TU Darmstadt / ULB / TUprints

Advanced monitoring in P2P botnets

Karuppayah, Shankar (2016)
Advanced monitoring in P2P botnets.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

[img]
Preview
Shankar Karuppayah PhD Thesis - Text (Shankar Karuppayah PhD Thesis)
Karuppayah-PhDThesis_FinalVersion.pdf - Accepted Version
Copyright Information: CC BY-NC-ND 4.0 International - Creative Commons, Attribution NonCommercial, NoDerivs.

Download (4MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Advanced monitoring in P2P botnets
Language: English
Referees: Mühlhäuser, Prof. Dr. Max ; Paxson, Prof. Dr. Vern ; Mantel, Prof. Dr. Heiko ; Eugster, Prof. Dr. Patrick ; Fischlin, Prof. Dr. Marc
Date: 18 May 2016
Place of Publication: Darmstadt, Germany
Date of oral examination: 1 June 2016
Abstract:

Botnets are increasingly being held responsible for most of the cybercrimes that occur nowadays. They are used to carry out malicious activities like banking credential theft and Distributed Denial of Service (DDoS) attacks to generate profit for their owner, the botmaster. Traditional botnets utilized centralized and decentralized Command-and-Control Servers (C2s). However, recent botnets have been observed to prefer P2P-based architectures to overcome some of the drawbacks of the earlier architectures.

A P2P architecture allows botnets to become more resilient and robust against random node failures and targeted attacks. However, the distributed nature of such botnets requires the defenders, i.e., researchers and law enforcement agencies, to use specialized tools such as crawlers and sensor nodes to monitor them. In return to such monitoring, botmasters have introduced various countermeasures to impede botnet monitoring, e.g., automated blacklisting mechanisms.

The presence of anti-monitoring mechanisms not only render any gathered monitoring data to be inaccurate or incomplete, it may also adversely affect the success rate of botnet takedown attempts that rely upon such data. Most of the existing monitoring mechanisms identified from the related works only attempt to tolerate anti-monitoring mechanisms as much as possible, e.g., crawling bots with lower frequency. However, this might also introduce noise into the gathered data, e.g., due to the longer delay for crawling the botnet. This in turn may also reduce the quality of the data.

This dissertation addresses most of the major issues associated with monitoring in P2P botnets as described above. Specifically, it analyzes the anti-monitoring mechanisms of three existing P2P botnets: 1) GameOver Zeus, 2)Sality, and 3) ZeroAccess, and proposes countermeasures to circumvent some of them. In addition, this dissertation also proposes several advanced anti-monitoring mechanisms from the perspective of a botmaster to anticipate future advancement of the botnets. This includes a set of lightweight crawler detection mechanisms as well as several novel mechanisms to detect sensor nodes deployed in P2P botnets. To ensure that the defenders do not loose this arms race, this dissertation also includes countermeasures to circumvent the proposed anti-monitoring mechanisms. Finally, this dissertation also investigates if the presence of third party monitoring mechanisms, e.g., sensors, in botnets influences the overall churn measurements. In addition, churn models for Sality and ZeroAccess are also derived using fine-granularity churn measurements.

The works proposed in this dissertation have been evaluated using either real-world botnet datasets, i.e., that were gathered using crawlers and sensor nodes, or simulated datasets. Evaluation results indicate that most of the anti-monitoring mechanisms implemented by existing botnets can either be circumvented or tolerated to obtain monitoring data with a better quality. However, many crawlers and sensor nodes in existing botnets are found vulnerable to the antimonitoring mechanisms that are proposed from the perspective of a botmaster in this dissertation. Analysis of the fine-grained churn measurements for Sality and ZeroAccess indicate that churn in these botnets are similar to that of regular P2P file-sharing networks like Gnutella and Bittorent. In addition, the presence of highly responsive sensor nodes in the botnets are found not influencing the overall churn measurements. This is mainly due to low number of sensor nodes currently deployed in the botnets. Existing and future botnet monitoring mechanisms should apply the findings of this dissertation to ensure high quality monitoring data, and to remain undetected from the bots or the botmasters.

