Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris Petr Špringl [email protected]

INVEA-TECH • Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU • Přes 100 instalací na českém trhu • Desítky provedených analýz a měření sítí, např. • Zákaznické reference akademická sféra – univerzity, knihovny, AV státní sféra – magistráty, kraje, nemocnice soukromá sféra – od malých až po největší společnosti poskytovatelé internetu

• Mnoho referencí i ze zahraničí, např. Korea Telecom

1.3.2012

Bezpečnostní monitoring © INVEA-TECH 2012

2/48

Agenda • Bezpečnost – několik zajímavých statistik • Základní přehled běžně používaných bezpečnostních nástrojů • Bezpečnostní monitoring (monitorování datových toků) • Objevení botnetu Chuck Norris – případová studie

1.3.2012


3/48

Malware

Zdroj: McAfee Threats Report: Fourth Quarter 2011 1.3.2012


4/48

Botnety – infikovaná zařízení



5/48

Botnety – infikovaná zařízení



6/48

Motivace útočníků

Zdroj: Radware – 2011 Global Application & Network Security Report 1.3.2012


7/48

Zveřejněné úniky dat



8/48

Botnet as a Service

Zdroj: McAfee Threats Report: First Quarter 2011 1.3.2012


9/48

Nás se to přeci netýká. Nebo?

Útoky v ČR

1.3.2012


11/48

Útoky v ČR

1.3.2012


12/48

Útoky v ČR

• A řada dalších Ochranný svaz autorský Parlament ČR Intergram …. 1.3.2012


13/48

Co s tím? Jak se bránit?

Běžně používané bezpečnostní nástroje

Firewall

FIREWALL

OK


Intrusion Detection System Intrusion Prevention System

IDS/IPS

OK STOP


Anti Virus, Anti Spyware, …

ANTI-X

OK

Bezpečnost sítě - trendy • Nové trendy vyžadují používání moderních nástrojů

1.3.2012


22/48

Bezpečnost sítě - trendy • Již se nestačí bránit pouze na perimetru

1.3.2012


23/48

Moderní přístup

Bezpečnostní monitoring sítí (monitorování datových toků - NetFlow)

Moderní přístup

Detekce nežádoucího chování

Moderní přístup

Detekce anomálií

Technologie NetFlow • Měření na základě IP toků analyzují se pouze hlavičky paketů, obsah paketů není monitorován ani uchováván (ochrana osobních údajů)

• Moderní metoda monitorování sítí, Cisco standard v5/v9

1.3.2012


31/48

Architektura • Zdroje síťových statistik (např. specializované sondy) monitoring síťového provozu a export NetFlow dat

• Kolektory NetFlow dat analýza, vyhodnocení a vizualizace síťových statistik

1.3.2012


32/48

Přínosy monitorování toků • Detailní přehled o dění v síti (LAN i WAN) - jak v reálném čase, tak kdykoliv v minulosti Top N statistiky (uživatelé, služby, navštěvované servery) uživatelské pohledy (pobočky, servery, uživatelé, protokoly) rozkrytí až na úroveň jednotlivých komunikací upozorňování/alerting

• Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků • Vyšetřování a dohledávání incidentů • Přínosy i pro správu a management sítě přesné, rychlé a efektivní řešení problémů snadné plánování kapacit a optimalizací sítě dohled nad využitím Internetu, využitím aplikací předcházení incidentům jako jsou zahlcení a výpadky sítě odhalení špatných konfigurací 1.3.2012


33/48

Analýza chování sítě • • • •

Network Behavior Analysis (NBA) Moderní „nadstavba“ nad monitorováním datových toků Automatická pokročilá detailní analýza NetFlow dat Detekce nežádoucích vzorů chování vnitřní i vnější útoky nežádoucí služby a aplikace

• Behaviorální analýza profily chování detekce anomálií, podezřelého chování

• Účinné i pro moderní útoky psané na míru

1.3.2012


34/48

Přínosy NBA systémů • Detekce vnitřních i vnějších útoků, změn chování v síti • Rychlý přehled o všech událostech v síti včetně okamžité indikace problémů • Kontrola přístupů uživatelů k datovým zdrojům • Dohledávání a prokazování bezpečnostních incidentů • Porovnání bezpečnostních politik se skutečným stavem • Prevence před únikem informací ze společnosti • Odhalení útoků, které jsou nedetekovatelné jinými nástroji

1.3.2012


35/48

Objevení botnetu Chuck Norris CSIRT-MU díky monitorování sítě (monitorování datových toků)

1.3.2012


Botnet • Objevení botnetu Chuck Norris CSIRT-MU díky monitorování sítě (monitorování datových toků) • Co je botnet? bot = škodlivý software, vyspělejší sourozenec virů a červů botnet = síť botů (napadených počítačů)

• Obecné vlastnosti botnetů vzdáleně ovládaná síť napadených počítačů (IRC protokol) vyhledávání zranitelných počítačů zneužití napadených počítačů pro nelegální činnost

1.3.2012


37/48

Proč botnet?

