Actualizado el 21 de Marzo del 2018 (Publicado el 9 de Noviembre del 2017)
587 visualizaciones desde el 9 de Noviembre del 2017
2,4 MB
109 paginas
Creado hace 12a (06/10/2011)
Universidad de Buenos Aires
Facultades de Ciencias
Económicas,
Cs. Exactas y Naturales e Ingeniería
Maestría en Seguridad Informática
Tesis
Técnicas y herramientas forenses
para la detección de Botnets
Autor: Ing. Juan A. Devincenzi
Director de Tesis: Ing. Hugo Pagola
AÑO - 2011
Cohorte
2009
Técnicas y herramientas forenses para la detección de Botnets
Ing. Juan A. Devincenzi
Página 2 de 109
Técnicas y herramientas forenses para la detección de Botnets
Resumen
Una Botnet es una red formada por un conjunto de hosts de un tamaño
determinado bajo el control centralizado de un tercero denominado Bot
Herder; dicho control se consigue mediante la instalación de un programa
llamado Bot en cada host.
El objetivo del presente
trabajo es: Proporcionar un conjunto de
herramientas y
técnicas
forenses adaptándolas para la detección e
identificación de Botnets, y ofrecer una guía de implementación de las
herramientas más significativas.
El aporte de este trabajo consiste primeramente en generar una metodología
integral que mediante un enfoque Top-Down (de lo general a lo particular),
es decir yendo desde la red hacia los hosts, instruya en cómo detectar
Botnets. Para ello se adaptarán algunas herramientas que no son
específicas para detectar Botnets (como Snort y Nepenthes) y se
propondrán un conjunto de técnicas forenses especialmente pensadas para
detectar e identificar Botnets.
Palabras clave
Botnet, Bot, Bot Herder, Honeypot, IDS.
Ing. Juan A. Devincenzi
Página 3 de 109
Técnicas y herramientas forenses para la detección de Botnets
Ing. Juan A. Devincenzi
Página 4 de 109
Técnicas y herramientas forenses para la detección de Botnets
Índice
Resumen ................................................................................................................................... 3
Palabras clave ....................................................................................................................... 3
Índice ........................................................................................................................................ 5
Introducción ............................................................................................................................. 7
Sobre la metodología para la detección de Botnets ............................................................... 9
Conceptualización de una Botnet como un Worm ................................................................. 9
Capítulo 1: Snort aplicado a la detección de Botnets ............................................................... 11
Introducción ........................................................................................................................ 11
Introducción al protocolo IRC .............................................................................................. 13
Sobre la arquitectura y el funcionamiento de Snort ............................................................. 15
Instalando Snort .................................................................................................................. 17
Comprendiendo las reglas de Snort ..................................................................................... 19
El archivo de configuración snort.conf ................................................................................. 21
Proceso de detección de Botnets con Snort ......................................................................... 24
Un modelo iterativo de detección de Botnets y mejora de reglas ........................................ 26
Capítulo 2: Detección de Botnets con Nepenthes .................................................................... 33
Introducción a los Honeypots .............................................................................................. 33
Introducción a Nepenthes ................................................................................................... 34
Diseño arquitectónico de Nepenthes ................................................................................... 35
Despliegue e instalación del sensor ..................................................................................... 37
Testing inicial de Nepenthes ................................................................................................ 38
Descripción del funcionamiento básico de Nepenthes ......................................................... 40
Procedimiento para la operación de Nepenthes .................................................................. 41
Capítulo 3: Ourmon como herramienta de detección de Botnets ............................................ 47
Introducción y arquitectura ................................................................................................. 47
Instalación y despliegue de la herramienta .......................................................................... 48
Ing. Juan A. Devincenzi
Página 5 de 109
Técnicas y herramientas forenses para la detección de Botnets
Sobre los reportes ............................................................................................................... 50
Un enfoque iterativo para la detección de Botnets y generación de reglas de Snort ............ 60
Capítulo 4: Forensia sobre host y malware .............................................................................. 65
Introducción ........................................................................................................................ 65
Alcance pericial y consideraciones previas ........................................................................... 66
Alcances y consideraciones sobre la pericia de malware ...................................................... 67
Ejecutando la pericia sobre host .......................................................................................... 68
Pericia sobre el malware ..................................................................................................... 77
Conclusiones ........................................................................................................................... 87
Anexos .................................................................................................................................... 89
Anexo A: Instalación de Snort y componentes periféricos .................................................... 89
Anexo B: Instalación y configuración de NTOP y Wireshark.................................................. 94
Anexo C: Instalación y configuración de Nepenthes ............................................................. 97
Anexo D: Instalación y configuración de Ourmon............................................................... 102
Bibliografía ............................................................................................................................ 107
Ing. Juan A. Devincenzi
Página 6 de 109
Técnicas y herramientas forenses para la detección de Botnets
Introducción
Las Botnets son una amenaza real, concreta y en crecimiento constante.
Actualmente el problema de las Botnets casi se ha salido de control y el
número de hosts zombie crece día a día. En este contexto turbulento se
enmarca la investigación de este trabajo; el objetivo general del mismo es el
siguiente: “Proporcionar un conjunto de herramientas y técnicas forenses
adaptándolas para la detección e identificación de Botnets, y ofrecer una
guía de implementación de las herramientas más significativas.”
La hipótesis en la que se inscribe este trabajo y que se intentará verificar a lo
largo del mismo es la siguiente: “Se pueden detectar Botnets mediante la
utilización de las herramientas Snort, Ourmon, y Nepenthes y un conjunto de
herramientas y técnicas forenses para la identificación de los Bots instalados
en los hosts.”
La idea general del trabajo es la de proponer una metodología integral que
mediante un enfoque Top-Down informe sobre cómo detectar Botnets. Para
ello se van a presentar e implementar un conjunto de herramientas
específicas para la detección de Botnets en un entorno organizacional
utilizando el enfoque forense para la utilización de dichas herramientas.
Dado que existen herramientas aplicables tanto a nivel de red como a nivel
de host, se propone utilizar la metodología Top-Down comenzando desde
“más arriba” y así describiendo e
implementando
tres herramientas
específicas para la detección de Botnets a nivel de red como Ourmon,
Nepenthes y Snort; y luego bajar al nivel de host y presentar allí un conjunto
de herramientas y técnicas forenses para la detección de Bots a ese nivel.
Si bien existe un conjunto más amplio de herramientas a nivel de red para
implementar se seleccionó a Ourmon, Nepenthes y Snort siguiendo algunos
criterios generales y otros específicos.
Entre los criterios generales que involucran a estas 3 herramientas por igual
se destacan que las 3 son gratuitas, se encuentran bien documentadas y
todas también cuentan con una comunidad de usuarios que puede brindar
soporte en caso de tener problemas con su uso o implementación. El hecho
de que estas herramientas estén bien documentadas y tengan suficiente
soporte resultó una característica primordial para su elección dado que de
Ing. Juan A. Devincenzi
Página 7 de 109
Técnicas y herramientas forenses para la detección de Botnets
esta forma se simplifica que futuros lectores de este trabajo puedan repetir
las experie
Comentarios de: Técnicas y herramientas forenses para la detección de Botnets (0)
No hay comentarios