MYSEC TALK SPECIAL SPAMMING BOTNET KLIENS A BONCASZTALON
ELŐADÁS FEJEZETEI • BOTNETEK ÁTTEKINTÉSE • RENDSZER ÁTTEKINTÉSE • LOGELEMZÉS – AZ ELSŐ NYOM….. • AZ ELSŐ REAKCIÓ, AZUTÁN A MÁSODIK • FÁJLOK & FUNKCIÓK • LOGELEMZÉS – MI ZAJLIK 8 NAPJA? • MIT TEGYÜNK…. (VÉDEKEZÉS, DETEKTÁLÁS) • „A NAGY ERKÖLCSI KÉRDÉS”
BOTNETEK ÁTTEKINTÉSE
BOTNETEK ÁTTEKINTÉSE • • •
ALKALMAZÁSOK/MODULOK KOLLEKCIÓJA
• •
ANONIMITÁST BIZTOSÍT AZ ELKÖVETŐKNEK
HÁLÓZATON KERESZTÜL VEZÉRELT FERTŐZÖTT RENDSZER TULAJDONOSA ÁLTALÁBAN NEM TUD RÓLA
BLOKKOLÁSA NEHÉZKES - FOLYAMATOS VÁLTOZÁS (IP FORRÁSOK, TARTALOM, TECHNOLÓGIA)
BOTNETEK ÁTTEKINTÉSE BOTNETEK TÍPUSAI
• DISTRIBUTED DENIAL OF SERVICE (DDOS) TÁMADÁSHOZ • SPAMMING • FINANCIAL FRAUD
• SEARCH ENGINE OPTIMIZATION (SEO) • PAY-PER-CLICK (PPC) FRAUD • IPARI KÉMKEDÉS
• BITCOIN BÁNYÁSZAT (ÚJ ÉS IZGALMAS TÉMA)
BOTNETEK ÁTTEKINTÉSE BOTNET TOPOLÓGIÁK
• CSILLAG – BOTOK A KÖZPONTI C&C* SZERVERREL KOMMUNIKÁLNAK • MULTI-SZERVER – HASONLÓ MINT CSILLAG, DE TÖBB C&C SZERVER • HIERARCHIKUS – SZÜLŐ GYEREK VISZONY A BOTOK KÖZÖTT • RANDOM – P2P ADATCSERE
* COMMAND & CONTROL
BOTNETEK ÁTTEKINTÉSE BOTNET KOMMUNIKÁCIÓ TÍPUSOK
• HTTP – EGYSZERŰ ELREJTHETŐSÉG • IRC – NEM EGYSZERŰ ELREJTENI • EGYEDI - SAJÁT FEJLESZTÉS
• •
LETÖLTÉS MEGADOTT HELYRŐL FELTÖLTÉS BOTNET KLIENSEKEN KERESZTÜL (SZÜLŐ-GYEREK VISZONY)
BOTNETEK ÁTTEKINTÉSE BOTNETEK TERJEDÉSI TÍPUSAI
• E-MAIL CSATOLMÁNY • SOCIAL ENGINEERING • DRIVE-BY DOWNLOADS – TÖLTSD LE ÉS FUTTASD……. • TRÓJAI ALKALMAZÁSOK • „AUDIT” & BETÖRÉS/FELTÖRÉS
MIRŐL IS FOGUNK BESZÉLNI …AMIT NEM AKARSZ LÁTNI A SAJÁT POSTAFIÓKODBAN
RENDSZER ÁTTEKINTÉSE
RENDSZER ÁTTEKINTÉSE • PRODUCTION HONEPYOT • ÉLŐ ÉS „KÍVÁNATOS” ADATOK A WEBLAPON • SOK EGYEDI LÁTOGATÓ NAPONTA • ERŐS MONITOROZÁS • NEM MYSEC DOMAIN, VAGY WEBLAP ENNÉL TÖBBET NEM MONDHATUNK…. JOBB ÍGY….
LOGELEMZÉS – AZ ELSŐ NYOM….. …AMIT NEM AKARSZ LÁTNI A SAJÁT LOGODBAN
AZ ELSŐ REAKCIÓ….. AZUTÁN A MÁSODIK…..
AZ ELSŐ REAKCIÓ, AZUTÁN A MÁSODIK ELSŐ REAKCIÓ:
• • • •
LOGELEMZÉS FIM FUTTATÁSA FÁJLOK BEGYŰJTÉSE JELEZZÜK, HOGY ÉSZREVETTÜK AZ AKTIVITÁST….. (DEMO (0)) 💀 MÁSODIK REAKCIÓ: NE…INKÁBB MÉGSE JELEZZÜK 💀
FÁJLOK ÉS FUNKCIÓK BEAZONOSÍTÁSA + JÁTÉK
A MÁSODIK REAKCIÓ CÉLOK: • MIT VÁLTOZTATTAK? PRÓBÁLTAK ADATOT VAGY KONFIGURÁCIÓS FÁJLT LOPNI?
