Σχεδιασμός και υλοποίηση δικτύου botnet βασισμένο στο πρωτόκολλο ανωνυμοποίησης Tor

Abstract

Τα δίκτυα μολυσμένων υπολογιστών, γνωστά ως botnets, αποτελούν μια σημαντική απειλή για την ασφάλεια του διαδικτύου για τον μέσο χρήστη αλλά και για τους μεγάλους οργανισμούς λόγω της μεγάλης ποικιλίας των κακόβουλων σκοπών για τους οποίους μπορούν να χρησιμοποιηθούν. Τα τελευταία χρόνια, αυτή η απειλή αυξάνεται συνεχώς, όπου χρησιμοποιούνται πιο εξειδικευμένες αρχιτοκτονικές και μέθοδοι συγκάληψης της λειτουργίας των botnets. Αυτή η εργασία έχει ως στόχο να αυξήσει την ενημερότητα της κοινότητας της Ασφάλειας σχετικά με τις αρχιτεκτονικές που δύνανται να χρησιμοποιούν το δίκτυο ανωνυμίας Tor. Αυτές οι αρχιτεκτονικές μπορούν να προσφέρουν αυξημένη διακριτικότητα και μυστικότητα στην λειτουργία ενός botnet,καθώς και ανθεκτικότητα και αντοχή, χάρη στο γεγονός ότι ο server που αποτελεί το κέντρο ελέγχου των bots, ο Command and Control (C&C) Server, μπορεί να λειτουργεί σε ένα Hidden Service (HS), στο οποίο τα bots συνδέονται αφότου αποκτήσουν την onion address του HS. Αυτή η onion address, μεταβάλεται συνεχώς δυναμικά. Τα bots αποκτούν την onion address μέσω της χρήσης ενός HS - Gateway ή μέσω ενός μηχανισμού που ονομάζεται “Tor Fluxing” όπου τα bots στέλνουν DNS ερωτήματα σε έναν DNS Authoritative Server υπό τον έλεγχο του Botmaster, και ζητούν τις DNS TXT εγγραφές για ένα domain name, το οποίο έχει παραχθεί με την χρήση ενός Domain Generation Algorithm (DGA)αλγορίθμου. Αυτοί οι μηχανισμοί κάνουν το εντοπισμό και την αντιμετώπιση της C&C server υποδομής με σκοπό την παύση της λειτουργίας της και την αποσυναρμολόγηση του botnet, μια πολύπλοκη και δύσκολη διαδικασία. Τέλος, οι προτεινόμενες αρχιτεκτονικές αξιολογούνται και συγκρίνονται όσον αφορά την απόδοση τους, προσφέροντας πληροφορίες σχετικά με το τι μπορεί να προσφέρει κάθε αρχιτεκτονική.