N e t w o r k S e c u r i t y : H o n e y p o t s ,

H o n e y n e t s , B o t s a n d B o t n e t s

S o u r c e : T h e H o n e y N e t P r o j e c t h t t p : / / w w w . h o n e y n e t . o r g /
 W h y H o n e y P o t s

A g r e a t d e a l o f t h e s e c u r i t y p r o f e s s i o n a n d t h e I T w o r l d
d e p e n d o n h o n e y p o t s . H o n e y p o t s
– B u ild a n t i- v ir u s s ig n a t u r e s .

– B u ild S P A M s ig n a t u r e s a n d f ilt e r s .

– I S P ’s id e n t if y c o m p r o m is e d s y s t e m s .

– A s s is t la w - e n f o r c e m e n t t o t r a c k c r im in a ls .

– H u n t a n d s h u t d o w n b o t n e t s .

– M a lw a r e c o lle c t io n a n d a n a ly s is .
 W h a t a r e H o n e y p o t s

• H o n e y p o t s a r e r e a l o r e m u l a t e d v u l n e r a b l e s y s t e m s

r e a d y t o b e a t t a c k e d .

• P r i m a r y v a l u e o f h o n e y p o t s i s t o c o l l e c t i n f o r m a t i o n .

• T h i s i n f o r m a t i o n i s u s e d t o b e t t e r i d e n t i f y ,

u n d e r s t a n d a n d p r o t e c t a g a i n s t t h r e a t s .

• H o n e y p o t s a d d l i t t l e d i r e c t v a l u e t o p r o t e c t i n g y o u r

n e t w o r k .
 T y p e s o f H o n e y P o t

• S e r v e r : P u t t h e h o n e y p o t o n t h e I n t e r n e t a n d l e t t h e

b a d g u y s c o m e t o y o u .

• C l i e n t : H o n e y p o t i n i t i a t e s a n d i n t e r a c t s w i t h s e r v e r s

• O t h e r : P r o x i e s
 T y p e s o f H o n e y P o t

• L o w - i n t e r a c t i o n
– E m u la t e s s e r v ic e s , a p p lic a t io n s , a n d O S ’s .

– L o w r is k a n d e a s y t o d e p lo y / m a in t a in , b u t c a p t u r e lim it e d
in f o r m a t io n .

• H i g h - i n t e r a c t i o n
– R e a l s e r v ic e s , a p p lic a t io n s , a n d O S ’s

– C a p t u r e e x t e n s iv e in f o r m a t io n , b u t h ig h r is k a n d t im e
in t e n s iv e t o m a in t a in .
 T y p e s o f H o n e y P o t

• P r o d u c t i o n
– E a s y t o u s e / d e p lo y

– C a p t u r e lim it e d in f o r m a t io n

– M a in ly u s e d b y c o m p a n ie s / c o r p o r a t io n s

– P la c e d in s id e p r o d u c t io n n e t w o r k w / o t h e r s e r v e r s

– U s u a lly lo w in t e r a c t io n

• R e s e a r c h
– C o m p le x t o m a in t a in / d e p lo y

– C a p t u r e e x t e n s iv e in f o r m a t io n

– P r im a r ily u s e d f o r r e s e a r c h , m ilit a r y , o r g o v t . o r g s
 E x a m p l e s O f H o n e y p o t s

L o w I n t e r a c t i o n

• B a c k O f f ic e r F r ie n d ly

• K F S e n s o r

• H o n e y d

• H o n e y n e t s

H i g h I n t e r a c t i o n
 H o n e y n e t s

• H i g h - i n t e r a c t i o n h o n e y p o t d e s i g n e d t o c a p t u r e i n -

d e p t h i n f o r m a t i o n .

• I n f o r m a t i o n h a s d i f f e r e n t v a l u e t o d i f f e r e n t

o r g a n i z a t i o n s .

