Védekezés kártevők C&C forgalma ellen

Hasonló dokumentumok
Elektronikus információbiztonsági oktatási koncepció

Informatikai biztonság a kezdetektől napjainkig

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

SOPHOS simple + secure. A dobozba rejtett biztonság UTM 9. Kókai Gábor - Sophos Advanced Engineer Balogh Viktor - Sophos Architect SOPHOS

Végpont védelem könnyen és praktikusan

MYSEC TALK SPECIAL SPAMMING BOTNET KLIENS A BONCASZTALON

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Mértékegységek a számítástechnikában

Fábián Zoltán Hálózatok elmélet

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S

Információ és kommunikáció

Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései. Császár Rudolf Műszaki fejlesztési vezető Digital Kft.

Simon Balázs Dr. Goldschmidt Balázs Dr. Kondorosi Károly. BME, Irányítástechnika és Informatika Tanszék

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

Információ és kommunikáció

Oralce kliens installálása Windows Server 2003-ra

Integrációs mellékhatások és gyógymódok a felhőben. Géczy Viktor Üzletfejlesztési igazgató

IT biztonság 2015/2016 tanév. ELTE IT Biztonság Speci

DHA VÉDELMI RENDSZER EREDMÉNYEINEK STATISZTIKAI VIZSGÁLATA

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

Titkosítás mesterfokon. Tíz évvel a titkosítás után. Előadó: Tóthi Dóra Kovárczi Béla András

A J2EE fejlesztési si platform (application. model) 1.4 platform. Ficsor Lajos Általános Informatikai Tanszék Miskolci Egyetem

Vírusok és kártékony programok A vírus fogalma, típusai Vírusirtás Védelem

The banking Trojan Zeus. Készítette: Nagy Attila

Számítógépes alapismeretek 2.

Internetes böngésző fejlesztése a mobil OO világban

CAD-CAM

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

20. Tétel 1.0 Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok Pozsonyi ; Szemenyei

Az adathalászat trendjei

Hálózatkezelés. Tóth Zsolt. Miskolci Egyetem. Tóth Zsolt (Miskolci Egyetem) Hálózatkezelés / 20

BackupPC. Az /etc/hosts fájlba betehetjük a hosztokat, ha nem a tejles (fqdn, DNS név) névvel hivatkozunk rájuk: # /etc/hosts #

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

ECDL Információ és kommunikáció

Vezető Kedvezményezetti Szeminárium IMIR

Webtárhely létrehozása a helyen. Lépések Teendő 1. Böngészőbe beírni: 2. Jobb oldalon regisztrálni (tárhelyigénylés).

MINISZTERELNÖKI HIVATAL. Szóbeli vizsgatevékenység

Informatika 10. évf.

ELOECMSzakmai Kongresszus2013

Symantec Endpoint Protection

ELTE, IK, Információs Rendszerek Tanszék

Számítógépes Hálózatok. 3. gyakorlat

FP7/ICT részvétel KKV-s szempontból

BOOKING GUIDE. itbroadcast - INFOTÉKA

Vírusmentesítés naplóelemző eszközökkel

Az IBM megközelítése a végpont védelemhez

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

A JAVA FUTTATÁSAKOR ELŐFORDULÓ HIBA-

Összegezés az ajánlatok elbírálásáról. 1. Az ajánlatkérő neve és címe: Nemzeti Adó-és Vámhivatal Központi Hivatala 1054 Budapest, Széchenyi u. 2.

applikációs protokollok

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Az internet az egész világot behálózó számítógép-hálózat.

