Caracterização estatística de Botnets

Abstract

Atualmente, as redes de computadores convencionais têm vindo a ser afetadas por vários tipos de ataques informáticos que deixam as suas máquinas infetadas, agindo de forma automatizada e sem consciência por parte dos utilizadores, formando aquilo que se designa por Botnet. Após uma contextualização dos diversos tipo de Botnets (redes de máquinas zombie) existentes, nesta dissertação é proposto um modelo de análise dos vários uxos de dados provenientes de máquinas infetadas que funciona um pouco em sentido inverso do que se observa hoje em dia nos modelos de análise mais comuns, que se baseiam essencialmente no reverse engineering dos binários infetados. Para além disso são analisados os sistemas atualmente existentes para a detecção deste tipo de máquinas sendo igualmente apresentada uma metodologia para a captura de tráfego e compreensão do comportamento deste tipo de bots, bem como a sua posterior execução. Na 2a parte da dissertação foi caracterizada uma série de Botnets pertencentes aos principais grupos anteriormente identificados, tendo sido organizados com base nas tarefas maliciosas que tentam obter das máquinas infetadas. Foram efetuadas análises de alto nível dos Bots capturados, tendo em vista a descoberta de características semelhantes entre si, após as quais foi possível obter um conjunto de linhas de orientação para a criação de metodologias de detecção no sentido de construir uma base de dados de traces com uma descrição e análise dos tipos de Botnets correspondentes.

Nowadays, conventional computer networks have been affected by various types of computer attacks that leave infected machines acting in an automated way, without awareness by users. After a contextualization of these type of Botnets (networks of zombie machines), this dissertation proposes a model for analyzing multiple streams of data from infected machines that is quite different from what is done today, essentially an analysis based on reverse engineering of the infected binaries. After that have been analyzed existing systems nowadays for the detection of this type of machines and it was presented a methodology for the capture and subsequent execution of this type of bots. In second part of this dissetation we characterize a series of major groups of Bots, which are organized based on the malicious tasks they try to get from infected machines. Several analysis of the captured Bots were carried out from a high-level point of view in order to discover similar features between them, after which it was possible to describe guidelines for the creation of detection methods in order to provide a database of traces from this type of networks.