MYSEC TALK SPECIAL SPAMMING BOTNET KLIENS A BONCASZTALON

MYSEC TALK SPECIAL SPAMMING BOTNET KLIENS A BONCASZTALON

ELŐADÁS FEJEZETEI • BOTNETEK ÁTTEKINTÉSE • RENDSZER ÁTTEKINTÉSE • LOGELEMZÉS – AZ ELSŐ NYOM….. • AZ ELSŐ REAKCIÓ, AZUTÁN A MÁSODIK  • FÁJLOK & FUNKCIÓK • LOGELEMZÉS – MI ZAJLIK 8 NAPJA? • MIT TEGYÜNK…. (VÉDEKEZÉS, DETEKTÁLÁS) • „A NAGY ERKÖLCSI KÉRDÉS”

BOTNETEK ÁTTEKINTÉSE

BOTNETEK ÁTTEKINTÉSE • • •

ALKALMAZÁSOK/MODULOK KOLLEKCIÓJA

• •

ANONIMITÁST BIZTOSÍT AZ ELKÖVETŐKNEK

HÁLÓZATON KERESZTÜL VEZÉRELT FERTŐZÖTT RENDSZER TULAJDONOSA ÁLTALÁBAN NEM TUD RÓLA

BLOKKOLÁSA NEHÉZKES - FOLYAMATOS VÁLTOZÁS (IP FORRÁSOK, TARTALOM, TECHNOLÓGIA)

BOTNETEK ÁTTEKINTÉSE BOTNETEK TÍPUSAI

• DISTRIBUTED DENIAL OF SERVICE (DDOS) TÁMADÁSHOZ • SPAMMING • FINANCIAL FRAUD

• SEARCH ENGINE OPTIMIZATION (SEO) • PAY-PER-CLICK (PPC) FRAUD • IPARI KÉMKEDÉS

• BITCOIN BÁNYÁSZAT (ÚJ ÉS IZGALMAS TÉMA)

BOTNETEK ÁTTEKINTÉSE BOTNET TOPOLÓGIÁK

• CSILLAG – BOTOK A KÖZPONTI C&C* SZERVERREL KOMMUNIKÁLNAK • MULTI-SZERVER – HASONLÓ MINT CSILLAG, DE TÖBB C&C SZERVER • HIERARCHIKUS – SZÜLŐ GYEREK VISZONY A BOTOK KÖZÖTT • RANDOM – P2P ADATCSERE

* COMMAND & CONTROL

BOTNETEK ÁTTEKINTÉSE BOTNET KOMMUNIKÁCIÓ TÍPUSOK

• HTTP – EGYSZERŰ ELREJTHETŐSÉG • IRC – NEM EGYSZERŰ ELREJTENI • EGYEDI - SAJÁT FEJLESZTÉS

• •

LETÖLTÉS MEGADOTT HELYRŐL FELTÖLTÉS BOTNET KLIENSEKEN KERESZTÜL (SZÜLŐ-GYEREK VISZONY)

BOTNETEK ÁTTEKINTÉSE BOTNETEK TERJEDÉSI TÍPUSAI

• E-MAIL CSATOLMÁNY • SOCIAL ENGINEERING • DRIVE-BY DOWNLOADS – TÖLTSD LE ÉS FUTTASD……. • TRÓJAI ALKALMAZÁSOK • „AUDIT” & BETÖRÉS/FELTÖRÉS

MIRŐL IS FOGUNK BESZÉLNI …AMIT NEM AKARSZ LÁTNI A SAJÁT POSTAFIÓKODBAN 

RENDSZER ÁTTEKINTÉSE

RENDSZER ÁTTEKINTÉSE • PRODUCTION HONEPYOT • ÉLŐ ÉS „KÍVÁNATOS” ADATOK A WEBLAPON • SOK EGYEDI LÁTOGATÓ NAPONTA • ERŐS MONITOROZÁS • NEM MYSEC DOMAIN, VAGY WEBLAP ENNÉL TÖBBET NEM MONDHATUNK…. JOBB ÍGY….

LOGELEMZÉS – AZ ELSŐ NYOM….. …AMIT NEM AKARSZ LÁTNI A SAJÁT LOGODBAN 

AZ ELSŐ REAKCIÓ….. AZUTÁN A MÁSODIK…..

AZ ELSŐ REAKCIÓ, AZUTÁN A MÁSODIK ELSŐ REAKCIÓ:

• • • •

LOGELEMZÉS FIM FUTTATÁSA FÁJLOK BEGYŰJTÉSE JELEZZÜK, HOGY ÉSZREVETTÜK AZ AKTIVITÁST….. (DEMO (0)) 💀 MÁSODIK REAKCIÓ: NE…INKÁBB MÉGSE JELEZZÜK 💀

FÁJLOK ÉS FUNKCIÓK BEAZONOSÍTÁSA + JÁTÉK

A MÁSODIK REAKCIÓ CÉLOK: • MIT VÁLTOZTATTAK? PRÓBÁLTAK ADATOT VAGY KONFIGURÁCIÓS FÁJLT LOPNI?