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. Kocsis Gergely, Supák Zoltán

Novell Nterprise Branch Office: a távoli iroda felügyeletének leegyszerűsítése

YOUNG PARTNER NAP

2015 Cisco Éves Biztonsági Jelentés

Alapfogalmak, WWW, HTTP

Titkosítás NetWare környezetben

Intervenciós röntgen berendezés teljesítményszabályozójának automatizált tesztelése

Alkalmazások architektúrája

A JAVA FUTTATÁSAKOR ELŐFORDULÓ HIBA-

Webszolgáltatások (WS)

Vezető Partner Szeminárium IMIR

Rétegezett architektúra HTTP. A hálózatfejlesztés motorját a hálózati alkalmazások képezik. TCP/IP protokoll készlet

1. Gyakorlat: Telepítés: Windows Server 2008 R2 Enterprise, Core, Windows 7

HISCOM GOP

Webszolgáltatások kommunikációs overhead-jének becslése

A készülék fő egységei X1 X1 (kizárólag vezeték nélküli kamera esetében X1 X1 X1 X1 X1

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

SIP. Jelzés a telefóniában. Session Initiation Protocol

CSOMAGSZŰRÉS CISCO ROUTEREKEN ACL-EK SEGÍTSÉGÉVEL PACKET FILTERING ON CISCO ROUTERS USING ACLS

A felkészülés ideje alatt segédeszköz nem használható!

ÓBUDAI EGYETEM Neumann János Informatikai Kar Informatikai Rendszerek Intézet Témavezető: Bringye Zsolt

Ellenőrző lista. 2. Hálózati útvonal beállítások, kapcsolatok, névfeloldások ellenőrzése: WebEC és BKPR URL-k kliensről történő ellenőrzése.

Osztott alkalmazások fejlesztési technológiái Áttekintés

Department of Software Engineering

Click to edit headline title style

CCI.Courier. Megbízási adatok cseréje a gazdasági számítógép és a terminál között. Hivatkozás: CCI.Courier v2.0

Hálózati architektúrák és Protokollok GI Kocsis Gergely

A szoftver tesztelés alapjai

Csak felvételi vizsga: csak záróvizsga: közös vizsga: Mérnök informatikus szak BME Villamosmérnöki és Informatikai Kar január 4.

Informatika témavázlatok. 4. évfolyam

10. évfolyam 105 óra azonosító számú Hálózatok, programozás és adatbázis-kezelés 105 óra Adatbázis- és szoftverfejlesztés gyakorlat tantárgy

Fábián Zoltán Hálózatok elmélet

Kommunikáció Androidon Mobilinternet Wifi

SZÁMÍTÓGÉPES KÁRTEVŐK (MALWARE)

Az SQL*Plus használata

Informatika szóbeli vizsga témakörök

Új módszerek és eszközök infokommunikációs hálózatok forgalmának vizsgálatához

BEVEZETÉS AZ INTERNET ÉS A WORLD WIDE WEB VILÁGÁBA. Kvaszingerné Prantner Csilla, EKF

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

fájl-szerver (file server) Az a számítógép a hálózatban, amelyen a távoli felhasználók (kliensek) adatállományait tárolják.

ELO Digital Office ERP integráció

Nagyvállalati megoldások - Black Cell Kft.

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Tarantella Secure Global Desktop Enterprise Edition

Nyílt forráskódú irodai programkomponensek vállalati környezetbe való integrációjának vizsgálata és implementációja

Hetet egy csapásra. Máriás Zoltán TMSI Kft. CISA, CSM, CNE, CASE antidotum 2015

Földmérési és Távérzékelési Intézet

Átírás:

Védekezés kártevők C&C forgalma ellen Dr. Leitold Ferenc Veszprog Kft., Dunaújvárosi Főiskola, fleitold@veszprog.hu Horváth Botond Veszprog Kft., Dunaújvárosi Főiskola, botond@veszprog.hu Mike Dorottya Veszprog Kft. dori@veszprog.hu

Védekezés kártevők C&C forgalma ellen A projekt beadásának éve A pályázat kódja és megnevezése A projekt azonosítója A projekt címe 2009 REG_KD_KFI_09, Baross Gábor Program, K+F projektek támogatása FBP12467 Valós idejű biztonsági kockázatelemzési technológia fejlesztése

A kártevők többsége az internetről érkezik Már 5 évvel ezelőtt How threats arrive on PCs 1. Visits to malicious websites ( 42% ) 2. Downloaded by other malware ( 34% ) 3. E-mail attachments & links ( 9% ) 4. Transfers from removable disks ( 8% ) 5. Other (mostly via Internet) ( 7% ) source: Trend Micro 5

