Nachtrag zum Botnet Seminar

Hier nur in aller schnelle eine kleine Zusammenfassung vom Botnet Seminar des HGI:

Es wurden die prinzipiellen Vorgehensweisen und Steuerungswege von Botnetzen gezeigt (ein Control Server der über IRC z.B. seine Befehle an die lauschenden Bots weiterreicht). Anschließend ein kleiner Überblick über die Möglichkeiten der CWSandbox (dem automatischen Analyseprogramm) gegeben. Das lässt sich mit verschiedenen Plugins recht schnell aufrüsten und anpassen an aktuell ausgenutze Sicherheitslücken.
Das in C++ geschriebene Plugin bildet dann in der CWSandbox z.B. bekannte Windows Bugs nach und simuliert somit dem Bot ein verwundbares System.
Die CWSandbox sitzt vor jedem Aufruf einer Malware und analysiert und loggt jeden Aufruf an die Windows API und auf das Dateisystem und die Registrierung sowie jegliche Kommunikation mit und erstellt daraus dann im XML Format einen Bericht.
Das ganze System ist wohl ziemlich leistungsfähig und ein Rechner soll etwa 1000 gleichzeitige Malware Aktionen und dazugehörende Kommunikation verarbeiten können und läuft hauptsächlich in einer VMWare Maschine, die man auch wieder schnell zurücksetzen kann.

Alles in allem ein schöner interessanter und spannender Vortrag, und das Interesse war auch entsprechend groß. Wir hatten nur noch einen kleinen Stehplatz am Fensterrand bekommen, obwohl wir pünktlich um 13:15 da waren.

Ich freu mich schon auf den Mittwoch, wenn der Angriff auf den RUB IT Verbund gezeigt wird :)

Tags: , , , ,

This entry was posted on Montag, Februar 5th, 2007 at 17:00:54and is filed under Security, Uni. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

6 Responses to “Nachtrag zum Botnet Seminar”

  • Metty Says:
    Februar 5th, 2007 at 17:42:58

    Kannst Du nun auch die Dingers von meinem Server fernhalten? :P

  • Domber Says:
    Februar 5th, 2007 at 19:01:50

    Shitty, dass es mir net gereicht hat … aber Produktentwicklung ging vor. :-/
    Lefix hat mit ihm dem Thorsten anscheinend kurz über die Phoneypotsache gelabert …
    Am Mittwoch sieht man sich dann aber ;-)

  • Centurio Says:
    Februar 5th, 2007 at 19:15:37

    Metty: Leider nein, es ging hier ausschließlich um die Detektierung und Analyse von Botnetzen. Was man dann danach für Aktionen dagegen unternimmt bleibt einem überlassen ;)

    Domber: Was gabs denn da in Produktentwicklung? Nett mit dem Phoneypot, vielleicht lässt sich da ein Plugin für schreiben, so wie der das Vorgestellt hatte in seinem Vortrag um Passwörter von “Paysites” mitzuloggen. Das wäre natürlich nochmal was, wo man sich gemeinsam dran setzen könnte…

  • Angels Says:
    Februar 6th, 2007 at 01:03:10

    “Was man dann danach für Aktionen dagegen unternimmt bleibt einem überlassen ” … ich hoffe für dich, dass dir bei einem Hilfgesuch bei einer Botnetattacke niemand diesen Spruch unter die Nase reibt :)

  • Domber Says:
    Februar 6th, 2007 at 01:21:51

    Phoneypot is nette Sache … hoffe nur, dass das Ding auch mal gebraucht wird. :-/

  • Centurio Says:
    Februar 6th, 2007 at 13:25:49

    Angels: hehe ja, ich wollte damit nur ausdrücken, das es dann verschiedene Wege gibt, gegen das Botnetz vorzugehen und es zuviele Möglichkeiten jetzt wären die aufzulisten ;)

    Domber: Du willst doch nur wieder $$$ sehen ^^

Leave a Reply