Português English
Contato
Publicado em: 08/09/2010

Dissertação de Mestrado em Redes de Computadores

UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL
INSTITUTO DE INFORMÁTICA
PROGRAMA DE POS-GRADUAÇÃO EM COMPUTAÇÃO

DEFESA DE DISSERTAÇÃO DE MESTRADO

Aluno: João Marcelo Ceron
Orientadora: Profa. Dra. Liane Margarida Rockenbach Tarouco

Titulo: Arquitetura Distribuída e Automatizada para Mitigação de Botnet Baseada em Análise Dinâmica de Malwares
Linha de Pesquisa: Redes de Computadores

Data: 10/09/2010
Hora: 08h30
Local: Auditório José Mauro Volkmer de Castilho (Verde), Instituto de
Informática (UFRGS)

Banca Examinadora:
Prof. Dr. Adriano Mauro Cansian (UNESP)
Prof. Dr. Lisandro Zambenedetti Granville
Prof. Dr. Luciano Paschoal Gaspary

Presidente da Banca: Profa. Dra. Liane Margarida Rockenbach Tarouco

Resumo:

Atualmente, uma das mais sérias ameaças a segurança da Internet são as botnets. As botnets – rede de máquinas comprometidas e controladas remotamente por um atacante caracterizam-se por serem muito dinâmicas. Frequentemente novas características são incorporadas as redes dificultando que ferramentas tradicionais tal como sistemas de antivírus e IDS sejam efetivas. Diante disso, faz-se necessário desenvolver novos mecanismos que possam complementar as atuais técnicas de defesa. Esta dissertação de mestrado apresenta uma proposta de arquitetura para uma ferramenta de mitigação e detecção de botnets baseada em assinatura de rede de máquinas comprometidas por bots. Essa arquitetura automatiza o processo de geração de assinaturas compilando informações de analisadores de malwares gratuitamente disponibilizados na Web. Além disso, utilizou-se de monitoração de fluxos através da solução Netflow para identificar o comportamento de rede similar aos mapeados em arquivos maliciosos analisados. Esse comportamento mapeado sinaliza uma possível infecção de máquinas na rede monitorada. Essa identificação dispara eventos na ferramenta proposta que auxiliará o gerente a mitigar a máquina comprometida. Por fim, avaliou-se a solução proposta no contexto de uma grande rede acadêmica: da própria Universidade Federal do Rio Grande do Sul (UFRGS). Os resultados alcançados por essa solução permitiram concluir que 1,5% dos controladores ficam por um longo período (52 dias) realizando atividades maliciosas e, também, observou-se um pequeno grupo de controladores responsáveis pela administração de uma grande quantidade de máquinas.

Palavras-chaves: botnet, bot, malware analysis.

UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL
INSTITUTO DE INFORMÁTICA
PROGRAMA DE POS-GRADUAÇÃO EM COMPUTAÇÃO
——————————

—————————
DEFESA DE DISSERTAÇÃO DE MESTRADO

Aluno: João Marcelo Ceron
Orientadora: Profa. Dra. Liane Margarida Rockenbach Tarouco

Titulo: Arquitetura Distribuída e Automatizada para Mitigação de
       Botnet Baseada em Análise Dinâmica de Malwares
Linha de Pesquisa: Redes de Computadores

Data: 10/09/2010
Hora: 08h30
Local: Auditório José Mauro Volkmer de Castilho (Verde), Instituto de
      Informática (UFRGS)

Banca Examinadora:
Prof. Dr. Adriano Mauro Cansian (UNESP)
Prof. Dr. Lisandro Zambenedetti Granville
Prof. Dr. Luciano Paschoal Gaspary

Presidente da Banca: Profa. Dra. Liane Margarida Rockenbach Tarouco

Resumo:
Atualmente, uma das mais sérias ameaças a segurança da Internet são as botnets. As botnets – rede de máquinas comprometidas e controladas remotamente por um atacante caracterizam-se por serem muito dinâmicas. Frequentemente novas características são incorporadas as redes dificultando que ferramentas tradicionais tal como sistemas de antivírus e IDS sejam efetivas. Diante disso, faz-se necessário desenvolver novos mecanismos que possam complementar as atuais técnicas de defesa. Esta dissertação de mestrado apresenta uma proposta de arquitetura para uma ferramenta de mitigação e detecção de botnets baseada em assinatura de rede de máquinas comprometidas por bots. Essa arquitetura automatiza o processo de geração de assinaturas compilando informações de analisadores de malwares gratuitamente disponibilizados na Web. Além disso, utilizou-se  de monitoração de fluxos através da solução Netflow para identificar o comportamento    de rede similar aos mapeados em arquivos maliciosos analisados. Esse comportamento     mapeado sinaliza uma possível infecção de máquinas na rede monitorada. Essa identificação dispara eventos na ferramenta proposta que auxiliará o gerente a mitigar a máquina comprometida. Por fim, avaliou-se a solução proposta no contexto de uma grande rede acadêmica: da própria Universidade Federal do Rio Grande do Sul (UFRGS). Os resultados alcançados por essa solução permitiram concluir que 1,5% dos controladores ficam por um longo período (52 dias) realizando atividades maliciosas e, também, observou-se  um pequeno grupo de controladores responsáveis pela administração de uma grande quantidade de máquinas.

Palavras-chaves: botnet, bot, malware analysis.