Védekezés kártevők C&C forgalma ellen

Átírás

1 Védekezés kártevők C&C forgalma ellen Dr. Leitold Ferenc Veszprog Kft., Dunaújvárosi Főiskola, Horváth Botond Veszprog Kft., Dunaújvárosi Főiskola, Mike Dorottya Veszprog Kft.

2 Védekezés kártevők C&C forgalma ellen A projekt beadásának éve A pályázat kódja és megnevezése A projekt azonosítója A projekt címe 2009 REG_KD_KFI_09, Baross Gábor Program, K+F projektek támogatása FBP12467 Valós idejű biztonsági kockázatelemzési technológia fejlesztése

3 A kártevők többsége az internetről érkezik Már 5 évvel ezelőtt How threats arrive on PCs 1. Visits to malicious websites ( 42% ) 2. Downloaded by other malware ( 34% ) 3. attachments & links ( 9% ) 4. Transfers from removable disks ( 8% ) 5. Other (mostly via Internet) ( 7% ) source: Trend Micro 5

4 Védelmek tesztelése Eredeti cél Tűzfalak vizsgálata C&C forgalommal szemben Később Kártékony URL-ekre vonatkozó eredmények Nem kártékony URL-ekre vonatkozó eredmények C&C kommunikációra vonatkozó eredmények

5 Tartalom Minták generálása Tesztkörnyezet Teszt végrehajtása Eredmények analízálása Eredmények További tervek (Zeus) Kérdések

6 Minták generálása

7 Minták generálása 1. módszer Megfigyelt hálózati C&C forgalom rögzítése és ismétlése Recent Suspicious URL Feed (from live network) Zombie Wannabe Farm Not Protected F O Systems under Test Organic URLs C&C URL Analysis?

8 Minták generálása 1. módszer Megfigyelt hálózati C&C forgalom rögzítése és ismétlése Előnyök: A kártékony kód nem kerül végrehajtásra -> a rendszer visszaállítása nem szükséges Több teszteset hajtható végre Hátrányok: A teljes kommunikáció EGY üzenetét vizsgáljuk csupán Csak HASZNÁLT üzeneteket vizsgálunk Problémát jelenthet, ha egy üzenetet csak egyszer használ a C&C kommunikció. Csak az ismételhető üzenetekre működik az eljárás Különböző típusú üzenetek más és más eszközt igényelnek. A gyártók támadhatják a módszert, elsősorban a nem teljes kommunikáció miatt.

9 Minták generálása 2. módszer A kártevőt a kliensen futtatjuk és az a C&C forgalmat generálja Recent Suspicious URL Feed (from live network) Zombie Wannabe Farm Not Protected F O Systems under Test Organic URLs C&C URL Analysis?

10 Minták generálása 2. módszer A kártevőt a kliensen futtatjuk és az a C&C forgalmat generálja Előnyök: Valós, élő, teljes kommunikáció használata Gyártók által nem támadható Nem gond a különböző típusú üzenetek generálása, azt maga a kártevő teszi meg. Hátrányok: A kártevő kódját végre kell hajtani -> a tesztrendszert a tesztesetek után vissza kell állítani Kevesebb teszteset vizsgálható a visszaállítás miatt, illetve a kommunikációra történő várakozás miatt

11 Minták generálása 1. módszer Megfigyelt hálózati C&C forgalom rögzítése és ismétlése Recent Suspicious URL Feed (from live network) Zombie Wannabe Farm Not Protected F O Systems under Test Organic URLs C&C URL Analysis?

12 Minták generálása FTP (forrás) saját szerver Letöltés 30 percenként Lista készítés (max URL) Tárolás a day0 LIFO-ban, max 50k/nap Day0 done Day1 done Day2 done Day3 done Day4 done Day5 done Day6 done DONE Day0 LIFO Day1 LIFO Day2 LIFO Day3 LIFO Day4 LIFO Day5 LIFO Day6 LIFO Day7 LIFO Következő lista továbbítása a tesztrendszerben lévő klienseknek Mozgatás, amint feldolgozásra került Mozgatás naponta egyszer

13 Tesztrendszer client without protection client without protection client without protection client without protection gateway protection W gateway protection X gateway protection Y gateway protection Z gateway (save all traffic) client without protection client with endpoint protection A client with endpoint protection B client with endpoint protection C

