Rishi: Identifizierung von Bots durch Auswerten der IRC Nicknamen

Jan Göbel, Thorsten Holz

DFN-CERT Work­shop "Si­cher­heit in ver­netz­ten Sys­te­men", Ham­burg, February 2008


Abstract

In dieser Arbeit stellen wir eine präzise, aber dennoch einfache Methode zur Erkennung von Bot infizierten Rechnern in einem Netzwerk vor. Ziel ist es, den Kommunikationskanal zwischen Bot und Command & Control Server aufzudecken. Die hier vorgestellten Techniken basieren auf der Analyse von Netzwerkverkehr zur Aufdeckung von ungewöhnlichen IRC Nicknamen, IRC Servern oder Server Ports. Mit Hilfe der N-Gram Analyse und einem Punktesystem sind wir in der Lage, auch Bot infizierte Rechner zu erkennen, die von klassischen Intrusion Detection Systemen gar nicht, oder erst wesentlich später erkannt werden.

[pdf]

Tags: botnet, detection