Zdroj: Yury Namestnikov – The economics of Botnets 1.3.2012


38/48

Proč botnet?

Zdroj: Yury Namestnikov – The economics of Botnets 1.3.2012


39/48

Odhalování botnetů • Antivirus, Antimalware, Antispam, Anti... tradiční způsob detekce a ochrany před škodlivým kódem reaguje na známé hrozby poté co jsou objeveny zaměřeno na ochranu běžných uživatelů OS

• Honeypoty nástraha pro útočníka, aby se svojí aktivitou prozradil primárně nijak nechrání síť zaměřeno na odhalení a analýzu nových forem malware

• Bezpečnostní sledování sítě a analýza výstupů každý v síti zanechává stopy zajímavé protokoly – DNS, HTTP, SMTP, IRC ...

1.3.2012


40/48

Odhalení botnetu Chuck Norris • Mnoho pokusů z celého světa o připojení ke službě TELNET odhaleno díky monitorování sítě (monitorování datových toků) kdo dnes používá TELNET??? proč se zařízení z celého světa chtějí připojit na TELNET port?

• Následná podrobnější analýza situace vedla k odhalení botnetu

1.3.2012


41/48

Odhalení botnetu Chuck Norris • Zpětné trasování zjištěno, že se jedná o ADSL modemy, WIFI routery…

• Připojení na nakažené zařízení jednoduchý slovníkový útok

• Analýza činnosti nakaženého zařízení • Připojení na řídící server • Analýza chování botnetu

1.3.2012


42/48

Botnet Chuck Norris • Napadá linuxové servery – ADSL modemy, WIFI routery, satelitní přijímače … • Napadená zařízení se snaží nakazit další zařízení (skenování portů - TELNET, slovníkové útoky – jen 15 hesel!!!) se připojují k centrálnímu serveru, jenž jim udílí příkazy (IRC)

1.3.2012


43/48

Botnet Chuck Norris • • • • • •

Čas překladu nástroje pnscan - 4.7.2008 Nejstarší soubory na distribučním serveru - 19.5.2009 Objevení botnetu na MU - 2.12.2009 Snahy o ukončení botnetu (CSIRT-MU) Chuck Norris v2 – květen 2010 Různé modifikace dodnes Hydra Aidra (13.12.2011) ???

1.3.2012


44/48

Útoky stále pokračují

Botnet Aidra – satelity, VOIP zařízení, mediální centra… 1.3.2012


45/48

Chuck Norris - shrnutí • Napadá ADSL modemy, WIFI routery, satelitní přijímače … >500 000 takových zařízení celosvětově napadený uživatel neví, že se podílí na nelegální činnosti napadené zařízení je trvale připojeno k Internetu nelze detekovat standardními ANTI řešeními možnost manipulace s veškerým provozem do/z napadené sítě

• Útok založen na triviálním slovníkovém útoku (15 hesel) • Celá řada operátorů podcenila hrozbu banálního útoku • Schází zdroje pro odhalování podobných útoků - projevy chování botnetu se dají jen těžce přehlédnout [R]anger Killato : in nome di Chuck Norris ! 1.3.2012


46/48

Co přijde příště? • Nárůst používání síťových technologií v el. zařízeních • Jakékoliv zařízení s IP adresou je potenciálně nebezpečné inteligentní budovy, technologické sítě, infrastruktura

• Monitoring datových toků je klíčovou technologií!!!

1.3.2012


47/48

Děkuji za pozornost Váš partner ve světě vysokorychlostních sítí

Petr Špringl [email protected] 724 899 760

INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz Prezentace vznikla za spolupráce a při použití zdrojů projektu CYBER – projekt Ministerstva Obrany ČR realizovaný ÚVT a FI Masarykovy Univerzity. http://www.muni.cz/ics/cyber/ 1.3.2012


48/48

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl

Recommend Documents