• I t s a n a r c h i t e c t u r e y o u p o p u l a t e w i t h l i v e s y s t e m s ,

n o t a p r o d u c t o r s o f t w a r e .

• A n y t r a f f i c e n t e r i n g o r l e a v i n g i s s u s p e c t .
 H o w I t W o r k s

• A h i g h l y c o n t r o l l e d n e t w o r k w h e r e e v e r y p a c k e t
e n t e r i n g o r l e a v i n g i s m o n i t o r e d , c a p t u r e d , a n d
a n a l y z e d .
– D a t a C o n t r o l

– D a t a C a p t u r e

– D a t a A n a ly s is
H o n e y n e t A r c h i t e c t u r e
 D a t a C o n t r o l

• M it ig a t e r is k o f h o n e y n e t b e in g u s e d t o h a r m

n o n - h o n e y n e t s y s t e m s .

• C o u n t o u t b o u n d c o n n e c t io n s .

• I P S ( S n o r t - I n lin e )

• B a n d w id t h T h r o t t lin g
N o D a t a C o n t r o l
D a t a C o n t r o l
 D a t a C a p t u r e

• C a p t u r e a l l a c t i v i t y a t a v a r i e t y o f l e v e l s .

• N e t w o r k a c t i v i t y .

• A p p l i c a t i o n a c t i v i t y .

• S y s t e m a c t i v i t y .
 S e b e k

• H id d e n k e r n e l m o d u le t h a t c a p t u r e s a ll h o s t
a c t iv it y

• D u m p s a c t iv it y t o t h e n e t w o r k .

• A t t a c k e r c a n n o t s n if f a n y t r a f f ic b a s e d o n
m a g ic n u m b e r a n d d s t p o r t .
S e b e k A r c h i t e c t u r e
 H o n e y w a l l C D R O M

• A t t e m p t t o c o m b in e a ll r e q u ir e m e n t s o f a
H o n e y w a ll o n t o a s in g le , b o o t a b le C D R O M .

• M a y , 2 0 0 3 - R e le a s e d E e y o r e

• M a y , 2 0 0 5 - R e le a s e d R o o
 R o o H o n e y w a l l C D R O M

• B a s e d o n F e d o r a C o r e 3

• V a s t l y i m p r o v e d h a r d w a r e a n d i n t e r n a t i o n a l
s u p p o r t .

• A u t o m a t e d , h e a d l e s s i n s t a l l a t i o n

• N e w W a l l e y e i n t e r f a c e f o r w e b b a s e d a d m i n i s t r a t i o n
a n d d a t a a n a l y s i s .

• A u t o m a t e d s y s t e m u p d a t i n g .
 I n s t a l l a t i o n

• J u s t i n s e r t C D R O M a n d b o o t , i t i n s t a l l s t o l o c a l h a r d

d r i v e .

• A f t e r i t r e b o o t s f o r t h e f i r s t t i m e , i t r u n s a h a r d e n i n g

s c r i p t b a s e d o n N I S T a n d C I S s e c u r i t y s t a n d a r d s .

• F o l l o w i n g i n s t a l l a t i o n , y o u g e t a c o m m a n d p r o m p t

a n d s y s t e m i s r e a d y t o c o n f i g u r e .
 N e t w o r k T e l e s c o p e

• A l s o k n o w n a s a d a r k n e t , i n t e r n e t m o t i o n s e n s o r
o r b l a c k h o l e

• A l l o w s o n e t o o b s e r v e d i f f e r e n t l a r g e - s c a l e e v e n t s
t a k i n g p l a c e o n t h e I n t e r n e t .

• T h e b a s i c i d e a i s t o o b s e r v e t r a f f i c t a r g e t i n g t h e
d a r k ( u n u s e d ) a d d r e s s - s p a c e o f t h e n e t w o r k .