• • • • • • •
NÉZZÜK MEG MIT CSINÁLNAK A FÁJLOK, MI A FUNKCIÓJUK NÉZZÜK MEG A LOGOKAT – MIT HASZNÁLNAK, MIT NEM, REAKCIÓK ÉPÍTSÜK FEL A TELJES EMULÁCIÓT NÉZZÜK MEG ISMÉT A LOGOKAT….. LEGYÜNK KÉSZEK A VÁLTOZÁSKÖVETÉSRE
SZEPARÁLJUK AZ ADATOKAT, TÁROLJUNK LE MINDENT ZÁRJUK LE A RENDSZERT (BOSSZÚÁLLÁS MEGELŐZÉSE, ADATOK VÉDELME)
DEMÓ
(1)
A MÁSODIK REAKCIÓ VIZSGÁLATI EREDMÉNYEK ENNÉL A BOTNET HÁLÓZATNÁL: •
JOOMLA OLDALAKRA UTAZNAK
•
TÖBB IP FORRÁS A VILÁG MINDEN TÁJÁRÓL
•
AKTIVITÁS 14:00-06:00 CET KÖZÖTT, DE NEM MINDEN NAP
•
„ADCENTRIAIM/1.7”
•
FOLYAMATOS „HEARTBEAT”
•
IDŐSZAKOSAN TESZT LEVÉL KÜLDÉS
•
SZINTE MINDEN NAP JÖN ÚJ WEBOLDAL CÍM (ÚJ FÁJL JÖN LÉTRE)
•
HTTP_X_FORWARDED_FOR …..BUKTA VAN?
DEMÓ
(2)
REAKCIÓK ÉS TEVÉKENYSÉGEK AMI A LOGOKBÓL KIDERÜL
REAKCIÓK • 500-AS HIBAKÓD….SORRY MY FAULT….. • /ADMINISTRATOR HOZZÁFÉRÉS PÁNIKSZERŰ ELLENŐRZÉSE • EMULÁLT LEVÉLKIKÜLDÉS VS. VISSZAELLENŐRZÉS
DEMÓ (3)
TEVÉKENYSÉGEK - ÖSSZEFOGLALÓ • FÁJL FRISSÍTÉSEK (ÚJ DOMAINEK, ÚJ REDIRECT) • GOOGLE KERESÉS • HEARTBEAT #1 – TEM.HTML • HEARTBEAT #2 – TEM2.HTML • LEVELEK KIKÜLDÉSE (VEGYÉL VIAGRA-T) ÉS MINDEZEKET NAGYON ÓVATOSAN TESZIK……
MIT TEGYÜNK? MEGELŐZÉS ÉS VÉDELEM
MIT TEGYÜNK…. 3 TIPIKUS KÉRDÉS:
• HOGYAN DETEKTÁLJUK? (AMÚGY HOL PUBLIKÁLTAD A WEBLAPODAT?) • MIT TEGYÜNK? • HOGYAN ÁLLÍTSUK HELYRE AZ ÁLLAPOTOT? • MENNYI BEFOLYÁSUNK VAN WEBLAPUNK MŰKÖDÉSÉRE? • BIZTONSÁGOS A WEBLAPOM? • A TÖBBIEK WELAPJA BIZTONSÁGOS? (HOSTING KÖRNYEZET) • A HOSTING SZOLGÁLTATÓM HOGYAN ÜZEMELTET?
MIT TEGYÜNK …. HA „FELHASZNÁLÓK” VAGYUNK
• • •
WEBOLDALT FOLYAMATOSAN FRISSÍTESSÜK AZ ÜZEMELTETŐVEL LEGYEN SAJÁT MENTÉSÜNK IS CSAK AZOK A FUNKCIÓK LEGYEN AKTIVÁLVA, VAGY TELEPÍTVE AMIT HASZNÁLUNK IS (CMS RENDSZEREK)
MIT TEGYÜNK …. DETEKTÁLÁS ÉS ELHÁRÍTÁS HA KOMOLY RENDSZERÜNK VAN
• • •
NETFLOW
• • • • •
FILE INTEGRITY MONITORING (FIM)
IDS ANTIVIRUS&FIREWALL (ELLENPÉLDA: C99 TIPIKUS ESETE…)
NAPLÓZNI, NAPLÓZNI ÉS NAPLÓZNI….ÉS ODAFIGYELNI! AUDITÁLÁS ÉS FRISSÍTÉS
LEGYEN MENTÉSÜNK – NAPI, HETI, HAVI (HONEYPOT)
A NAGY ERKÖLCSI KÉRDÉS
A NAGY ERKÖLCSI KÉRDÉS HOL TARTUNK……
• ISMERJÜK A FELTÖRT OLDALAKAT • ISMERJÜK A JELSZÓT (VAGY ÉPPENSÉGGEL JELSZÓ SINCS) • TUDJUK HOGYAN KELL MANIPULÁLNI A FÁJLOKAT • CÍMLISTÁNK IS VAN
A NAGY ERKÖLCSI KÉRDÉS LEHETŐSÉGEK….
• • •
ÉRTESÍTSÜK A WEBOLDAL TULAJDONOSOKAT? REAKCIÓ? BÉNÍTSUK MEG A HÁLÓZATOT? (BELENYÚLHATUNK?) BOTNET RENDSZER FELETT HATALOMÁTVÉTEL? (ESETLEG VÁLTSÁGDÍJ?)
A NAGY ERKÖLCSI KÉRDÉS
NEM FOG VÁLTOZNI SEMMI …SŐT A TREND SZERINT EGYRE ROSSZABB LESZ A HELYZET…
SZEMLÉLETVÁLTÁS SZÜKSÉGES, MERT A WEBSZERVER=ERŐFORRÁS
VÉGE(?) KÖSZÖNÖM A FIGYELMET!
KÉRDÉSEK? MAKAY KÁLMÁN
[email protected]