Védelmek tesztelése Eredeti cél Tűzfalak vizsgálata C&C forgalommal szemben Később Kártékony URL-ekre vonatkozó eredmények Nem kártékony URL-ekre vonatkozó eredmények C&C kommunikációra vonatkozó eredmények

Tartalom Minták generálása Tesztkörnyezet Teszt végrehajtása Eredmények analízálása Eredmények További tervek (Zeus) Kérdések

Minták generálása

Minták generálása 1. módszer Megfigyelt hálózati C&C forgalom rögzítése és ismétlése Recent Suspicious URL Feed (from live network) Zombie Wannabe Farm Not Protected F O Systems under Test Organic URLs C&C URL Analysis?

Minták generálása 1. módszer Megfigyelt hálózati C&C forgalom rögzítése és ismétlése Előnyök: A kártékony kód nem kerül végrehajtásra -> a rendszer visszaállítása nem szükséges Több teszteset hajtható végre Hátrányok: A teljes kommunikáció EGY üzenetét vizsgáljuk csupán Csak HASZNÁLT üzeneteket vizsgálunk Problémát jelenthet, ha egy üzenetet csak egyszer használ a C&C kommunikció. Csak az ismételhető üzenetekre működik az eljárás Különböző típusú üzenetek más és más eszközt igényelnek. A gyártók támadhatják a módszert, elsősorban a nem teljes kommunikáció miatt.

Minták generálása 2. módszer A kártevőt a kliensen futtatjuk és az a C&C forgalmat generálja Recent Suspicious URL Feed (from live network) Zombie Wannabe Farm Not Protected F O Systems under Test Organic URLs C&C URL Analysis?

Minták generálása 2. módszer A kártevőt a kliensen futtatjuk és az a C&C forgalmat generálja Előnyök: Valós, élő, teljes kommunikáció használata Gyártók által nem támadható Nem gond a különböző típusú üzenetek generálása, azt maga a kártevő teszi meg. Hátrányok: A kártevő kódját végre kell hajtani -> a tesztrendszert a tesztesetek után vissza kell állítani Kevesebb teszteset vizsgálható a visszaállítás miatt, illetve a kommunikációra történő várakozás miatt

Minták generálása 1. módszer Megfigyelt hálózati C&C forgalom rögzítése és ismétlése Recent Suspicious URL Feed (from live network) Zombie Wannabe Farm Not Protected F O Systems under Test Organic URLs C&C URL Analysis?

Minták generálása FTP (forrás) saját szerver Letöltés 30 percenként Lista készítés (max 10000 URL) Tárolás a day0 LIFO-ban, max 50k/nap Day0 done Day1 done Day2 done Day3 done Day4 done Day5 done Day6 done DONE Day0 LIFO Day1 LIFO Day2 LIFO Day3 LIFO Day4 LIFO Day5 LIFO Day6 LIFO Day7 LIFO Következő lista továbbítása a tesztrendszerben lévő klienseknek Mozgatás, amint feldolgozásra került Mozgatás naponta egyszer

Tesztrendszer client without protection client without protection client without protection client without protection gateway protection W gateway protection X gateway protection Y gateway protection Z gateway (save all traffic) client without protection client with endpoint protection A client with endpoint protection B client with endpoint protection C

Tesztrendszer client without protection client without protection client without protection client without protection gateway protection W gateway protection X gateway protection Y gateway protection Z gateway (save all traffic) client without protection client with endpoint protection A client with endpoint protection B client with endpoint protection C

Teszt végrehajtása (1) A kliensek a wget paranccsal nyitják meg a következő URL-t timeout 20 wget Q10k T20 a <logfile> -t 1 P <storedirectory> <url> (2) Eredmények mentése: - wget log (a kliensen) - downloaded content (a kliensen) - traffic report (a külső tűzfalon) - protection report (a tűzfalon) (3) GOTO (1)

