TU Darmstadt / ULB / TUprints

On IP-Based Botnet Measurements

Böck, Leon (2024)
On IP-Based Botnet Measurements.
Technische Universität Darmstadt
doi: 10.26083/tuprints-00024761
Ph.D. Thesis, Primary publication, Publisher's Version

[img] Text
On_IP-Based_Botnet_Measurements.pdf
Copyright Information: In Copyright.

Download (12MB)
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: On IP-Based Botnet Measurements
Language: English
Referees: Mühlhäuser, Prof. Dr. Max ; Levin, Prof. Dr. Dave
Date: 11 January 2024
Place of Publication: Darmstadt
Collation: xix, 249 Seiten
Date of oral examination: 26 October 2023
DOI: 10.26083/tuprints-00024761
Abstract:

Botnets allow cybercriminals to conduct crippling Distributed Denial of Service (DDoS) attacks, distribute ransomware, and perform many other attacks. To mitigate the damage from botnet attacks, defenders observe and record botnet traffic in a process called botnet tracking. Defenders use the gathered information to take down the botnet itself or defend against attacks originating from the botnet. Botnet tracking measurements typically rely on IP addresses as identifiers of infected devices. This reliance on IP addresses is problematic, as Internet Service Providers (ISPs) frequently reassign IP addresses to different users. Furthermore, multiple devices may share a single public IP address due to the shortage of IP addresses. The lack of unique and long-term identifiers plagues botnet measurements with uncertainty. Furthermore, IP addresses are commonly considered Personally Identifiable Information (PII), raising privacy-related concerns about the lawfulness of collecting and processing botnet tracking data. In this thesis, we make four contributions that allow us to conduct more accurate botnet measurements based on IP addresses and improve our understanding of the quality and limitations of these measurements. First, we introduce a novel approach for estimating a botnet’s size, called Considering Address Reassignment Duration when Counting (CARDCount). State-of-the-art approaches rely on counting unique IP addresses, leading to inaccurate estimates due to bots being assigned multiple IP addresses over time. The idea of CARDCount is to use statistical distributions of IP address assignments to account for multiple IP address assignments. We show that CARDCount provides substantially more accurate estimates than the state-of-the-art in several real-world evaluations. Second, we describe a measurement study that we conducted to analyze modern IoT botnets’ (dis-)similarities. For that, we implemented a novel system to uniformly and collaboratively measure multiple botnets. In an eight-month measurement study, we found that modern IoT botnets strongly deviate in their characteristics. We used the IP addresses to group bots based on their AS and country to identify possible reasons for the deviations. This grouping allowed us to identify the influence of demographics on a bot’s lifetime, churn, and response behavior. These findings show that modern IoT botnets evolved from the once canonical IoT botnet Mirai. Furthermore, the differences in demographics highlight that not all bots provide the same utility, e.g., the availability to conduct DDoS attack. Therefore, in addition to size, one should consider a botnet’s demographics and the resulting impact on bot lifetime, availability, and responsiveness. Third, we conducted simulations to investigate the recent development of anti-tracking mechanisms and their impact on botnet tracking operations. We assumed a worst-case scenario where botmasters could detect any deviation from regular bot behavior. For our evaluation, we developed a purpose-built botnet simulation framework to simulate thousands of possible scenarios and configurations. We found that anti-tracking mechanisms can require a hundredfold increase in available IP addresses to track a botnet successfully. However, developing distributed and collaborative tracking mechanisms could reduce the resource requirements of defenders. Fourth, we address the interdisciplinary question of the lawfulness of botnet tracking under the GDPR. We established that the GDPR does apply to botnet tracking. Furthermore, we identified legal grounds for botnet tracking conducted by industry, ISPs, and research in the public interest. We found that research in the public interest is most flexible, while ISPs are most restricted concerning the techniques used to conduct and data collected during botnet tracking. Furthermore, we provided practical guidelines for each party to minimize the possible impact on the privacy of an infected device’s owner. Overall, this thesis makes several contributions that improve our understanding of botnet measurements based on IP addresses and our capabilities to perform more accurate measurements. While in parts of our work, we focused on current threats (Hajime, Mirai, and Mozi botnets), we consistently aimed to make our contributions as general as possible to make them applicable to future botnets. Ultimately, the tools and insights presented in this thesis provide defenders with an edge in the fight against botnets now and in the future.