• S i n c e a l l t r a f f i c t o t h e s e a d d r e s s e s i s s u s p i c i o u s ,
o n e c a n g a i n i n f o r m a t i o n a b o u t p o s s i b l e n e t w o r k
a t t a c k s
– r a n d o m s c a n n in g w o r m s , a n d D D o S b a c k s c a t t e r

• A s w e l l a s o t h e r m i s c o n f i g u r a t i o n s b y o b s e r v i n g i t .
 H o n e y t o k e n

• h o n e y t o k e n s a r e h o n e y p o t s t h a t a r e n o t c o m p u t e r

s y s t e m s .

• T h e i r v a l u e l i e s n o t i n t h e i r u s e , b u t i n t h e i r a b u s e .

• A s s u c h , t h e y a r e a g e n e r a l i z a t i o n o f s u c h i d e a s a s

t h e h o n e y p o t a n d t h e c a n a r y v a l u e s o f t e n u s e d i n

s t a c k p r o t e c t i o n s c h e m e s .

• H o n e y t o k e n s c a n e x i s t i n a l m o s t a n y f o r m ,
– f r o m a d e a d , f a k e a c c o u n t t o a

– d a t a b a s e e n t r y t h a t w o u l d o n l y b e s e l e c t e d b y m a l i c i o u s q u e r i e s ,

– m a k i n g t h e c o n c e p t i d e a l l y s u i t e d t o e n s u r i n g d a t a i n t e g r i t y — a n y
u s e o f t h e m i s i n h e r e n t l y s u s p i c i o u s i f n o t n e c e s s a r i l y m a l i c i o u s .
 H o n e y t o k e n

• I n g e n e r a l , t h e y d o n 't n e c e s s a r i l y p r e v e n t a n y

t a m p e r i n g w i t h t h e d a t a ,

– b u t in s t e a d g iv e t h e a d m in is t r a t o r a f u r t h e r m e a s u r e o f

c o n f id e n c e in t h e d a t a in t e g r it y .

• A n e x a m p l e o f a h o n e y t o k e n i s a f a k e e m a i l

a d d r e s s u s e d t o t r a c k i f a m a i l i n g l i s t h a s b e e n

s t o l e n
 H o n e y m o n k e y

• H o n e y M o n k e y ,

– s h o r t f o r S t r i d e r H o n e y M o n k e y E x p l o i t D e t e c t i o n

S y s t e m , is a M ic r o s o f t R e s e a r c h h o n e y p o t .

• T h e i m p l e m e n t a t i o n u s e s a n e t w o r k o f c o m p u t e r s
– t o c r a w l t h e W o r l d W i d e W e b s e a r c h i n g f o r w e b s i t e s t h a t u s e

b r o w s e r e x p l o i t s t o i n s t a l l m a l w a r e o n t h e H o n e y M o n k e y c o m p u t e r.

– A s n a p s h o t o f t h e m e m o r y , e x e c u t a b l e s a n d r e g i s t r y o f t h e
h o n e y p o t c o m p u t e r i s r e c o r d e d b e f o r e c r a w l i n g a s i t e .

– A f t e r v i s i t i n g t h e s i t e , t h e s t a t e o f m e m o r y , e x e c u t a b l e s , a n d
r e g i s t r y i s c o m p a r e d t o t h e p r e v i o u s s n a p s h o t .

– T h e c h a n g e s a r e a n a l y z e d t o d e t e r m i n e w h e t h e r t h e v i s i t e d s i t e

i n s t a l l e d m a l w a r e o n t o t h e h o n e y p o t c o m p u t e r.
 H o n e y m o n k e y

• H o n e y M o n k e y i s b a s e d o n t h e h o n e y p o t c o n c e p t ,

w i t h t h e d i f f e r e n c e t h a t i t a c t i v e l y s e e k s w e b s i t e s
t h a t t r y t o e x p l o i t i t .

• T h e t e r m w a s c o i n e d b y M i c r o s o f t R e s e a r c h i n
2 0 0 5 .

