Entwicklung eines DNS-Proxys zur Erkennung von ungewünschtem DNS-Verkehr

Bachelor-Studiengang IT Security

Gerald Fritz, BSc 
19.09.2014

Ausgangslage

Rechner mit Schadsoftware zu infizieren hat sich in den letzten Jahren zu einem lukrativen Geschäft entwickelt. Besonders das Sammeln von Daten sowie das Fernsteuern von infizierten Rechnern sind Absichten hinter diesen kriminellen Aktivitäten. Dazu ist eine Verbindung zu einem Server, der von den Malwareurhebern betrieben wird, erforderlich. Der/die BetreiberIn dieses Servers hat die Kontrolle über dieses Netzwerk von infizierten Rechnern, das man als Botnet bezeichnet. Ein/eine BotnetbetreiberIn muss sicherstellen, dass die Bots den Server erreichen können und umgekehrt. Würde dazu ein statisch programmierter Verbindungsweg genutzt, könnten die Server schnell entdeckt werden, was naturgemäß nicht im Sinne der kriminellen Betreiber des Botnets ist. Daher kommen Techniken zum Einsatz, die es ermöglichen, die Server nur kurze Zeit unter dynamischen Adressen bereitzustellen.

Eine dieser Techniken besteht im Einsatz von „Domain Generation Algorithmen“ (DGA), um zufällige Domainnamen, unter denen der Server erreichbar ist, zu generieren. Bei der Generierung werden Seed-Werte verwendet, die sowohl am Bot als auch am Server bekannt sind, wie etwa das aktuelle Datum. Durch Analyse des Netzwerkverkehrs soll erkannt werden, ob ein solcher DGA eingesetzt wird, was auf einen infizierten Rechner hinweist. Die Erkennung von durch DGAs generierten Domainnamen böte also die Möglichkeit, bestimmte Formen von Malware-Infektionen zu erkennen.

Ziele

Das Ziel dieser Arbeit ist es, durch Analyse des Netzwerkverkehrs von DGAs generierte Domainnamen zu entdecken. Basierend auf dem aktuellen Stand der Technik soll eine Lösung entworfen und als Softwareprodukt implementiert werden.

Ergebnis

Es wurde in Zusammenarbeit mit der Firma IKARUS Security Software GmbH eine Softwarelösung entwickelt, die Netzwerkverkehr, der von Malware mit einem DGA verursacht wird, erkennt und für weitere Analysen protokolliert.

FH-Betreuer: FH-Prof. Dipl.-Ing. Dr. Paul Tavolato