Bereich: Botnetz
Hintergrund/Idee:
Die Gruppe um Christian J. Dietrich und Christian Rossow entwickelt Methoden zur dynamischen Analyse des Netzwerkverkehrs von Malware, insbesondere von Bots.
Im Rahmen dieses Forschungsbereiches bieten wir folgende Themen:
- Dropzone-Analyzer
- Ziel dieser Arbeit ist, eine Software zu entwickeln, die Dropzones identifiziert und die dort vorliegenden Inhalte analysiert, in erster Linie für die Protokolle SMTP/IMAP/POP3, HTTP und FTP.
- Analyse von Benutzerinteraktion in Bezug auf Malware-Aktivität
- Ziel dieser Arbeit ist, herauszufinden, inwiefern sich Benutzeraktivität auf die Aktivität von Malware, insbesondere Bots, auswirkt. Darüber hinaus soll erprobt werden, inwiefern sich Benutzeraktivität simulieren lässt.
- Windows-Rootkit
- Sebek ist ein bekanntes gutartiges Rootkit, das zur Analyse von Malware genutzt werden kann. Auf diese Weise lassen sich Informationen des Host-Betriebssystems und der laufenden Anwendungen extrahieren. Im Rahmen dieser Arbeit soll eruiert werden, inwiefern sich Informationen von Sebek dazu eignen und welches Verbesserungspotential bei Sebek besteht. Alternativ können auch andere vergleichbare Rootkits beleuchtet oder entwickelt werden. Darüber hinaus können auch eigene Features für Sebek oder andere Rootkits implementiert werden.
- Data Mining des Netzwerkverkehrs von Bot-Samples
- Ziel dieser Arbeit ist, die Menge an Netzwerkverkehr von Bot-Samples zu strukturieren. Darüber hinaus soll der Netzwerkverkehr z.B. mit Virenlabels korreliert werden, um festzustellen, ob bestimmte Arten von Netzwerkverkehr typisch für bestimmte Malware-Familien sind.
- Rogue Bots
- Ein Rogue Bot ist ein emulierter Bot, der einem Botnetz z.B. zu Monitoringzwecken beitritt, ohne die Scahdfunktionen des ursprünglichen Bots auszuführen. Ziel dieser Arbeit ist die Entwicklung eines Frameworks mit Hilfe dessen Rogue Bots zügig implementiert werden können. Darüber hinaus sollen Command&Control-Protokolle analysiert werden.