Eredmények analízálása I. original list of URLs <url> original list of URLs <id> <url> <simplified url hash> wget log uniform wget log <type> <date&time> <simplified url hash> <wget-result> <location> protection 1 protection log uniform protection log <simplified url hash> <protection-result> gateway traffic log uniform gateway traffic log <simplified url hash> <id> <type> <date&time> <sim. url hash> <wget-result> <location> <protection-result> <traffic@gateway> uniform result log (of protection 1) <id> <date&time> <wget-result> <protection-result> <traffic@gateway>

Eredmények analízálása I. Miért kell egyszerűsíteni az URL-eket? original url url in wget log http://www.theopen.jp:80/~/media/the Open/Homepage/Gallery/Thomas Aiken Wed.ashx?w=536&h=347&la=ja-JP www.theopen.jp:80/~/media/the%20open/homepage/gallery/thomas%20aiken%20 Wed.ashx?w=536&h=347&la=ja-JP url in the log of product A www.theopen.jp:80/~/media/theopen/homepage/gallery/thomasaikenwed.ashx?w= 536&h=347&la=ja-JP url in the log of product B http://www.theopen.jp/~/media/the%20open/homepage/gallery/thomas%20aiken %20Wed.ashx?w=536&h=347&la=ja-JP

Eredmények analízálása II. uniform result log (of protection 1) uniform result log (of protection 2) uniform result log (without protection) ok kategória test result sheet <url-id> <without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection2-date&time> <protection2-wget-result> <protection2-protection-result>

Eredmények analízálása II. uniform result log (of protection 1) uniform result log (without protection) ok kategória test result sheet <id> <without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection1-traffic@gateway> <protection2-date&time> <protection2-wget-result> <protection2-protection-result> <protection2-traffic@gateway>

Eredmények analízálása II. uniform result log (of protection 1) uniform result log (of protection 2) uniform result log (without protection) ok kategória test result sheet <id> <without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection1-traffic@gateway> <protection2-date&time> <protection2-wget-result> <protection2-protection-result> <protection2-traffic@gateway>

Eredmények analízálása II. uniform result log (of protection 1) uniform result log (of protection 2) uniform result log (without protection) ok kategória test result sheet <id> <without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection1-traffic@gateway> <protection2-date&time> <protection2-wget-result> <protection2-protection-result> <protection2-traffic@gateway>

Category xref table Eredmények analízálása II.

Eredmények analízálása II. Category xref table (x)xyyz (x)x: main category 1..12 yy: subcategory z: sign for different wording, e.g.:

Eredmények analízálása II. Category xref table test result sheet <url-id> <without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> test result sheet with IDs <url-id> <result-ids> <result-ids> <protection2-date&time> <protection2-wget-result> <protection2-protection-result>

Eredmények analízálása III. test result sheet with IDs <url-id> <result-ids> <result-ids> Consensus sheet <url-id> <consensus-ids> <number of votes> (1 ID -> 1 vote) Score sheet <url-id> <consensus-id> <max-score> = 1 / number of consensus IDs <score-protection1> = maxscore * agreed IDs / all IDs <score-protection2>

Eredmények Néhány szám Egyedi URL-ek száma: 641 389 6-10 alkalommal ismételve Tesztesetek száma: 5 148 341 8 védelemmel + védelem nélkül Teszteljárások száma: 46 335 069 Eredmények mérete: 1 761 187 711 sor 165 251 145 217 byte (~154 GB)

Eredmények Minta eredmény C&C forgalomra vonatkozó URL-ek 0day teszt + 5 ismétlés Utolsó napi konszenzus alapján

Eredmények Minta eredmények (6 nap)

Eredmények a kártékony URL életciklusa Minta eredmények (6 nap)

Eredmények a kártékony URL életciklusa Minta eredmények (6 nap)

Eredmények Minta eredmények (6 nap)

Eredmények Minta eredmények (6 nap)

Eredmények Minta eredmények (6 nap)

Anomáliák Eredmények

További tervek 2. módszer A kártevőt a kliensen futtatjuk és az a C&C forgalmat generálja Recent Suspicious URL Feed (from live network) Zombie Wannabe Farm Not Protected F O Systems under Test Organic URLs C&C URL Analysis?