• W i t h h o n e y m o n k e y s i t i s p o s s i b l e t o f i n d o p e n
s e c u r i t y h o l e s t h a t a r e n 't y e t p u b l i c l y k n o w n b u t

a r e e x p l o i t e d b y a t t a c k e r s .
 T a r p i t

• A t a r p i t ( a l s o k n o w n a s T e e r g r u b e , t h e G e r m a n w o r d

f o r t a r p i t ) i s a s e r v i c e o n a c o m p u t e r s y s t e m ( u s u a l l y a
s e r v e r ) t h a t d e l a y s i n c o m i n g c o n n e c t i o n s f o r a s l o n g a s
p o s s i b l e .

• T h e t e c h n i q u e w a s d e v e l o p e d a s a d e f e n s e a g a i n s t a

c o m p u t e r w o r m , a n d

• t h e i d e a i s t h a t n e t w o r k a b u s e s s u c h a s s p a m m i n g o r
b r o a d s c a n n i n g a r e l e s s e f f e c t i v e i f t h e y t a k e t o o l o n g .

• T h e n a m e i s a n a l o g o u s w i t h a t a r p i t , i n w h i c h a n i m a l s
c a n g e t b o g g e d d o w n a n d s l o w l y s i n k u n d e r t h e
s u r f a c e .
 B o t

• T h e t e r m 'b o t ' c o m e s f r o m 'r o b o t '.

• I n c o m p u t i n g p a r a d i g m , 'b o t ' u s u a l l y r e f e r s t o a n

a u t o m a t e d p r o c e s s .

• T h e r e a r e g o o d b o t s a n d b a d b o t s .

• E x a m p l e o f g o o d b o t s :

– G o o g l e b o t

– G a m e b o t

• E x a m p l e o f b a d b o t s :

– M a l i c i o u s s o f t w a r e t h a t s t e a l s i n f o r m a t i o n
 B o t n e t

• N e t w o r k o f c o m p r o m i s e d / b o t -

i n f e c t e d m a c h i n e s ( z o m b i e s ) u n d e r
t h e c o n t r o l o f a h u m a n a t t a c k e r

( b o t m a s t e B o t m
r )
a s t e r

I R C S e r v e r

I R C c h a n n e l

C o d e
S e r v e r

I R C c h a n n e l
C & C t r a f f i c

U p d a t e s

A t t a c k

V u ln e r a b le
m a c h i n e s

B o t N e t
 H i s t o r y
• I n t h e b e g i n n i n g , t h e r e w e r e o n l y g o o d b o t s .

– e x : g o o g l e b o t , g a m e b o t e t c .

• L a t e r , b a d p e o p l e t h o u g h t o f c r e a t i n g b a d b o t s s o
t h a t t h e y m a y

– S e n d S p a m a n d P h i s h i n g e m a i l s

– C o n t r o l o t h e r s p c

– L a u n c h a t t a c k s t o s e r v e r s ( D D O S )

• M a n y m a l i c i o u s b o t s w e r e c r e a t e d

– S D B o t / A g o b o t / P h a t b o t e t c .

• B o t n e t s s t a r t e d t o e m e r g e
 T i m e L i n e

G T b o t s W 3 2 / A g o b o t b o t W 3 2 / M y t o b
G M ( b y G r e g ,
R P C S S c o m b in e d f a m ily a d d e d h y b r id b o t ,
O p e r a t o r )
m I R C c lie n t , m o d u la r m a jo r
r e c o g n iz e d a s f ir s t
h a c k in g s c r ip t s &
I R C b o t . d e s ig n a n d s ig n if ic a n t e - m a il o u t b r e a k
t o o ls ( p o r t -
f u n c t io n a lit y
E n t e r t a in e d c lie n t s
s c a n n in g , D D o s )
w it h g a m e s

1 9 8 9 1 9 9 9 2 0 0 0 2 0 0 1 2 0 0 2 2 0 0 3 2 0 0 4 2 0 0 5 2 0 0 6 P r e s e n t