Alternative Abstract:
Alternative AbstractLanguage

Heute werden Botnetze zunehmen für die Mehrzahl der verübten Cyber-Straftaten verantwortlich gemacht. Die Besitzer der Botnetze, sogenannte Botmaster, nutzen die Netze um bösartige Aktivitäten wie beispielsweise den Diebstahl von Bankzugangsdaten und Distributed Denial of Service (DDOS) Angriffe durchzuführen. Ein Botmaster kontrolliert das eigene Botnetz mit einem Command-and-Control Server (C2) und verteilt über diesen Befehle und Aktualisierungen an die Bots. Traditionelle Botnetze verwendeten zentrale oder verteilte C2s. Allerdings zeigen Beobachtungen, dass aktuelle Botnetze mehr und mehr auf P2P-basierte Architekturen setzen und damit die Nachteile einer zentralen Architektur umgehen. P2P-basierte Botnetze sind widerstandsfähiger und robuster gegenüber zufälligen Ausfällen und gezielten Angriffen.

Bots in einem P2P Botnetz sind über ein Overlay miteinander verbunden. Dieses Overlay wird kollaborativ und verteilt von den Bots verwaltet. Diese verteilte Verwaltung erschwert die Überwachung und macht spezialisierte Überwachungslösungen wie Crawler und Sensorknoten nötig. Diese Überwachungslösungen setzen Wissen über das jeweilige Botnetzprotokoll und dessen Nachrichtenformat voraus um teilnehmende Bots und deren Kommunikationsbeziehungen zu bestimmen. Darüber hinaus setzen Botmaster diverse Gegenmaßnahmen ein, wie beispielsweise automatisches Blacklisting. Diese Gegenmaßnahmen führen nicht nur dazu, dass die gewonnenen Erkenntnisse unvollständig sind, sondern erschweren auch Angriffe auf das Botnetz selber (sogenannte Takedown-Angriffe). Der Großteil der verwandten Arbeiten im Feld der Botnetz-Überwachung versucht diese von Botnetzen initierten Gegenmaßnahmen beispielsweise über ein langsameres Crawling zu umgehen. Allerdings führen solche Ansätze aufgrund der höheren Verzögerungen im Crawling auch zu Rauschen in den gewonnenen Daten, was wiederum deren Qualität reduziert.

Diese Dissertation adressiert die meisten der oben genannten Herausforderungen in der Überwachung von Botnetzen. Im Detail werden Gegenmaßnahmen in den folgenden bekannten Botnetzen analysiert und mittels Verbesserung der Überwachungsmethoden umgangen: 1) GameOver Zeus, 2) Sality und 3) ZeroAccess. Darüber hinaus werden in dieser Dissertation mehrere fortschrittliche Gegenmaßnahmen aus der Perspektive der Botmaster vorgestellt, um zukünftigen Entwicklungen vorauszugreifen. Zu diesen Maßnahmen zählt eine leichtgewichtige Crawler-Erkennung sowie neue Methoden zur Erkennung von Sensoren. Um aber solche Botnetze auch noch zukünftig beobachten zu können, beschreibt diese Dissertation auch Methoden um diese von Botnetzen intiierten Gegenmaßnahmen erneut zu umgehen. Weiterhin werden in dieser Dissertation auch die Auswirkungen von Überwachungsaktivitäten Dritter auf die über Überwachungsmaßnahmen gewonnenen Daten, zum Beispiel Churn-Messungen, betrachtet.

Die in dieser Dissertation vorgeschlagenen Beiträge wurden mit echten Botnetz-Datensätzen evaluiert. Diese Datensätze wurden mit Crawlern und Sensoren in Botnetzen sowie durch Simulationen erhoben. Die Resultate deuten darauf hin, dass viele Crawler und Sensoren in Botnetzen für die vorgeschlagenen Gegenmaßnahmen auf Seiten der Botnetze anfällig sind. Daher sollten heutige und zukünftige Überwachungsmechanismen für Botnetze die Ergebnisse dieser Dissertation berücksichtigen, um weiterhin die Qualität der erhobenen Daten sicherzustellen und von Botmastern unentdeckt zu bleiben.

German
Uncontrolled Keywords: P2P, botnets, monitoring, anti-monitoring, countermeasures
URN: urn:nbn:de:tuda-tuprints-55235
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science > Telecooperation
Date Deposited: 19 Jul 2016 11:52
Last Modified: 15 Jul 2020 08:47
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/5523
PPN: 384782124
Export:
Actions (login required)
View Item View Item