Védekezés kártevők C&C forgalma ellen
Dr. Leitold Ferenc Veszprog Kft., Dunaújvárosi Főiskola,
[email protected] Horváth Botond Veszprog Kft., Dunaújvárosi Főiskola,
[email protected]
Mike Dorottya Veszprog Kft.
[email protected]
Védekezés kártevők C&C forgalma ellen
A projekt beadásának éve
2009
A pályázat kódja és megnevezése
REG_KD_KFI_09, Baross Gábor Program, K+F projektek támogatása
A projekt azonosítója
FBP12467
A projekt címe
Valós idejű biztonsági kockázatelemzési technológia fejlesztése
A kártevők többsége az internetről érkezik Már 5 évvel ezelőtt … How threats arrive on PCs 1. Visits to malicious websites ( 42% ) 2. Downloaded by other malware ( 34% ) 3. E-mail attachments & links ( 9% ) 4. Transfers from removable disks ( 8% ) 5. Other (mostly via Internet) ( 7% ) source: Trend Micro
5
Védelmek tesztelése Eredeti cél Tűzfalak vizsgálata C&C forgalommal szemben
Később Kártékony URL-ekre vonatkozó eredmények Nem kártékony URL-ekre vonatkozó eredmények C&C kommunikációra vonatkozó eredmények
Tartalom Minták generálása Tesztkörnyezet Teszt végrehajtása Eredmények analízálása Eredmények További tervek (Zeus) Kérdések
Minták generálása
Minták generálása 1. módszer Megfigyelt hálózati C&C forgalom rögzítése és ismétlése
Recent Suspicious URL Feed (from live network)
F Zombie Wannabe Farm
O
Systems under Test Organic URLs C&C URL Analysis
Not Protected
?
Minták generálása 1. módszer Megfigyelt hálózati C&C forgalom rögzítése és ismétlése
Előnyök: • A kártékony kód nem kerül végrehajtásra -> a rendszer visszaállítása nem szükséges • Több teszteset hajtható végre Hátrányok: • A teljes kommunikáció EGY üzenetét vizsgáljuk csupán • Csak HASZNÁLT üzeneteket vizsgálunk Problémát jelenthet, ha egy üzenetet csak egyszer használ a C&C kommunikció. • Csak az “ismételhető” üzenetekre működik az eljárás • Különböző típusú üzenetek más és más eszközt igényelnek. • A gyártók támadhatják a módszert, elsősorban a nem teljes kommunikáció miatt.
Minták generálása 2. módszer A kártevőt a kliensen futtatjuk és az a C&C forgalmat generálja
Recent Suspicious URL Feed (from live network)
F Zombie Wannabe Farm
O
Systems under Test Organic URLs C&C URL Analysis
Not Protected
?
Minták generálása 2. módszer A kártevőt a kliensen futtatjuk és az a C&C forgalmat generálja
Előnyök: • Valós, élő, teljes kommunikáció használata • Gyártók által nem támadható • Nem gond a különböző típusú üzenetek generálása, azt maga a kártevő teszi meg. Hátrányok: • A kártevő kódját végre kell hajtani -> a tesztrendszert a tesztesetek után vissza kell állítani • Kevesebb teszteset vizsgálható a visszaállítás miatt, illetve a kommunikációra történő várakozás miatt
Minták generálása 1. módszer Megfigyelt hálózati C&C forgalom rögzítése és ismétlése
Recent Suspicious URL Feed (from live network)
F Zombie Wannabe Farm
O
Systems under Test Organic URLs C&C URL Analysis
Not Protected
?
Minták generálása FTP (forrás)
saját szerver Letöltés 30 pe rcen
ként
Lista készítés (max 10000 URL)
Tárolás a day0 LIFO-ban, max 50k/nap Day0 LIFO Day0 done Day1 LIFO Day1 done
Következő lista továbbítása a tesztrendszerben lévő klienseknek
Day2 LIFO Day2 done Day3 LIFO Day3 done Day4 LIFO Day4 done Day5 LIFO Day5 done Day6 LIFO Day6 done Day7 LIFO DONE
Mozgatás, amint feldolgozásra került
Mozgatás naponta egyszer
Tesztrendszer client without protection client without protection
gateway protection W
gateway protection X
gateway protection Y
gateway (save all traffic)
client without protection gateway protection Z client without protection client without protection client with endpoint protection A
client with endpoint protection B client with endpoint protection C
Tesztrendszer client without protection client without protection
gateway protection W
gateway protection X
gateway protection Y
gateway (save all traffic)
client without protection gateway protection Z client without protection client without protection client with endpoint protection A
client with endpoint protection B client with endpoint protection C
Teszt végrehajtása (1) A kliensek a wget paranccsal nyitják meg a következő URL-t timeout 20 wget –Q10k –T20 –a
-t 1 –P <storedirectory> ”” (2) Eredmények mentése: - wget log (a kliensen) - downloaded content (a kliensen) - traffic report (a külső tűzfalon) - protection report (a tűzfalon)
(3) GOTO (1)
Eredmények analízálása I. original list of URLs
original list of URLs <simplified url hash>
wget log
protection 1
uniform wget log <simplified url hash> <wget-result> protection log uniform protection log <simplified url hash> <protection-result> gateway traffic log uniform gateway traffic log <simplified url hash>
<sim. url hash> <wget-result> <protection-result>
uniform result log (of protection 1) <wget-result> <protection-result>
Eredmények analízálása I. Miért kell egyszerűsíteni az URL-eket?