W 3 2 / P r e t t y P a r k W 3 2 / S d b o t W 3 2 / S p y b o t

1 s t
w o r m t o F ir s t f a m ily f a m ily e m e r g e d

u s e I R C a s o f b o t s d e v e lo p e d

C & C . a s a s in g le b in a r y

D D o S c a p a b le R u s s ia n n a m e d s d
 C a s e s i n t h e n e w s
• A x e l G e m b e
– A u t h o r o r A g o b o t ( a k a G a o b o t , P o l y b o t )

– 2 1 y r s o l d

– A r r e s t e d f r o m G e r m a n y i n 2 0 0 4 u n d e r
G e r m a n y ’ s c o m p u t e r S a b o t a g e l a w

• J e f f r y P a r s o n
– R e l e a s e d a v a r i a t i o n o f B l a s t e r W o r m

– I n f e c t e d 4 8 , 0 0 0 c o m p u t e r s w o r l d w i d e

– 1 8 y r s o l d

– A r r e s t e d , s e n t e n c e d t o 1 8 m o n t h &
3 y r s o f s u p e r v i s e d r e l e a s e d
H o w T h e B o t n e t G r o w s
H o w T h e B o t n e t G r o w s
H o w T h e B o t n e t G r o w s
H o w T h e B o t n e t G r o w s
 R e c r u i t i n g N e w M a c h i n e s
• E x p l o i t a v u l n e r a b i l i t y t o e x e c u t e a s h o r t p r o g r a m
( e x p l o i t s ) o n v i c t i m ’ s m a c h i n e

– B u f f e r o v e r f l o w s , e m a i l v i r u s e s , T r o j a n s e t c .

• E x p l o i t d o w n l o a d s a n d i n s t a l l s a c t u a l b o t

• B o t d i s a b l e s f i r e w a l l a n d A / V s o f t w a r e

• B o t l o c a t e s I R C s e r v e r , c o n n e c t s , j o i n s

– T y p i c a l l y n e e d D N S t o f i n d o u t s e r v e r ’ s I P
a d d r e s s

– A u t h e n t i c a t i o n p a s s w o r d o f t e n s t o r e d i n b o t
b i n a r y

• B o t m a s t e r i s s u e s c o m m a n d s
R e c r u i t i n g N e w M a c h i n e s
 W h a t I s I t U s e d F o r

• B o t n e t s a r e m a i n l y u s e d f o r o n l y o n e

t h i n g
 H o w A r e T h e y U s e d

• D i s t r i b u t e d D e n i a l o f S e r v i c e ( D D o S )

a t t a c k s

• S e n d i n g S p a m s

• P h i s h i n g ( f a k e w e b s i t e s )

• A d d w a r e ( T r o j a n h o r s e )

• S p y w a r e ( k e y l o g g i n g , i n f o r m a t i o n

h a r v e s t i n g )

• S t o r i n g p i r a t e d m a t e r i a l s
 E x a m p l e : S D B o t
• O p e n - s o u r c e M a l w a r e

• A l i a s e s

– M c a f e e : I R C - S D B o t , S y m a n t e c : B a c k d o o r . S d b o t

• I n f e c t i o n

– M o s t l y t h r o u g h n e t w o r k s h a r e s

– T r y t o c o n n e c t u s i n g p a s s w o r d g u e s s i n g ( e x p l o i t s

w e a k p a s s w o r d s )

• S i g n s o f C o m p r o m i s e

– S D B o t c o p i e s i t s e l f t o S y s t e m f o l d e r - K n o w n

f i l e n a m e s : A i m 9 5 . e x e , S y s c f g 3 2 . e x e e t c . .

