Research and Development 1/^Archief/2007-2008/projecten/Botnet/4. Onderzoek Protocollen

Summary Deelonderzoek

Tijdens de botnet vergelijking zijn we erachter gekomen dat er diverse protocollen gebruikt/misbruikt worden om de botnets goed te laten functioneren. We hebben daarom gekozen om in het verder onderzoek ons te richten op twee belangrijke protocollen voor Mega-D en het Storm botnet.
Voor het onderzoek willen we graag weten waarom er misbruik wordt gemaakt van protocollen zoals SMTP en Overnet. Dit lijkt misschien een erg gemakkelijk te beantwoorden vraag. Maar als we te weten komen waarom bepaalde protocollen gebruikt worden voor onder andere botnets kunnen we misschien gemakkelijker tot een oplossing hiervoor komen. Daarnaast willen we ook graag weten hoe, met name het SMTP en Overnet protocol misbruikt worden. Welke eigenschappen van deze twee protocollen zijn zo gevoelig voor misbruik.

Het is herhaaldelijk geprobeerd om oplossingen voor dit probleem te bedenken. De vraag is waarom deze oplossingen wel of niet gelukt zijn. Deze oplossingen gaan we onderzoeken In het vervolg onderzoek gaan we kijken of we op basis van de geprobeerde oplossingen, concrete practische oplossingen kunnen bedenken die wel potentie hebben om te werken.

Misbruik van Protocollen

Wat is misbruik?

Onder het misbruiken van protocollen verstaan we dat protocollen zoals SMTP en Overnet niet gebruikt worden zoals de makers het bedoeld hadden. Deze beschrijving is op zichzelf nog erg vaag. Maar als je bijvoorbeeld het SMTP protocol neemt, was het vooral de bedoeling om persoonlijke en bedrijfs email mee te versturen naar andere partijen. Deze partijen hebben allebei baat bij het versturen en ontvangen van deze e-mail. Misbruik hiervan is het versturen van ongewenste e-mail oftewel spam.

Overnet is een compleet ander soort protocol dan SMTP. Zo is alle officiële software (in het bijzonder de eDonkey2000 software) die van Overnet gebruik maakt officiëel afgesloten. Toch werd er in 2007 bekend dat één van de bekendste botnets gebruik maakt van een op Overnet gebaseerd peer-2-peer netwerk.
Wij classificeren dit gebruik van het Overnet protocol ook als misbruik. Overnet was duidelijk niet gecreëerd om zo gebruikt te worden.

Groepen die misbruik maken van protocollen

Natuurlijk zijn buiten ons bereik van dit onderzoek nog vele andere voorbeelden van protocollen die misbruikt worden door spammers, virusmakers, hackers en botnet makers. Door onze focus op het SMTP en Overnet protocol richten we ons in eerste instantie alleen op de spammers en botnetmakers.

Het misbruik van het SMTP protocol wordt dus vooral door de spammers en botnetmakers uitgevoerd. Door te maskeren van wie de mail komt, kunnen deze groepen makkelijk low-cost e-mail versturen naar gewone mensen.

Overnet wordt misbruikt door de makers van het Storm-botnet. Het protocol wordt gebruikt bij de communicatie en het transport van bestanden tussen de geïnfecteerde computers.

SMTP

Het SMTP wordt veel gebruikt voor het versturen van e-mail over het internet. Dit protocol wordt ook veel misbruikt door spammers en botnets.

Eigenschappen waar de botnets gebruik/misbruik van maken.

SMTP stuurt wel een afzender mee, maar daar zit geen beveiliging op. De verzender mag handmatig deze afzender invullen en mag hier gerust bij liegen. Daardoor is anonieme communicatie mogelijk. Verder is SMTP wijd verspreid en kan in principe op elke poort ontvangen worden.

Bekende oplossingen tegen misbruik.