• • • • • • •

NÉZZÜK MEG MIT CSINÁLNAK A FÁJLOK, MI A FUNKCIÓJUK NÉZZÜK MEG A LOGOKAT – MIT HASZNÁLNAK, MIT NEM, REAKCIÓK ÉPÍTSÜK FEL A TELJES EMULÁCIÓT NÉZZÜK MEG ISMÉT A LOGOKAT….. LEGYÜNK KÉSZEK A VÁLTOZÁSKÖVETÉSRE

SZEPARÁLJUK AZ ADATOKAT, TÁROLJUNK LE MINDENT ZÁRJUK LE A RENDSZERT (BOSSZÚÁLLÁS MEGELŐZÉSE, ADATOK VÉDELME)

DEMÓ

(1)

A MÁSODIK REAKCIÓ VIZSGÁLATI EREDMÉNYEK ENNÉL A BOTNET HÁLÓZATNÁL: •

JOOMLA OLDALAKRA UTAZNAK

•

TÖBB IP FORRÁS A VILÁG MINDEN TÁJÁRÓL

•

AKTIVITÁS 14:00-06:00 CET KÖZÖTT, DE NEM MINDEN NAP

•

„ADCENTRIAIM/1.7”

•

FOLYAMATOS „HEARTBEAT”

•

IDŐSZAKOSAN TESZT LEVÉL KÜLDÉS

•

SZINTE MINDEN NAP JÖN ÚJ WEBOLDAL CÍM (ÚJ FÁJL JÖN LÉTRE)

•

HTTP_X_FORWARDED_FOR …..BUKTA VAN?

DEMÓ

(2)

REAKCIÓK ÉS TEVÉKENYSÉGEK AMI A LOGOKBÓL KIDERÜL

REAKCIÓK • 500-AS HIBAKÓD….SORRY MY FAULT….. • /ADMINISTRATOR HOZZÁFÉRÉS PÁNIKSZERŰ ELLENŐRZÉSE • EMULÁLT LEVÉLKIKÜLDÉS VS. VISSZAELLENŐRZÉS

DEMÓ (3)

TEVÉKENYSÉGEK - ÖSSZEFOGLALÓ • FÁJL FRISSÍTÉSEK (ÚJ DOMAINEK, ÚJ REDIRECT) • GOOGLE KERESÉS • HEARTBEAT #1 – TEM.HTML • HEARTBEAT #2 – TEM2.HTML • LEVELEK KIKÜLDÉSE (VEGYÉL VIAGRA-T) ÉS MINDEZEKET NAGYON ÓVATOSAN TESZIK……

MIT TEGYÜNK? MEGELŐZÉS ÉS VÉDELEM

MIT TEGYÜNK…. 3 TIPIKUS KÉRDÉS:

• HOGYAN DETEKTÁLJUK? (AMÚGY HOL PUBLIKÁLTAD A WEBLAPODAT?) • MIT TEGYÜNK? • HOGYAN ÁLLÍTSUK HELYRE AZ ÁLLAPOTOT? • MENNYI BEFOLYÁSUNK VAN WEBLAPUNK MŰKÖDÉSÉRE? • BIZTONSÁGOS A WEBLAPOM? • A TÖBBIEK WELAPJA BIZTONSÁGOS? (HOSTING KÖRNYEZET) • A HOSTING SZOLGÁLTATÓM HOGYAN ÜZEMELTET?

MIT TEGYÜNK …. HA „FELHASZNÁLÓK” VAGYUNK

• • •

WEBOLDALT FOLYAMATOSAN FRISSÍTESSÜK AZ ÜZEMELTETŐVEL LEGYEN SAJÁT MENTÉSÜNK IS CSAK AZOK A FUNKCIÓK LEGYEN AKTIVÁLVA, VAGY TELEPÍTVE AMIT HASZNÁLUNK IS (CMS RENDSZEREK)

MIT TEGYÜNK …. DETEKTÁLÁS ÉS ELHÁRÍTÁS HA KOMOLY RENDSZERÜNK VAN

• • •

NETFLOW

• • • • •

FILE INTEGRITY MONITORING (FIM)

IDS ANTIVIRUS&FIREWALL (ELLENPÉLDA: C99 TIPIKUS ESETE…)

NAPLÓZNI, NAPLÓZNI ÉS NAPLÓZNI….ÉS ODAFIGYELNI! AUDITÁLÁS ÉS FRISSÍTÉS

LEGYEN MENTÉSÜNK – NAPI, HETI, HAVI (HONEYPOT)

A NAGY ERKÖLCSI KÉRDÉS

A NAGY ERKÖLCSI KÉRDÉS HOL TARTUNK……

• ISMERJÜK A FELTÖRT OLDALAKAT • ISMERJÜK A JELSZÓT (VAGY ÉPPENSÉGGEL JELSZÓ SINCS) • TUDJUK HOGYAN KELL MANIPULÁLNI A FÁJLOKAT • CÍMLISTÁNK IS VAN 

A NAGY ERKÖLCSI KÉRDÉS LEHETŐSÉGEK….

• • •

ÉRTESÍTSÜK A WEBOLDAL TULAJDONOSOKAT? REAKCIÓ? BÉNÍTSUK MEG A HÁLÓZATOT? (BELENYÚLHATUNK?) BOTNET RENDSZER FELETT HATALOMÁTVÉTEL? (ESETLEG VÁLTSÁGDÍJ?)

A NAGY ERKÖLCSI KÉRDÉS

NEM FOG VÁLTOZNI SEMMI …SŐT A TREND SZERINT EGYRE ROSSZABB LESZ A HELYZET…

SZEMLÉLETVÁLTÁS SZÜKSÉGES, MERT A WEBSZERVER=ERŐFORRÁS

VÉGE(?) KÖSZÖNÖM A FIGYELMET!

KÉRDÉSEK? MAKAY KÁLMÁN [email protected]