– R e g i s t r y e n t r i e s m o d i f i e d

– U n e x p e c t e d t r a f f i c : p o r t 6 6 6 7 o r 7 0 0 0

– K n o w n I R C c h a n n e l s : Z x c v b n m a s . i 9 8 9 . n e t e t c . .
 E x a m p l e : R B o t
• F i r s t o f t h e B o t f a m i l i e s t o u s e e n c r y p t i o n

• A l i a s e s

– M c a f e e : W 3 2 / S D b o t . w o r m . g e n . g , S y m a n t e c :

W 3 2 . S p y b o t . w o r m

• I n f e c t i o n

– N e t w o r k s h a r e s , e x p l o i t i n g w e a k p a s s w o r d s

– K n o w n s / w v u l n e r a b i l i t i e s i n w i n d o w s ( e . g . : l s a s s

b u f f e r o v e r f l o w v u l n e r a b i l i t y )

• S i g n s o f C o m p r o m i s e

– c o p i e s i t s e l f t o S y s t e m f o l d e r - K n o w n f i l e n a m e s :

w u a m g r d . e x e , o r r a n d o m n a m e s

– R e g i s t r y e n t r i e s m o d i f i e d

– T e r m i n a t e A / V p r o c e s s e s

– U n e x p e c t e d t r a f f i c : 1 1 3 o r o t h e r o p e n p o r t s
 E x a m p l e : A g o b o t

• M o d u l a r F u n c t i o n a l i t y

– R a t h e r t h a n i n f e c t i n g a s y s t e m a t o n c e , i t

p r o c e e d s t h r o u g h t h r e e s t a g e s ( 3 m o d u l e s )

• i n f e c t a c l i e n t w i t h t h e b o t & o p e n b a c k d o o r

• s h u t d o w n A / V t o o l s

• b l o c k a c c e s s t o A / V a n d s e c u r i t y r e l a t e d s i t e s

– A f t e r s u c c e s s f u l c o m p l e t i o n o f o n e s t a g e , t h e

c o d e f o r t h e n e x t s t a g e i s d o w n l o a d e d

• A d v a n t a g e ?

– d e v e l o p e r c a n u p d a t e o r m o d i f y o n e

p o r t i o n / m o d u l e w i t h o u t h a v i n g t o r e w r i t e o r

r e c o m p i l e e n t i r e c o d e
 E x a m p l e : A g o b o t
• A l i a s e s

– M c a f e e : W 3 2 / G a o b o t . w o r m , S y m a n t e c :

W 3 2 . H L L W . G a o b o t . g e n

• I n f e c t i o n

– N e t w o r k s h a r e s , p a s s w o r d g u e s s i n g

– P 2 P s y s t e m s : K a z a a e t c . .

– P r o t o c o l : W A S T E

• S i g n s o f C o m p r o m i s e

– S y s t e m f o l d e r : s v s h o s t . e x e , s y s m g r . e x e e t c . .

– R e g i s t r y e n t r i e s m o d i f i c a t i o n

– T e r m i n a t e A / V p r o c e s s e s

– M o d i f y % S y s t e m \ d r i v e r s \ e t c \ h o s t s f i l e

• S y m a n t e c / M c a f e e ’ s l i v e u p d a t e s i t e s a r e

r e d i r e c t e d t o 1 2 7 . 0 . 0 . 1
 E x a m p l e : A g o b o t

• S i g n s o f C o m p r o m i s e ( c o n t d . . )

– T h e f t o f i n f o r m a t i o n : s e e k a n d s t e a l C D

k e y s f o r p o p u l a r g a m e s l i k e “ H a l f - L i f e ” ,

“ N F S ” e t c . .

– U n e x p e c t e d T r a f f i c : o p e n p o r t s t o I R C

s e r v e r e t c . .

