PDF de programación - Técnicas y herramientas forenses para la detección de Botnets

Universidad de Buenos Aires

Facultades de Ciencias

Económicas,

Cs. Exactas y Naturales e Ingeniería

Maestría en Seguridad Informática





Tesis



Técnicas y herramientas forenses

para la detección de Botnets



Autor: Ing. Juan A. Devincenzi

Director de Tesis: Ing. Hugo Pagola



AÑO - 2011



Cohorte

2009



Técnicas y herramientas forenses para la detección de Botnets

Ing. Juan A. Devincenzi



Página 2 de 109

Técnicas y herramientas forenses para la detección de Botnets

Resumen

Una Botnet es una red formada por un conjunto de hosts de un tamaño

determinado bajo el control centralizado de un tercero denominado Bot

Herder; dicho control se consigue mediante la instalación de un programa

llamado Bot en cada host.

El objetivo del presente

trabajo es: Proporcionar un conjunto de

herramientas y

técnicas

forenses adaptándolas para la detección e

identificación de Botnets, y ofrecer una guía de implementación de las

herramientas más significativas.

El aporte de este trabajo consiste primeramente en generar una metodología

integral que mediante un enfoque Top-Down (de lo general a lo particular),

es decir yendo desde la red hacia los hosts, instruya en cómo detectar

Botnets. Para ello se adaptarán algunas herramientas que no son

específicas para detectar Botnets (como Snort y Nepenthes) y se

propondrán un conjunto de técnicas forenses especialmente pensadas para

detectar e identificar Botnets.



Palabras clave

Botnet, Bot, Bot Herder, Honeypot, IDS.



Ing. Juan A. Devincenzi



Página 3 de 109

Técnicas y herramientas forenses para la detección de Botnets

Ing. Juan A. Devincenzi



Página 4 de 109

Técnicas y herramientas forenses para la detección de Botnets

Índice

Resumen ................................................................................................................................... 3

Palabras clave ....................................................................................................................... 3

Índice ........................................................................................................................................ 5

Introducción ............................................................................................................................. 7

Sobre la metodología para la detección de Botnets ............................................................... 9

Conceptualización de una Botnet como un Worm ................................................................. 9

Capítulo 1: Snort aplicado a la detección de Botnets ............................................................... 11

Introducción ........................................................................................................................ 11

Introducción al protocolo IRC .............................................................................................. 13

Sobre la arquitectura y el funcionamiento de Snort ............................................................. 15

Instalando Snort .................................................................................................................. 17

Comprendiendo las reglas de Snort ..................................................................................... 19

El archivo de configuración snort.conf ................................................................................. 21

Proceso de detección de Botnets con Snort ......................................................................... 24

Un modelo iterativo de detección de Botnets y mejora de reglas ........................................ 26

Capítulo 2: Detección de Botnets con Nepenthes .................................................................... 33

Introducción a los Honeypots .............................................................................................. 33

Introducción a Nepenthes ................................................................................................... 34

Diseño arquitectónico de Nepenthes ................................................................................... 35

Despliegue e instalación del sensor ..................................................................................... 37

Testing inicial de Nepenthes ................................................................................................ 38

Descripción del funcionamiento básico de Nepenthes ......................................................... 40

Procedimiento para la operación de Nepenthes .................................................................. 41

Capítulo 3: Ourmon como herramienta de detección de Botnets ............................................ 47

Introducción y arquitectura ................................................................................................. 47

Instalación y despliegue de la herramienta .......................................................................... 48

Ing. Juan A. Devincenzi



Página 5 de 109

Técnicas y herramientas forenses para la detección de Botnets

Sobre los reportes ............................................................................................................... 50

Un enfoque iterativo para la detección de Botnets y generación de reglas de Snort ............ 60

Capítulo 4: Forensia sobre host y malware .............................................................................. 65

Introducción ........................................................................................................................ 65

Alcance pericial y consideraciones previas ........................................................................... 66

Alcances y consideraciones sobre la pericia de malware ...................................................... 67

Ejecutando la pericia sobre host .......................................................................................... 68

Pericia sobre el malware ..................................................................................................... 77

Conclusiones ........................................................................................................................... 87

Anexos .................................................................................................................................... 89

Anexo A: Instalación de Snort y componentes periféricos .................................................... 89

Anexo B: Instalación y configuración de NTOP y Wireshark.................................................. 94

Anexo C: Instalación y configuración de Nepenthes ............................................................. 97

Anexo D: Instalación y configuración de Ourmon............................................................... 102

Bibliografía ............................................................................................................................ 107

Ing. Juan A. Devincenzi



Página 6 de 109

Técnicas y herramientas forenses para la detección de Botnets

Introducción

Las Botnets son una amenaza real, concreta y en crecimiento constante.

Actualmente el problema de las Botnets casi se ha salido de control y el

número de hosts zombie crece día a día. En este contexto turbulento se

enmarca la investigación de este trabajo; el objetivo general del mismo es el

siguiente: “Proporcionar un conjunto de herramientas y técnicas forenses

adaptándolas para la detección e identificación de Botnets, y ofrecer una

guía de implementación de las herramientas más significativas.”

La hipótesis en la que se inscribe este trabajo y que se intentará verificar a lo

largo del mismo es la siguiente: “Se pueden detectar Botnets mediante la

utilización de las herramientas Snort, Ourmon, y Nepenthes y un conjunto de

herramientas y técnicas forenses para la identificación de los Bots instalados

en los hosts.”

La idea general del trabajo es la de proponer una metodología integral que

mediante un enfoque Top-Down informe sobre cómo detectar Botnets. Para

ello se van a presentar e implementar un conjunto de herramientas

específicas para la detección de Botnets en un entorno organizacional

utilizando el enfoque forense para la utilización de dichas herramientas.

Dado que existen herramientas aplicables tanto a nivel de red como a nivel

de host, se propone utilizar la metodología Top-Down comenzando desde

“más arriba” y así describiendo e

implementando

tres herramientas

específicas para la detección de Botnets a nivel de red como Ourmon,

Nepenthes y Snort; y luego bajar al nivel de host y presentar allí un conjunto

de herramientas y técnicas forenses para la detección de Bots a ese nivel.

Si bien existe un conjunto más amplio de herramientas a nivel de red para

implementar se seleccionó a Ourmon, Nepenthes y Snort siguiendo algunos

criterios generales y otros específicos.

Entre los criterios generales que involucran a estas 3 herramientas por igual

se destacan que las 3 son gratuitas, se encuentran bien documentadas y

todas también cuentan con una comunidad de usuarios que puede brindar

soporte en caso de tener problemas con su uso o implementación. El hecho

de que estas herramientas estén bien documentadas y tengan suficiente

soporte resultó una característica primordial para su elección dado que de

Ing. Juan A. Devincenzi



Página 7 de 109

Técnicas y herramientas forenses para la detección de Botnets

esta forma se simplifica que futuros lectores de este trabajo puedan repetir

las experie