Alternative Abstract:
Alternative AbstractLanguage

Botnetze ermöglichen es Cyberkriminellen, lähmende Distributed Denial Denial of Service (DDoS)-Angriffe durchzuführen, Verschlüsselungstrojaner bzw. Ransomware zu verbreiten und eine Vielzahl anderer Angriffe auszuführen. Um den Schaden durch Botnetz-Angriffe zu begrenzen, beobachten und erfassen Verteidiger (IT-Sicherheitsexperten) den Botnetz-Datenverkehr in einem Prozess namens Botnetz-Tracking. Die Verteidiger nutzen die gesammelten Informationen, um das Botnetz selbst auszuschalten oder um Angriffe abzuwehren, die von dem Botnetz ausgehen. Botnetz-Tracking stützt sich in der Regel auf IP-Adressen als Identifikatoren infizierter Geräte. Dieser Rückgriff auf IP-Adressen ist problematisch, da Internet Service-Provider IP-Adressen häufig verschiedenen Benutzern neu zuweisen. Außerdem können sich aufgrund der Knappheit an IP-Adressen mehrere Geräte eine einzige öffentliche IP-Adresse teilen. Durch den Mangel an eindeutigen und langfristigen Identifikatoren ist eine solche Messung von Botnetzen mit Ungenauigkeiten behaftet. Darüber hinaus gelten IP-Adressen gemeinhin als personenbezogene Informationen, was zu Bedenken hinsichtlich der Rechtmäßigkeit der Erfassung und Verarbeitung von Botnetz-Tracking-Daten führt. In dieser Arbeit stellen wir vier Beiträge vor, die es ermöglichen, genauere Botnetz-Messungen als solche auf der Grundlage von IP-Adressen durchzuführen und das Verständnis über die Qualität und die Grenzen dieser Messungen zu verbessern. Zunächst stellen wir einen neuen Ansatz zur Einschätzung der Größe eines Botnetzes vor, genannt Considering Address Reassignment Duration when Counting (CARDCount). Existierende Ansätze basieren auf der Zählung von IP-Adressen, was zu ungenauen Einschätzungen der Botnetz-Größe führt, da Bots im Laufe der Zeit mehrere IP-Adressen zugewiesen werden. Die Idee von CARDCount ist es, statistische Verteilungen der IP-Adressenzuweisungen zu nutzen, um Mehrfachzuweisungen von IP-Adressen zu berücksichtigen. Wir zeigen in mehreren realen Evaluierungen, dass CARDCount wesentlich genauere Einschätzungen ermöglicht als der aktuelle Stand der Technik. Zweitens beschreiben wir eine Messstudie, in der wir die (Un-)Ähnlichkeiten moderner IoT-Botnetze analysieren. Dazu haben wir ein neuartiges System implementiert, um mehrere Botnetze einheitlich und gemeinsam zu messen. In einer achtmonatigen Messstudie fanden wir heraus, dass moderne IoT-Botnetze in ihren Eigenschaften stark voneinander abweichen. Anhand der IP-Adressen gruppierten wir die Bots auf der Grundlage ihres Autonomen Systems und Landes, um mögliche Gründe für die Abweichungen zu ermitteln. Durch diese Gruppierung konnten wir den Einfluss demografischer Merkmale auf die Lebensdauer, das Churn-Verhalten und die Erreichbarkeit eines Bots ermitteln. Diese Ergebnisse zeigen, dass sich moderne IoT-Botnetze deutlich von dem einst kanonischen IoT-Botnet Mirai weiter entwickelt haben. Darüber hinaus verdeutlichen die Unterschiede in den demografischen Merkmalen, dass nicht alle Bots den gleichen Nutzen bieten, z.B. die Verfügbarkeit zur Durchführung von DDoS-Angriffen. Als Resultat zeigen wir auf, dass neben der neben der Größe eines Botnetzes, welche normalerweise für die Einschätzung der Gefahr betrachtet wird, auch die demografischen Merkmale und die daraus resultierenden Auswirkungen auf die Lebensdauer, Verfügbarkeit und Erreichbarkeit von Bots berücksichtigt werden sollten. Drittens haben wir Simulationen durchgeführt, um die jüngste Entwicklung von Anti-Tracking-Mechanismen und ihre Auswirkungen auf Botnetz-Tracking zu untersuchen. Wir gingen von einem WorstCase-Szenario aus, bei dem die Botmaster jede Abweichung vom regulären Bot-Verhalten erkennen konnten. Für unsere Evaluierung haben wir ein speziell entwickeltes Botnetz-Simulation-Framework entwickelt, mit dem wir Tausende von möglichen Szenarien und Konfigurationen simulieren konnten. Als Ergebnis zeigt sich, dass die Anti-Tracking-Mechanismen eine hundertfache Erhöhung der verfügbaren IP-Adressen erfordern kann, um ein Botnetz erfolgreich zu verfolgen. Durch die Entwicklung verteilter und kollaborativer Verfolgungsmechanismen könnte der Ressourcenbedarf der Verteidiger jedoch verringert werden. Viertens befassen wir uns mit der interdisziplinären Frage der Rechtmäßigkeit des Botnetz-Trackings in der Jurisdiktion der Datenschutzgrundverordnung (DSGVO). Wir haben festgestellt, dass die DSGVO für das Botnetz-Tracking Anwendung findet. Darüber hinaus haben wir rechtliche Gründe für das Botnetz-Tracking durch die Industrie, Internetdienstleister und die Forschung im öffentlichen Interesse ermittelt. Es zeigte sich, dass die Forschung im öffentlichen Interesse am flexibelsten ist, während Internetdienstleister hinsichtlich der Techniken zur Durchführung des Botnetz-Trackings und der dabei gesammelten Daten am meisten eingeschränkt sind. Darüber hinaus haben wir praktische Richtlinien für die drei untersuchten Gruppen erstellt, um die möglichen Auswirkungen auf die Privatsphäre des Besitzers eines infizierten Geräts zu minimieren. Insgesamt leistet diese Arbeit mehrere Beiträge, die unser Verständnis von Botnetz-Messungen auf der Grundlage von IP-Adressen verbessern und neue Methoden zur Durchführung genauerer Messungenvorstellen. Während wir uns in Teilen unserer Arbeit auf spezifische Bedrohungen (Hajime-, Mirai- und Mozi-Botnetze) konzentrierten, sind unsere Beiträge so allgemein wie möglich gehalten, damit sie auch auf zukünftige Botnetze anwendbar sind. Letztlich verschaffen die in dieser Arbeit vorgestellten Tools und Erkenntnisse den Verteidigern jetzt und in Zukunft einen Vorteil im Kampf gegen Botnetze.

German
Status: Publisher's Version
URN: urn:nbn:de:tuda-tuprints-247617
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science > Telecooperation
Profile Areas > Cybersecurity (CYSEC)
Date Deposited: 11 Jan 2024 13:03
Last Modified: 12 Jan 2024 08:03
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/24761
PPN: 514627913
Export:
Actions (login required)
View Item View Item