– S c a n n i n g : W i n d o w s , S Q L s e r v e r e t c . .
 D D o s A t t a c k
• G o a l : o v e r w h e l m v i c t i m m a c h i n e a n d d e n y s e r v i c e
t o i t s l e g i t i m a t e c l i e n t s

• D o S o f t e n e x p l o i t s n e t w o r k i n g p r o t o c o l s

– S m u r f : I C M P e c h o r e q u e s t t o b r o a d c a s t a d d r e s s
w i t h s p o o f e d v i c t i m ’ s a d d r e s s a s s o u r c e

– P i n g o f d e a t h : I C M P p a c k e t s w i t h p a y l o a d s
g r e a t e r t h a n 6 4 K c r a s h o l d e r v e r s i o n s o f
W i n d o w s

– S Y N f l o o d : “ o p e n T C P c o n n e c t i o n ” r e q u e s t f r o m a
s p o o f e d a d d r e s s

– U D P f l o o d : e x h a u s t b a n d w i d t h b y s e n d i n g
t h o u s a n d s o f b o g u s U D P p a c k e t s
 D D o S a t t a c k

• C o o r d i n a t e d a t t a c k t o s p e c i f i e d h o s t

A t t a c k e r

M a s t e r ( I R C S e r v e r ) m a c h i n e s

Z o m b i e m a c h i n e s

V i c t i m
 W h y D D o S a t t a c k ?

• E x t o r t i o n

– T a k e d o w n s y s t e m s u n t i l t h e y p a y

– W o r k s s o m e t i m e s t o o !

• E x a m p l e : 1 8 0 S o l u t i o n s – A u g 2 0 0 5

– B o t m a s t e r u s e d b o t s t o d i s t r i b u t e

1 8 0 s o l u t i o n s a d d w a r e

– 1 8 0 s o l u t i o n s h u t d o w n b o t m a s t e r

– B o t m a s t e r t h r e a t e n e d t o t a k e d o w n

1 8 0 s o l u t i o n s i f n o t p a i d

– W h e n n o t p a i d , b o t m a s t e r u s e D D o S

– 1 8 0 S o l u t i o n s f i l e d C i v i l L a w s u i t a g a i n s t

h a c k e r s
 B o t n e t D e t e c t i o n

• H o s t B a s e d

• I n t r u s i o n D e t e c t i o n S y s t e m s ( I D S )

• A n o m a l y D e t e c t i o n

• I R C N i c k n a m e s

• H o n e y P o t a n d H o n e y N e t
 H o s t - b a s e d d e t e c t i o n

V i r u s s c a n n i n g

W a t c h i n g f o r S y m p t o m s

M o d i f i c a t i o n o f w i n d o w s h o s t s f i l e

R a n d o m u n e x p l a i n e d p o p u p s

M a c h i n e s l o w n e s s

A n t i v i r u s n o t w o r k i n g

W a t c h i n g f o r S u s p i c i o u s n e t w o r k t r a f f i c

S i n c e I R C i s n o t c o m m o n l y u s e d , a n y I R C t r a f f i c

i s s u s p i c i o u s . S n i f f t h e s e I R C t r a f f i c

C h e c k i f t h e h o s t i s t r y i n g t o c o m m u n i c a t e t o

a n y C o m m a n d a n d C o n t r o l ( C & C ) C e n t e r

T h r o u g h f i r e w a l l l o g s , d e n i e d c o n n e c t i o n s
 N e t w o r k I n t r u s i o n D e t e c t i o n
S y s t e m s
• E x a m p l e S y s t e m s : S n o r t a n d B r o

• S n i f f n e t w o r k p a c k e t s , l o o k s f o r s p e c i f i c p a t t e r n s
( c a l l e d s i g n a t u r e s )

• I f a n y p a t t e r n m a t c h e s t h a t o f a m a l i c i o u s b i n a r y ,

t h e n b l o c k t h a t t r a f f i c a n d r a i s e a l e r t

• T h e s e s y s t e m s c a n e f f i c i e n t l y d e t e c t v i r u s / w o r m s

h a v i n g k n o w n s i g n a t u r e s

• C a n 't d e t e c t a n y m a l w a r e w h o s e s i g n a t u r e i s

u n k n o w n ( i . e . , z e r o d a y a t t a c k )
 A n o m a l y D e t e c t i o n
N o r m a l t r a f f i c h a s s o m e p a t t e r n s

