Applying honeypots against bot networks and self-propagating malware in the Internet

Thumbnail Image

URL

Journal Title

Journal ISSN

Volume Title

School of Electrical Engineering | Master's thesis
Checking the digitized thesis and permission for publishing
Instructions for the author

Authors

Date

2010

Department

Tietoliikenne- ja tietoverkkotekniikan laitos

Major/Subject

Tietoverkkotekniikka

Mcode

S-38

Degree programme

Language

en

Pages

[11] + 96

Series

Abstract

Malware and botnets in particu1ar have become the preeminent instrument of Internet crime. This thesis demonstrates how honey pots can be applied against botnets and self-propagating malware in order to both better understand the current state of malware in the Internet as well as to mitigate the threats posed by botnets. We deploy a Nepenthes honeynet for a four-month period in a class C IPv4 network assigned to a major Finnish corporation and conduct in-depth analysis on the collected malware binaries by employing behavioural sandbox analysis and several anti-virus engines. Moreover, we inspect the honeynet traffic in detail and analyze, for example, the geographic locations of both attacking and malware hosting systems as well as the autonomous systems the attacks originate from. In addition to presenting our analysis results, we demonstrate in practice how the collected, data can he used to infiltrate active real-world IRC botnets in order to observe their operators and the attacks they initiate in real-time as well as to gain access to the malware repositories they use.

Haittaohjelmista ja niistä koostuvista hyökkäysverkoista on muodostunut viime vuosien aikana yksi tietoverkkorikollisuuden tärkeimmistä työkaluista. Tämä diplomityö pyrkii sekä ymmärtämään haittaohjelmien tilaa nykypäivän Internetissä että tutkimaan houkutusjärjestelmien käyttöä hyökkäysverkkoja ja itsenäisesti leviäviä haittaohjelmia vastaan. Työn kirjallisessa osuudessa perehdytään syvällisesti sekä hyökkäysverkkojen että houkutusjärjestelmien arkkitehtuureihin ja erilaisiin käyttömahdollisuuksiin. Työn empiirisessä osuudessa Nepenthes-pohjainen houkutusverkko sijoitettiin neljäksi kuukaudeksi julkiseen C-luokan IPv4-verkkoon. Seurantajakson aikana kerättiin tietoa hyökkääjien käyttämistä metodeista sekä tutkittiin hyökkääjien levittämiä haittaohjelmia käyttäytymisanalyysin ja virustorjuntaohjelmien avulla. Hyökkäysten ja haittaohjelmien analysoinnin lisäksi työssä havainnollistettiin kuinka hyökkäysverkkoja ja niiden ylläpitäjiä voidaan seurata reaaliajassa soluttautumalla IRC-pohjaisiin hyökkäysverkkoihin houkutusjärjestelmän keräämää informaatiota hyödyntäen.

Description

Supervisor

Ott, Jörg

Keywords

botnets, hyökkäysverkot, honeypots, haittaohjelmat, honeynets, houkutusjärjestelmät, malware, Internet-rikollisuus, Internet crime

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-2020122357856

Collections

[dipl] Sähkötekniikan korkeakoulu / ELEC