14 Tesztrendszer client without protection client without protection client without protection client without protection gateway protection W gateway protection X gateway protection Y gateway protection Z gateway (save all traffic) client without protection client with endpoint protection A client with endpoint protection B client with endpoint protection C

15 Teszt végrehajtása (1) A kliensek a wget paranccsal nyitják meg a következő URL-t timeout 20 wget Q10k T20 a <logfile> -t 1 P <storedirectory> <url> (2) Eredmények mentése: - wget log (a kliensen) - downloaded content (a kliensen) - traffic report (a külső tűzfalon) - protection report (a tűzfalon) (3) GOTO (1)

16 Eredmények analízálása I. original list of URLs <url> original list of URLs <id> <url> <simplified url hash> wget log uniform wget log <type> <date&time> <simplified url hash> <wget-result> <location> protection 1 protection log uniform protection log <simplified url hash> <protection-result> gateway traffic log uniform gateway traffic log <simplified url hash> <id> <type> <date&time> <sim. url hash> <wget-result> <location> <protection-result> <traffic@gateway> uniform result log (of protection 1) <id> <date&time> <wget-result> <protection-result> <traffic@gateway>

17 Eredmények analízálása I. Miért kell egyszerűsíteni az URL-eket? original url url in wget log Open/Homepage/Gallery/Thomas Aiken Wed.ashx?w=536&h=347&la=ja-JP Wed.ashx?w=536&h=347&la=ja-JP url in the log of product A 536&h=347&la=ja-JP url in the log of product B %20Wed.ashx?w=536&h=347&la=ja-JP

18 Eredmények analízálása II. uniform result log (of protection 1) uniform result log (of protection 2) uniform result log (without protection) ok kategória test result sheet <url-id> <without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection2-date&time> <protection2-wget-result> <protection2-protection-result>

19 Eredmények analízálása II. uniform result log (of protection 1) uniform result log (without protection) ok kategória test result sheet <id> <without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection2-date&time> <protection2-wget-result> <protection2-protection-result>

20 Eredmények analízálása II. uniform result log (of protection 1) uniform result log (of protection 2) uniform result log (without protection) ok kategória test result sheet <id> <without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection2-date&time> <protection2-wget-result> <protection2-protection-result>

21 Eredmények analízálása II. uniform result log (of protection 1) uniform result log (of protection 2) uniform result log (without protection) ok kategória test result sheet <id> <without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection2-date&time> <protection2-wget-result> <protection2-protection-result>

22 Category xref table Eredmények analízálása II.

23 Eredmények analízálása II. Category xref table (x)xyyz (x)x: main category yy: subcategory z: sign for different wording, e.g.:

24 Eredmények analízálása II. Category xref table test result sheet <url-id> <without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> test result sheet with IDs <url-id> <result-ids> <result-ids> <protection2-date&time> <protection2-wget-result> <protection2-protection-result>

25 Eredmények analízálása III. test result sheet with IDs <url-id> <result-ids> <result-ids> Consensus sheet <url-id> <consensus-ids> <number of votes> (1 ID -> 1 vote) Score sheet <url-id> <consensus-id> <max-score> = 1 / number of consensus IDs <score-protection1> = maxscore * agreed IDs / all IDs <score-protection2>

26 Eredmények Néhány szám Egyedi URL-ek száma: alkalommal ismételve Tesztesetek száma: védelemmel + védelem nélkül Teszteljárások száma: Eredmények mérete: sor byte (~154 GB)

27 Eredmények Minta eredmény C&C forgalomra vonatkozó URL-ek 0day teszt + 5 ismétlés Utolsó napi konszenzus alapján

28 Eredmények Minta eredmények (6 nap)

29 Eredmények a kártékony URL életciklusa Minta eredmények (6 nap)

30 Eredmények a kártékony URL életciklusa Minta eredmények (6 nap)

31 Eredmények Minta eredmények (6 nap)

32 Eredmények Minta eredmények (6 nap)

33 Eredmények Minta eredmények (6 nap)

34 Anomáliák Eredmények

35 További tervek 2. módszer A kártevőt a kliensen futtatjuk és az a C&C forgalmat generálja Recent Suspicious URL Feed (from live network) Zombie Wannabe Farm Not Protected F O Systems under Test Organic URLs C&C URL Analysis?

