Studio delle Botnet per mezzo di IDS

Le Botnet sono reti costituite da macchine infette, dette bot, che eseguono comandi provenienti da una o più macchine, detti Command and Control Server (C&C Server), impartiti dal botmaster (controllore dei bot). Il concetto alla base di questa tecnologia è così semplice da rendere labile il confine con altri malware dalla struttura simile. Si pensi ad esempio a un ipotetico Trojan, capace di inviare le informazioni rubate dagli utenti verso server di raccolta dati; questo ne condividerebbe la possibile struttura, seppure non fosse in grado di eseguire comandi. Non è una novità infatti che un malware inizialmente progettato per uno scopo preciso e limitato, venga poi aggiornato in una versione capace di eseguire comandi, trasformandolo in tutto e per tutto in una Botnet, estendendone le capacità col minimo sforzo (ne è un esempio Ramnit). Queste reti possono essere utilizzate per una vasta gamma di attività illecite, tra cui Remote Administration Tool (RAT), DDoS, distribuzione di malware, furto di informazioni personali, spam, etc. L’elaborato che segue si pone come obiettivo lo sullo studio di queste tecnologie, partendo da un punto di vista teorico per poi procedere con l’analisi di due Botnet open source in un ambiente controllato appositamente strutturato. La trattazione della tesi sarà organizzata in modo da studiarne in primo luogo le topologie, i protocolli e le tecniche di offuscamento utilizzate dalle Botnet. Successivamente, verranno analizzati il deployment dell’infrastruttura e gli strumenti utilizzati, inclusi gli intrusion detection system installati per il testing. Verrà quindi presentata una sezione inerente gli Agent, prima di proseguire con l’analisi della seconda rete di bot. Infine, verranno analizzati gli approcci di rilevazione utilizzati e considerati, per poi passare a una breve trattazione di altri possibili approcci.