Applying honeypots against bot networks and self-propagating malware in the Internet

No Thumbnail Available
Journal Title
Journal ISSN
Volume Title
School of Electrical Engineering | Master's thesis
Checking the digitized thesis and permission for publishing
Instructions for the author
Date
2010
Major/Subject
Tietoverkkotekniikka
Mcode
S-38
Degree programme
Language
en
Pages
[11] + 96
Series
Abstract
Malware and botnets in particu1ar have become the preeminent instrument of Internet crime. This thesis demonstrates how honey pots can be applied against botnets and self-propagating malware in order to both better understand the current state of malware in the Internet as well as to mitigate the threats posed by botnets. We deploy a Nepenthes honeynet for a four-month period in a class C IPv4 network assigned to a major Finnish corporation and conduct in-depth analysis on the collected malware binaries by employing behavioural sandbox analysis and several anti-virus engines. Moreover, we inspect the honeynet traffic in detail and analyze, for example, the geographic locations of both attacking and malware hosting systems as well as the autonomous systems the attacks originate from. In addition to presenting our analysis results, we demonstrate in practice how the collected, data can he used to infiltrate active real-world IRC botnets in order to observe their operators and the attacks they initiate in real-time as well as to gain access to the malware repositories they use.

Haittaohjelmista ja niistä koostuvista hyökkäysverkoista on muodostunut viime vuosien aikana yksi tietoverkkorikollisuuden tärkeimmistä työkaluista. Tämä diplomityö pyrkii sekä ymmärtämään haittaohjelmien tilaa nykypäivän Internetissä että tutkimaan houkutusjärjestelmien käyttöä hyökkäysverkkoja ja itsenäisesti leviäviä haittaohjelmia vastaan. Työn kirjallisessa osuudessa perehdytään syvällisesti sekä hyökkäysverkkojen että houkutusjärjestelmien arkkitehtuureihin ja erilaisiin käyttömahdollisuuksiin. Työn empiirisessä osuudessa Nepenthes-pohjainen houkutusverkko sijoitettiin neljäksi kuukaudeksi julkiseen C-luokan IPv4-verkkoon. Seurantajakson aikana kerättiin tietoa hyökkääjien käyttämistä metodeista sekä tutkittiin hyökkääjien levittämiä haittaohjelmia käyttäytymisanalyysin ja virustorjuntaohjelmien avulla. Hyökkäysten ja haittaohjelmien analysoinnin lisäksi työssä havainnollistettiin kuinka hyökkäysverkkoja ja niiden ylläpitäjiä voidaan seurata reaaliajassa soluttautumalla IRC-pohjaisiin hyökkäysverkkoihin houkutusjärjestelmän keräämää informaatiota hyödyntäen.
Description
Supervisor
Ott, Jörg
Keywords
botnets, hyökkäysverkot, honeypots, haittaohjelmat, honeynets, houkutusjärjestelmät, malware, Internet-rikollisuus, Internet crime
Other note
Citation