Botnet hálózatok Célja a személyes adatok eltulajdonítása credit card CVC kód, felhasználó nevek, jelszavak (steam, origin)) Egyik leggyakrabban használt botnet a Zbot (Zeus) botnet Célja nem a károkozás hanem az adatgyűjtés

Botnet hálózatok

Botnet hálózatok

Botnet hálózatok

Botnet hálózatok Miért a Zeus? A többi botnethez képest viszonylag jobban dokumentált a működése 2007-ben jelent meg Azóta sokat fejlődött Mérete a pár száz KB-ostól a több MB-ig terjed

Zeus Botnet World Acktivity

Botnet hálózatok

Botnet hálózatok

Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl A futtatható (exe) fájlból Dropzone, lopott információk tárolása itt történik

Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl (általában *.bin kiterjesztéssel) A futtatható (exe) fájlból Dropzone, lopott információk tárolása itt történik

Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl (általában *.bin kiterjesztéssel) A futtatható (exe) fájlból ami tartalmazza a Zeus trójait Dropzone, lopott információk tárolása itt történik

Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl (általában *.bin kiterjesztéssel) A futtatható (exe) fájlból ami tartalmazza a Zeus trójait Dropzone, lopott információk tárolása itt történik (általában *.php kiterjesztéssel)

Zeus botnet Információk elkapása HTTP, HTTPS, FTP, POP3 protokollokon A fertőzött gépeket különböző botnetek-be szervezi Titkosított konfigurációs fájlt használ Web formok amelyeken információkat kér be a felhasználótól

Zeus botnet Nem minden Zeus fájl futtatható

Zeus botnet Nem minden Zeus fájl futtatható

Zeus botnet Nem minden Zeus fájl futtatható

Zeus botnet Nem minden Zeus fájl futtatható Megoldás Dumpbin (Microsoft megoldás)

Zeus botnet Nem minden Zeus fájl futtatható Megoldás Dumpbin (Microsoft megoldás)

Zeus botnet Nem minden Zeus fájl futtatható Megoldás Dumpbin (Microsoft megoldás)

Zeus botnet vizsgálata Valamilyen DNS, illetve HTTP kérést használnak

Zeus botnet vizsgálata Valamilyen DNS, illetve HTTP kérést használnak

Zeus botnet vizsgálata Valamilyen DNS, illetve HTTP kérést használnak bosinmeyarder.com

Zeus botnet vizsgálata A Zeus botnet adtakapcsolata a szerverrel

Zeus botnet vizsgálata 1. eset %windir%\system32\ntos.exe %windir%\system32\wsnpoem\audio.dll %windir%\system32\wsnpoem\video.dll 2. eset %windir%\system32\oembios.exe %windir%\system32\sysproc64\sysproc86.sys %windir%\system32\sysproc64\sysproc32.sys 3. eset %windir%\system32\twext.exe %windir%\system32\twain_32\local.ds %windir%\system32\twain_32\user.ds bináris állomány megszerzett adatokat tartalmazza titkosított konfigurációs fájl bináris állomány megszerzett adatokat tartalmazza titkosított konfigurációs fájl bináris állomány megszerzett adatokat tartalmazza titkosított konfigurációs fájl

Összefoglalás Módszerek C&C forgalom detektálásának vizssgálatára Többségi döntésen alapuló eljárás az eredmények értékeléséhez További publikációk: Leitold, F., K. Hadarics: Measuring security risk in the cloud-enabled enterprise 19th International Conference on Malicious and Unwanted Software, Fajardo, Puerto Rico, 2012 Colon-Osario, F., Leitold, F. & others: Handling incoming and C&C communication at the network gateway 1st Regional Conference on Malicious and Unwanted Software, Hangzhou, China, 2013 Colon-Osario, F., Leitold, F. & others: Measuring the effectiveness of modern security products to detect and contain emerging threats - A consensus-based approach 20th International Conference on Malicious and Unwanted Software, Fajardo, Puerto Rico, 2013

Köszönjük a figyelmet!

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés