Research and Development 1/^Archief/2007-2008/projecten/Botnet/2. Onderzoeksplan

Uit Werkplaats
Ga naar: navigatie, zoeken
Research and Development 1

Categorie Comment for RenD1 is niet gevonden


R&D1 - Botnets: Onderzoeksplan

Probleemstelling

Onderzoeksvraag

Welke eigenschappen van botnets dragen bij aan productiviteit en lange levensverwachting van botnets en hoe maken ze misbruik/gebruik van bestaande protocollen? Wat kunnen we in de toekomst verwachten van botnets?

Welke eigenschappen van botnets dragen bij aan productiviteit en lange levensverwachting van botnets en hoe maken ze misbruik/gebruik van bestaande protocollen? Wat kunnen we in de toekomst verwachten van botnets? Meetbaar gemaakt met behulp van de opgestelde criteria. ...


WHAT DO WE KNOW??

Storm vs Mega-D: - SMTP en Overnet zijn gebruikte protocollen.


SMTP: - Gebruikt het versturen van e-mail - Wordt geëxploiteerd voor het versturen van spam, o.a. door botnets

Overnet: - Dood protocol voor P2P verkeer - oorspronkelijk ontwikkeld voor EDonkey2000 - Een aangepaste versie voor Storm gebruikt.


Controleren of het aan de volgende eisen voldoet

  • verankerd: ... in een wetenschapsgebied
  • relevant de moeite waard
  • precies goed onderzoekbaar gemaakt
  • functioneel goede structuur
  • consistent alles past bij elkaar

Product/Soort Antwoord

Onderzoek & Antwoord op de onderzoeksvraag

Complete beschijving maken van het onderzoek We doen eerst een literair onderzoek om een beter beeld te krijgen hoe botnets werken en hoe complex ze zijn. Om een beter doel voor ogen te hebben, kozen we voor een vergelijking tussen 2 botnets. Als hoofdonderzoek gaan we ons nu richten op de communicatie binnen het botnet. Dit gaan we doen door een experiment uit te voeren waarin we een geïnfecteerde computer te monitoren.

Literair onderzoek
In het literaire onderzoek proberen we 2 verschillende botnets te vergelijken. Aan de hand van deze vergelijking keken we welk van de twee botnets beter was.

Onderzoek naar de protocollen




Experiment SMTP & SMTP-auth modellen in UPPAAL

Met behulp van de modeling tool Uppaal gaan we de protocollen SMTP en SMTP-auth globaal modelleren Het belangrijkste doel van dit onderzoek is om de verschillen tussen SMTP en SMTP-auth inzichtelijk te maken. Van beide protocollen zal een model worden gemaakt. Hiervan maken we een afbeelding, en de twee afbeeldingen van de 2 modellen leggen we naast elkaar. Het exact uitwerken van de protocollen is, gezien de beperkte tijd, niet mogelijk. Daarom zal er van bepaalde dingen worden geabstraheerd, en zullen we alleen kijken naar de "perfecte" manier waarop het protocol werkt, en niet naar de gevallen waarin er iets onverwachts gebeurd.


Verantwoording

Korte beschrijving van de reden/motivatie

We kwamen tijdens onze eerste verkenning in het domein security veel tegen over de gevaren van een botnet. We lazen diverse artikelen over het Storm botnet. Geschat wordt dat dit botnet bestaat uit miljoenen zombiecomputers. In het artikel "Securitybedrijven pakken botnets aan" stelt Adrew Jaquith van het onderzoeksbureau Yankee Group dat botnets het meest acute, maar ook het meest onderbelichte beveiligingsprobleem van 2007 zijn.

Op basis van deze informatie wilden wij graag een onderzoek starten dat inzicht zou geven in de moeilijkheidsgraad voor het verspreiden, opzetten en besturen van een botnet.

Theoretisch kader

Korte beschrijving van het kennisgebied

Botnets zijn netwerken van met malware geïnfecteerde computers die, meestal volledig buiten weten van de gebruiker om, taken uitvoeren voor een hacker. De hacker richt ergens een Command & Control Server op, die de computers commando's moet geven. Mocht de C&C opgespoord worden, kan de hacker het spoor tussen hem en deze C&C effectief uitwissen.
Mogelijke taken die geïnfecteerde computers (zombies) kunnen uitvoeren, omvatten met name DDOS aanvallen en het versturen van spam. Volledige botnets, bestaande uit vaak tienduizenden computers, worden te koop of te huur aangeboden door deze hackers.

Methode

Onderzoeksfunctie

Met behulp van dit onderzoek willen we netwerkbeheerders een duidelijk beeld geven hoe ze het netwerkverkeer van geïnfecteerde computers kunnen herkennen.

Onderzoeksmethode

Nog aan te passen op het onderzoek dat gedaan is!!

Literair vergelijkingsonderzoek

Voor het literaire onderzoek trekken we de eerste vier weken uit na het opleveren van het onderzoeksplan. Met dit onderzoek proberen wij 2 botnets te vergelijken.

Onderdelen waarop we de botnets gaan onderzoeken:

  • Functionaliteit en positie van de Command & Control Center binnen het botnet
  • De communicatie (techniek) tussen de "zombie" en bestuurder
  • Infectiemethoden
  • Welke soorten aanvallen worden met het botnet gerealiseerd?

Onderdelen waarop we de botnets gaan vergelijken:

  • Welk botnet heeft zich het best ingedekt voor het verlies van een Command and Control sever?
  • Welk botnet heeft herstelt het snelst van een 'beschadiging'?
  • Welk botnet heeft meer schade gedaan aan de buitenwereld?
  • Welk botnet is moeilijker te detecteren door derden(o.a. beveiligingssoftware, researchers/opsporingsdiensten, gebruikers).

Deelvragen

  • ...
  • ...

Protocollen onderzoek

Uit ons onderzoek van Storm vs. Mega-D zijn de volgende netwerkprotocollen naar boven gekomen.

  • Overnet protocol.
  • SMTP protocol.

We gaan onderzoeken hoe de protocollen werken en op welke manieren ze gebruikt kunnen worden t.b.v. botnets. We gaan ons speciaal richten op het eventuele zwakheden van de protocollen en hoe die gebruikt worden door botnets. Als uiteindelijke doel gaan we onderzoeken hoe er tegen het misbruik van de zwakheden van de protocollen beschermd kan worden.


Deelvragen

  • ...
  • ...

Tijd- en faseringsschema

Literatuur

Overgenomen van "https://lab.cs.ru.nl/algemeen/index.php?title=Research_and_Development_1/%5EArchief/2007-2008/projecten/Botnet/2._Onderzoeksplan&oldid=89580"