som heter SilentTrinity, och som motsvarar revisorernas behov.

Command & Control

botnets

RAT

detection

implementation

Red Team

Command & Control

botnät

RAT

upptäckt

genomförande

Red Team

Elektroteknik och elektronik

SISTEMA DE DETECÇÃO DE INTRUSOS EM ATAQUES ORIUNDOS DE BOTNETS UTILIZANDO MÉTODO DE DETECÇÃO HÍBRIDO / Intrusion Detection System in Attacks Coming from Botnets Using Method Hybrid Detection

CUNHA NETO, Raimundo Pereira da

28 July 2011

Made available in DSpace on 2016-08-17T14:53:19Z (GMT). No. of bitstreams: 1 dissertacao Raimundo.pdf: 3146531 bytes, checksum: 40d7a999c6dda565c6701f7cc4a171aa (MD5) Previous issue date: 2011-07-28 / The defense mechanisms expansion for cyber-attacks combat led to the malware evolution, which have become more structured to break these new safety barriers. Among the numerous malware, Botnet has become the biggest cyber threat due to its ability of controlling, the potentiality of making distributed attacks and because of the existing structure of control. The intrusion detection and prevention has had an increasingly important role in network computer security. In an intrusion detection system, information about the current situation and knowledge about the attacks contribute to the effectiveness of security process against this new cyber threat. The proposed solution presents an Intrusion Detection System (IDS) model which aims to expand Botnet detectors through active objects system by proposing a technology with collect by sensors, preprocessing filter and detection based on signature and anomaly, supported by the artificial intelligence method Particle Swarm Optimization (PSO) and Artificial Neural Networks. / A ampliação dos mecanismos de defesas no uso do combate de ataques ocasionou a evolução dos malwares, que se tornaram cada vez mais estruturados para o rompimento destas novas barreiras de segurança. Dentre os inúmeros malwares, a Botnet tornou-se uma grande ameaça cibernética, pela capacidade de controle e da potencialidade de ataques distribuídos e da estrutura de controle existente. A detecção e a prevenção de intrusão desempenham um papel cada vez mais importante na segurança de redes de computadores. Em um sistema de detecção de intrusão, as informações sobre a situação atual e os conhecimentos sobre os ataques tornam mais eficazes o processo de segurança diante desta nova ameaça cibernética. A solução proposta apresenta um modelo de Sistema de Detecção de Intrusos (IDS) que visa na ampliação de detectores de Botnet através da utilização de sistemas objetos ativos, propondo uma tecnologia de coleta por sensores, filtro de pré-processamento e detecção baseada em assinatura e anomalia, auxiliado pelo método de inteligência artificial Otimização de Enxame da Partícula (PSO) e Redes Neurais Artificiais.

Segurança de Redes

Botnets

Sistema de Detecção de Intrusos - IDS

Redes Neurais Artificiais

Network Security

Botnet

Intrusion Detection System - IDS

Particle Swarm Optimization - PSO

Artificial Neural Networks