B a n d w i d t h / P o r t u s a g e

B y t e - l e v e l c h a r a c t e r i s t i c s ( h i s t o g r a m s )

P r o t o c o l a n a l y s i s – g a t h e r s t a t i s t i c s a b o u t

T C P / U D P s r c , d e s t a d d r e s s

S t a r t / e n d o f f l o w , B y t e c o u n t

D N S l o o k u p

F i r s t l e a r n n o r m a l t r a f f i c p a t t e r n

T h e n d e t e c t a n y a n o m a l y i n t h a t p a t t e r n

E x a m p l e s y s t e m s : S N M P , N e t F l o w

P r o b l e m s :

P o i s o n i n g

S t e a l t h
 I R C N i c k n a m e s
B o t s u s e w e i r d n i c k n a m e s

B u t t h e y h a v e c e r t a i n p a t t e r n ( r e a l l y ! )

I f w e c a n l e a r n t h a t p a t t e r n , w e c a n d e t e c t b o t s &

b o t n e t s

E x a m p l e n i c k n a m e s :

U S A | 0 1 6 8 8 7 4 3 6 o r D E | 0 2 8 5 0 9 3 2 7

C o u n t r y | R a n d o m n u m b e r ( 9 d i g i t )

R B O T | X P | 4 8 1 2 4

B o t t y p e | M a c h i n e T y p e | R a n d o m
n u m b e r

P r o b l e m : M a y b e d e f e a t e d b y c h a n g i n g t h e

n i c k n a m e r a n d o m l y
 H o n e y P o t a n d H o n e y N e t

H o n e y P o t i s a v u l n e r a b l e m a c h i n e ,

r e a d y t o b e a t t a c k e d

E x a m p l e : u n p a t c h e d w i n d o w s 2 0 0 0

o r w i n d o w s X P

O n c e a t t a c k e d , t h e m a l w a r e i s c a u g h t

i n s i d e

T h e m a l w a r e i s a n a l y z e d , i t s a c t i v i t y
i s m o n i t o r e d

W h e n i t c o n n e c t s t o t h e C & C s e r v e r ,

t h e s e r v e r ’ s i d e n t i t y i s r e v e a l e d
 H o n e y P o t a n d H o n e y N e t
T h u s m a n y i n f o r m a t i o n a b o u t t h e b o t i s o b t a i n e d

C & C s e r v e r a d d r e s s , m a s t e r c o m m a n d s

C h a n n e l , N i c k n a m e , P a s s w o r d

N o w D o t h e f o l l o w i n g

m a k e a f a k e b o t

j o i n t h e s a m e I R C c h a n n e l w i t h t h e s a m e

n i c k n a m e / p a s s w o r d

M o n i t o r w h o e l s e a r e i n t h e c h a n n e l , t h u s

o b s e r v e r t h e b o t n e t

C o l l e c t s t a t i s t i c s – h o w m a n y b o t s

C o l l e c t s e n s i t i v e i n f o r m a t i o n – w h o i s b e i n g

a t t a c k e d , w h e n e t c . .
 H o n e y P o t a n d H o n e y N e t

F i n a l l y , t a k e d o w n t h e b o t n e t

H o n e y N e t : a n e t w o r k o f h o n e y p o t s ( s e e

t h e ‘ H o n e y N e t P r o j e c t ’ )

V e r y e f f e c t i v e , w o r k e d i n m a n y c a s e s

T h e y a l s o p o s e g r e a t s e c u r i t y r i s k

I f n o t m a i n t a i n e d p r o p e r l y - H a c k e r m a y

u s e t h e m t o a t t a c k o t h e r s

M u s t b e m o n i t o r e d c a u t i o u s l y