Today cybersecurity is becoming a major concern for all of society. Companies can lose billions of dollars because of cyberattacks. States need to keep the vital infrastructure of the country running and must prepare for cyberwar against cyberterrorism and other states. And finally, everyone can also suffer a cyberattack, like credit card stealing, ransomware asking for money, etc. In this tensed context, botnets and Remote Access Trojan are emerging as one of the major threats against cybersecurity. In this master thesis we will focus on Command & Control (C&C) architectures, which can be used as a first step on a network, to compromise it entirely afterwards. To do so, the malware used to put in place the C&C architecture must first bypass all antivirus protections, and then establish a connection with a C&C server. This master thesis will be about the automation of the deployment of such architecture, which should be stealth enough to bypass the common protections. This master thesis took part at Wavestone company, which performs cybersecurity audits. After a brief presentation of Wavestone, we will first explain why a C&C architecture is very useful for auditors (and consequently for cybercriminals as well), and what steps will be taken to achieve this project. Then, we will focus on the history and the functioning of botnets: botnets are indeed the most common use of C&C architecture. Afterwards, we will focus on the detection of a C&C architecture, to understand what challenges the implementation will have to meet. Finally, we will present an implementation that was made during the thesis of an end-to-end C&C scenario, based on an open software called SilentTrinity, and corresponding to the needs of the auditors. / I dag är cybersäkerhet en viktig fråga för hela samhället. Företag kan förlora miljarder dollar på grund av cyberattacker. Stater måste hålla landets vitala infrastruktur igång och måste förbereda sig för cyberkrig mot cyberterrorism och andra stater. Och slutligen kan alla också drabbas av en cyberattack, som t.ex. kreditkortsstöld, utpressningstrojaner som ber om pengar osv. I detta spända sammanhang framstår botnät och Remote Access Trojan som ett av de största hoten mot cybersäkerheten. I denna masteruppsats kommer vi att fokusera på Command & Control-arkitekturer, som kan användas som ett första steg i ett nätverk för att sedan kompromettera det helt och hållet. För att göra detta måste den skadliga kod som används för att sätta C&C-arkitekturen på plats först kringgå alla antivirusskydd och sedan upprätta en anslutning till en C&C-server. Denna masteruppsats kommer att handla om automatiseringen av införandet av en sådan arkitektur, som ska vara tillräckligt smygande för att kringgå de vanligaste skydden. Denna masteruppsats deltog vid företaget Wavestone, som utför cybersäkerhetsrevisioner. Efter en kort presentation av Wavestone kommer vi först att förklara varför en C&C-arkitektur är mycket användbar för revisorer (och följaktligen även för cyberkriminella), och vilka steg som kommer att tas för att genomföra detta projekt. Därefter kommer vi att fokusera på botnets historia och funktion: botnets är faktiskt den vanligaste användningen av C&C-arkitektur. Därefter kommer vi att fokusera på upptäckten av en C&C-arkitektur för att förstå vilka utmaningar som genomförandet måste möta. Slutligen kommer vi att presentera ett genomförande som gjordes under avhandlingen av ett C&C-scenario från början till slut, baserat på en öppen programvara som heter SilentTrinity, och som motsvarar revisorernas behov.
| Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-312165 |
| Date | January 2021 |
| Creators | Glasser, Timon |
| Publisher | KTH, Skolan för elektroteknik och datavetenskap (EECS) |
| Source Sets | DiVA Archive at Upsalla University |
| Language | English |
| Detected Language | Swedish |
| Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
| Format | application/pdf |
| Rights | info:eu-repo/semantics/openAccess |
| Relation | TRITA-EECS-EX ; 2021:949 |
Page generated in 0.0023 seconds