36 Botnet hálózatok Célja a személyes adatok eltulajdonítása credit card CVC kód, felhasználó nevek, jelszavak (steam, origin)) Egyik leggyakrabban használt botnet a Zbot (Zeus) botnet Célja nem a károkozás hanem az adatgyűjtés

37 Botnet hálózatok

38 Botnet hálózatok

39 Botnet hálózatok

40 Botnet hálózatok Miért a Zeus? A többi botnethez képest viszonylag jobban dokumentált a működése 2007-ben jelent meg Azóta sokat fejlődött Mérete a pár száz KB-ostól a több MB-ig terjed

41 Zeus Botnet World Acktivity

42 Botnet hálózatok

43 Botnet hálózatok

44 Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl A futtatható (exe) fájlból Dropzone, lopott információk tárolása itt történik

45 Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl (általában *.bin kiterjesztéssel) A futtatható (exe) fájlból Dropzone, lopott információk tárolása itt történik

46 Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl (általában *.bin kiterjesztéssel) A futtatható (exe) fájlból ami tartalmazza a Zeus trójait Dropzone, lopott információk tárolása itt történik

47 Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl (általában *.bin kiterjesztéssel) A futtatható (exe) fájlból ami tartalmazza a Zeus trójait Dropzone, lopott információk tárolása itt történik (általában *.php kiterjesztéssel)

48 Zeus botnet Információk elkapása HTTP, HTTPS, FTP, POP3 protokollokon A fertőzött gépeket különböző botnetek-be szervezi Titkosított konfigurációs fájlt használ Web formok amelyeken információkat kér be a felhasználótól

49 Zeus botnet Nem minden Zeus fájl futtatható

50 Zeus botnet Nem minden Zeus fájl futtatható

51 Zeus botnet Nem minden Zeus fájl futtatható

52 Zeus botnet Nem minden Zeus fájl futtatható Megoldás Dumpbin (Microsoft megoldás)

53 Zeus botnet Nem minden Zeus fájl futtatható Megoldás Dumpbin (Microsoft megoldás)

54 Zeus botnet Nem minden Zeus fájl futtatható Megoldás Dumpbin (Microsoft megoldás)

55 Zeus botnet vizsgálata Valamilyen DNS, illetve HTTP kérést használnak

56 Zeus botnet vizsgálata Valamilyen DNS, illetve HTTP kérést használnak

57 Zeus botnet vizsgálata Valamilyen DNS, illetve HTTP kérést használnak bosinmeyarder.com

58 Zeus botnet vizsgálata A Zeus botnet adtakapcsolata a szerverrel

59 Zeus botnet vizsgálata 1. eset %windir%\system32\ntos.exe %windir%\system32\wsnpoem\audio.dll %windir%\system32\wsnpoem\video.dll 2. eset %windir%\system32\oembios.exe %windir%\system32\sysproc64\sysproc86.sys %windir%\system32\sysproc64\sysproc32.sys 3. eset %windir%\system32\twext.exe %windir%\system32\twain_32\local.ds %windir%\system32\twain_32\user.ds bináris állomány megszerzett adatokat tartalmazza titkosított konfigurációs fájl bináris állomány megszerzett adatokat tartalmazza titkosított konfigurációs fájl bináris állomány megszerzett adatokat tartalmazza titkosított konfigurációs fájl

60 Összefoglalás Módszerek C&C forgalom detektálásának vizssgálatára Többségi döntésen alapuló eljárás az eredmények értékeléséhez További publikációk: Leitold, F., K. Hadarics: Measuring security risk in the cloud-enabled enterprise 19th International Conference on Malicious and Unwanted Software, Fajardo, Puerto Rico, 2012 Colon-Osario, F., Leitold, F. & others: Handling incoming and C&C communication at the network gateway 1st Regional Conference on Malicious and Unwanted Software, Hangzhou, China, 2013 Colon-Osario, F., Leitold, F. & others: Measuring the effectiveness of modern security products to detect and contain emerging threats - A consensus-based approach 20th International Conference on Malicious and Unwanted Software, Fajardo, Puerto Rico, 2013

61 Köszönjük a figyelmet!

62