SMTP-AUTH is een extensie van het protocol dat zorg draagt voor de betrouwbaarheid van de informatie over de afzender. Hoewel gepoogd is deze extensie overal te implementeren, is dit jammerlijk gefaald. SMTP is te veelvuldig gebruikt om SMTP-AUTH een oplossing te laten zijn voor het spamprobleem. Poort 25 kan gesloten worden, waardoor spam via SMTP minder effectief wordt. Dit is echter ook bij lange na geen permanente oplossing, aangezien SMTP via andere poorten, hoewel niet de internationale default, wel gewoon mogelijk is. Er is al spam gedetecteerd via SMTP via ongebruikelijke ports. Routers, met name die van servers binnen bedrijfsnetwerken kunnen dusdanig ingesteld worden, dat bedrijfscomputers enkel met elkaar kunnen communiceren via SMTP protocol. Computers van buitenaf, met goede of kwade bedoelingen, kunnen er echter niet bij. Dit heeft als nadeel dat medewerkers niet van buitenaf via SMTP met het netwerk kunnen communiceren, maar voorkomt misbruik van bedrijfsnetwerken als botnets. Uiteindelijk is het natuurlijk gewenst om communicatie via SMTP totaal onmogelijk te maken. Op het moment wordt SMTP echter nog simpelweg te veel gebruikt om dit te realiseren.

Overnet

Overnet was oorspronkelijk een peer-2-peer communicatie protocol gebruikt voor het eDonkey2000 netwerk. Het Storm botnet maakt deels gebruik van de lokalisatie gebruikt voor Overnet. De lokalisatie is echter aangepast om URL's te ontvangen van de gevonden peers in plaats van muziek of databestanden. Het download-'algoritme' is compleet overgenomen door Storm.

Eigenschappen waar het Stormbotnet gebruik/misbruik van maakt

Het peer-2-peer principe. Dit principe berust op het idee dat alle computers samen één bestand aangeboden wordt. Normaal gesproken wordt er bij een peer-2-peer netwerk een bestand gelokaliseerd door meerdere peers te vragen of ze dat bestand hebben; zo niet, dan kennen ze misschien andere peers die dit bestand wel hebben. In het geval van Overnet wordt er niet naar een bestand gezocht, maar naar een URL waar het botnet diverse bestanden kan downloaden. Het voordeel waar het Storm botnet gebruik van kan maken is, dat de peers de onwetende geïnfecteerde computers zijn binnen het botnet. Oorspronkelijk is het Overnet protocol bedoeld om gebruikt te worden door bewuste gebruikers die deel willen nemen aan het peer-2-peer netwerk.

Bekende oplossingen tegen misbruik

De enige oplossingen die om het misbruik van Overnet tegengaan is het ontmantelen van de geïnfecteerde computers. of zorgen dat de geïnfecteerde computers niet gebruik kunnen maken van het Overnet peer-2-peer netwerk. Eigenlijk is dit niet meer als symptoombestrijding. Doordat het gebruikte Overnet protocol alleen door de geïnfecteerde computers gebruikt wordt kan de buitenwereld hier niet echt actie tegen ondernemen. Overnet maakt echter wel gebruik van een bepaalde vorm van encryptie die door netwerkbeheerders herkend kan worden. Iemand met verstand van zaken kan de communicatie van Overnet blokkeren in de router.

DDoS protocollen?

Tot op heden hebben we hier nog geen aandacht besteed, maar naar aanleiding van ons onderzoek tot zo ver is het misschien interessant om ook naar de DDoS protocollen te kijken die het Storm botnet misbruikt / gebruikt.

Eigenschappen waar het Stormbotnet gebruik/misbruik van maakt

Bekende oplossingen tegen misbruik

Presentatie Onderzoeksfase 2

links

• http://en.wikipedia.org/wiki/Protocol_(computing)
• http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol
• http://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol
• http://micro.uoregon.edu/smtprelayblock/index.html
• http://help.unc.edu/4770