SIP as a Botnet C&C Covert channel (Αξιολόγηση του πρωτοκόλλου SIP ως κρυφού καναλιού ελέγχου και επικοινωνίας για διαδικτυακά ρομπότ)

Abstract

Στην εποχή μας, η ανάγκη χρήσης του Διαδικτύου αυξάνεται με γοργούς ρυθμούς, ειδικά με την εξέλιξη της τεχνολογίας γύρω μας. Ακολουθώντας τον πολλαπλασιασμό των διαθέσιμων υπηρεσιών στον τελικό χρήστη και την αύξηση στη χωρητικότητα των κινητών ή μη δικτύων επικοινωνιών, ολοένα και περισσότεροι άνθρωποι χρησιμοποιούν το Διαδίκτυο για τις καθημερινές τους ανάγκες. Από την άλλη μεριά, ο κίνδυνος από την εξάπλωση και εκτέλεση κακόβουλου λογισμικού τείνει διαρκώς αυξανόμενος. Η εξέλιξη αυτή συντέλεσε στην περαιτέρω ανάπτυξη των botnets. Τα botnets αποτελούν μια σοβαρή απειλή ενάντια στην ασφάλεια του κυβερνοχώρου. Ίσως ο σημαντικότερος παράγοντας, ο οποίος εντείνει το φαινόμενο των botnets, είναι η ύπαρξη πολλών δικτύων και πρωτοκόλλων (όπως IRC, HTTP), πράγμα που βοηθά τους διαχειριστές τους (botmaster) να ελέγχουν ευκολότερα και αποτελεσματικότερα τα διαδυκτιακά ρομπότ τους (botnet). Με την κατανεμημένη τεχνολογία (νοημοσύνη) τα botnets μπορούν να εκτελούν επιθέσεις για διάφορους λόγους, κυρίως χρηματικούς ή την απόσπαση δεδομένων από τους τελικούς χρήστες.Αυτή η διπλωματική εργασία παρουσιάζει ένα πλήρη ορισμό του τί είναι ένα botnet και πώς αυτά λειτουργούν. Στο πλαίσιο της παρούσας διπλωματικής θα αναλύσουμε τα κύρια χαρακτηριστικά των διαδικτυακών ρομπότ (botnets) συμπεριλαμβανομένων, τη δομής τους, των τρόπων που χρησιμοποιούν για να παραμένουν κρυμμένα, καθώς και των μεθόδων ανίχνευσης και αντιμετώπισής του. Επίσης θα αναλύσουμε το ευρέως χρησιμοποιούμενο σήμερα Session Initiation Protocol (SIP) και θα δείξουμε ότι μπορεί εύκολα να χρησιμοποιηθεί για την υλοποίηση ενός κρυφού (covert) καναλιού επικοινωνίας από τους botmasters. Επιπλέον, θα παρουσιάσουμε στατιστικά αποτελέσματα που συγκεντρώθηκαν από εργαστηριακά πειράματα εξαπολύοντας δύο διαφορετικούς τύπους επιθέσεων άρνησης πρόσβασης (DoS) εναντίον ενός διακομιστή (server). Απ' όσο γνωρίζουμε αυτή είναι η πρώτη εργασία στη βιβλιογραφία, η οποία αναλύει με λεπτομέρειες και αξιολογεί τη χρήση του SIP ως κρυφού καναλιού επικοινωνίας διαδικτυακών ρομπότ.

Nowadays, the need for Internet use is growing fast, especially with the vast technologicaldevelopment all around us. More and more people are using it, more and more programsare running, thus more and more undesirable code is being executed in a daily basis.This growth has encouraged botnets to emerge, become more sophisticated, creating aserious threat against cyber-security. Perhaps, the major factor which augments botnetphenomenon is that there are a lot of networks and protocols (e.g. IRC, HTTP), whichcan be used by botmasters to control their botnets. With distributed intelligence, botnetscan unleash attacks against several targets for a variety of reasons, mainly monetary orfor the extraction of data.This thesis presents a comprehensive de nition of what is a botnet and how botnetswork. The major characteristics of botnets will be analysed, such as their structure, theways in which they can go undetected, as well as ways to detect and counter- fight abotnet. Due to its widespread use, we analyse Session Initiation Protocol (SIP) and showthat it can be easily exploited for the bene t of a botnet developer. Nowadays, SIP is akey component in many telecommunication and Internet multimedia services. Therefore,in the context of the current thesis, we exploit SIP as a covert channel for implementingbasic botnet's C&C operations. Additionally, we present statistical results gathered fromlaboratory experiments under two di erent types of attacks to a victim machine. To thebest of our knowledge, this is the rst work in the literature that demonstrate in detailthe potential of using SIP to hide botnet communications.