2010-10 botnet analysis and protection methods
DESCRIPTION
TRANSCRIPT
mattagile.com
Botnet Analysis and Protection Methods
Paweł WyleciałMatt Harasymczuk
Botnet Analysis
Botnet Analysis2010-12-06
mattagile.com
Prelegenci
Paweł Wyleciał
• Wargame: hack the code
• cc-hackme
• Vuln research
• Malware analysis
• XTM International
Razem piszemy pracę inżynierską dotyczącą analizy i metod obrony przed sieciami typu botnet
Mateusz Harasymczuk
• Programista w MBP sp. z o.o.
• Admin / network engineer
- Politechnika Poznańska
- Consdata sp. z o.o
- CK&B New York
mattagile.com
Tematy
• Definicje
• Pojęcia
• Historia
• Schemat działania
• Zastosowanie
• Analiza na wybranych przykładach
• Sposoby rozprzestrzeniania
mattagile.com
Definicja botnetu
• Botnet - grupa komputerów zainfekowanych złośliwym oprogramowaniem (np. robakiem) pozostającym w ukryciu przed użytkownikiem i pozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach botnetu. Kontrola ta pozwala na zdalne rozsyłanie spamu oraz inne ataki z użyciem zainfekowanych komputerów.
• Źródło: http://pl.wikipedia.org/wiki/Botnet_(bezpieczeństwo_komputerowe)
mattagile.com
Pojęcia
• Zombie
• Command-center
• Payload
• spam, spim
• DDoS
• NullRouting, Blackhole routing vs wycinanie na firewallu
• Bottleneck - wąskie gardło
mattagile.com
źródło: http://en.wikipedia.org/wiki/Botnet
mattagile.com
Historia sieci botnet
• 2 listopada 1988 został uruchomiony robak Morris Worm,
• 10% całego ówczesnego Internetu,
• Straty oszacowano na 10 do 100 mln dolarów,
• Pierwsze prawdziwe sieci botnet powstały w już w 1993 roku,
• Robaki te łączyły się z siecią IRC,
• W styczniu 2007 roku został zidentyfikowany Storm botnet,
• Na podstawie danych z września 2007 roku stwierdzono, iż ma możliwość odcięcia od internetu całego kraju i posiada potencjalną możliwość wykonywania większej liczby obliczeń na sekundę, niż najlepsze superkomputery.
mattagile.comSchemat działania botnet
Źródło: http://pl.wikipedia.org/wiki/Botnet_(bezpieczeństwo_komputerowe)
mattagile.com
Schemat działania
• “Botmaster may be a skilled black hat hackers or just a mere script kiddie”,
• Przestępczość zorganizowana,
• Rozprzestrzenianie poprzez trojany,
• Zarządzanie IRC lub command center, twitter (Mehika Twitter),
• Zlecenie wykonania ataku,
• Wydanie rozkazu ataku,
• Komputery odpowiadają i atakują.
mattagile.com
Elementy botnetu
• Komputery zombie
• Serwery zarządzający
• Exploit pack, interfejs webowy (+ moduł statystyk)
mattagile.com
Zastosowanie
• Rozsyłanie SPAM
• Kradzież danych
• Ataki DDoS
• Atak na elektrownię atomową, wirówki używane do wzbogacania uranu (Stuxnet)
mattagile.com
Metody rozprzestrzeniania
• Poczta elektroniczna
• Trojan w załączniku
• Link do strony internetowej (drive-by download)
• Komunikatory internetowe (gg, msn, jabber itd.)
• Portale społecznościowe (twitter, facebook, nk itd.)
• Warez
mattagile.com
Profilaktyka
• Stwierdzenie czy nasz komputer stał się zombie nie jest proste. Pewnymi symptomami mogą być np.:
• Podwyższona aktywność dysku twardego
• Nadmierne użycie łącza sieciowego
• Część z typowych funkcji systemu nie jest dostępna (np. menedżer zadań)
• E-maile od nieznanych osób.
• W celu zabezpieczenia się przed atakami musimy przede wszystkim mieć sprawny i aktualny program antywirusowy, a także nie otwierać plików z nieznanych źródeł (np. podejrzanych maili)
mattagile.com
Storm botnet
• Rozprzestrzenianie poprzez zainfekowane strony (drive-by download)
• Ataki DDoS, rozsyłanie spamu
• Sieć zdecentralizowana
• Szyfrowane połączenia
• Fast flux DNS
• Liczba przejętych maszyn ciężka do oszacowania (1 - 50 mln)
mattagile.comStorm botnet
źródło: http://m86security.com
mattagile.com
Anty RE
• Wykrywanie debuggerów
• Wykrywanie wirtualnych maszyn
• Obfuskacja kodu
• używanie pakerów
mattagile.com
Błędy w botnetach
• SQL injection
• Directory travelsal
• Hardcodowane wartości do bazy danych
mattagile.com
cybercrime as a service
• 76service
• WebAplikacja
• Czasowa subskrypcja
• Dostęp do danych zbieranych przez już działający botnet
• Ceny od 1000 do 2000 dolarów
mattagile.comExploits shop ceny exploit pack
źródło: http://bothunters.pl
mattagile.com76service stats
źródło: http://76service.com
mattagile.comCybercrime on Demand CoD
źródło: http://m86security.com
mattagile.com
Straty spowodowane przez cybercriminals raport FBI
źródło: http://fbi.gov
mattagile.comKing of spam botnet
źródło: http://m86security.com
mattagile.comKing of spam botnet
źródło: http://m86security.com
mattagile.comStatystyka 3 kwartał 2010
źródło: http://cert.gov.pl
mattagile.comPhoenix Exploit Kit
źródło: http://m86security.com
mattagile.comPhoenix Exploit Kit
źródło: http://m86security.com
mattagile.comPhoenix Exploit Kit
źródło: http://m86security.com
mattagile.comPhoenix Exploit Kit
źródło: http://m86security.com
mattagile.com
Projekt
• Aplikacja webowa służąca do sprawdzania adresu URL pod kątem złośliwego oprogramowania
mattagile.comPytania?
Paweł Wyleciał [email protected]
Mateusz Harasymczuk [email protected] www.harasymczuk.pl
mattagile.com
Dziękujemy za uwagę.
Mateusz [email protected]
www.harasymczuk.plPaweł Wyleciał[email protected]