original url
http://www.theopen.jp:80/~/media/The Open/Homepage/Gallery/Thomas Aiken Wed.ashx?w=536&h=347&la=ja-JP
url in wget log
www.theopen.jp:80/~/media/The%20Open/Homepage/Gallery/Thomas%20Aiken%20 Wed.ashx?w=536&h=347&la=ja-JP
url in the log of product A
www.theopen.jp:80/~/media/TheOpen/Homepage/Gallery/ThomasAikenWed.ashx?w= 536&h=347&la=ja-JP
url in the log of product B
http://www.theopen.jp/~/media/The%20Open/Homepage/Gallery/Thomas%20Aiken %20Wed.ashx?w=536&h=347&la=ja-JP
Eredmények analízálása II. uniform result log (of protection 1) uniform result log (of protection 2)
uniform result log (without protection)
test result sheet
• ok • kategória
<without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection2-date&time> <protection2-wget-result> <protection2-protection-result>
Eredmények analízálása II. uniform result log (of protection 1)
uniform result log (without protection)
test result sheet
• ok • kategória
<without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection1-traffic@gateway> <protection2-date&time> <protection2-wget-result> <protection2-protection-result> <protection2-traffic@gateway>
Eredmények analízálása II. uniform result log (of protection 1) uniform result log (of protection 2)
uniform result log (without protection)
test result sheet
• ok • kategória
<without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection1-traffic@gateway> <protection2-date&time> <protection2-wget-result> <protection2-protection-result> <protection2-traffic@gateway>
Eredmények analízálása II. uniform result log (of protection 1) uniform result log (of protection 2)
uniform result log (without protection)
test result sheet
• ok • kategória
<without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection1-traffic@gateway> <protection2-date&time> <protection2-wget-result> <protection2-protection-result> <protection2-traffic@gateway>
Eredmények analízálása II. Category xref table
Eredmények analízálása II. Category xref table
(x)xyyz
(x)x: main category – 1..12 yy: subcategory z: sign for different wording, e.g.:
Eredmények analízálása II. Category xref table
test result sheet <without-protection-date&time> <without-protection-wget-result> <protection1-date&time> <protection1-wget-result> <protection1-protection-result> <protection2-date&time> <protection2-wget-result> <protection2-protection-result>
test result sheet with IDs
Eredmények analízálása III. test result sheet with IDs
Consensus sheet (1 ID -> 1 vote)
Score sheet <max-score> = 1 / number of consensus IDs <score-protection1> = maxscore * agreed IDs / all IDs <score-protection2>
Eredmények Néhány szám … Egyedi URL-ek száma:
641 389
6-10 alkalommal ismételve Tesztesetek száma:
5 148 341
8 védelemmel + védelem nélkül Teszteljárások száma:
Eredmények mérete:
46 335 069
1 761 187 711 sor 165 251 145 217 byte (~154 GB)
Eredmények Minta eredmény •
C&C forgalomra vonatkozó URL-ek
•
0day teszt + 5 ismétlés
•
Utolsó napi konszenzus alapján
Eredmények
Minta eredmények (6 nap)
Eredmények a kártékony URL életciklusa
Minta eredmények (6 nap)
Eredmények a kártékony URL életciklusa
Minta eredmények (6 nap)
Eredmények
Minta eredmények (6 nap)
Eredmények
Minta eredmények (6 nap)
Eredmények
Minta eredmények (6 nap)
Eredmények Anomáliák
További tervek 2. módszer A kártevőt a kliensen futtatjuk és az a C&C forgalmat generálja
Recent Suspicious URL Feed (from live network)
F Zombie Wannabe Farm
O
Systems under Test Organic URLs C&C URL Analysis
Not Protected
?
Botnet hálózatok
Célja a személyes adatok eltulajdonítása credit card CVC kód, felhasználó nevek, jelszavak (steam, origin))
Egyik leggyakrabban használt botnet a Zbot (Zeus) botnet
Célja nem a károkozás hanem az adatgyűjtés
Botnet hálózatok
Botnet hálózatok
Botnet hálózatok
Botnet hálózatok Miért a Zeus? A többi botnethez képest viszonylag jobban dokumentált a működése 2007-ben jelent meg Azóta sokat fejlődött Mérete a pár száz KB-ostól a több MB-ig terjed
Zeus Botnet World Acktivity
Botnet hálózatok
Botnet hálózatok
Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl A futtatható (exe) fájlból Dropzone, lopott információk tárolása itt történik
Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl (általában *.bin kiterjesztéssel) A futtatható (exe) fájlból Dropzone, lopott információk tárolása itt történik
Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl (általában *.bin kiterjesztéssel) A futtatható (exe) fájlból ami tartalmazza a Zeus trójait Dropzone, lopott információk tárolása itt történik
Zeus botnet A kártevő három fő komponensből áll Egy konfigurációs fájl (általában *.bin kiterjesztéssel) A futtatható (exe) fájlból ami tartalmazza a Zeus trójait Dropzone, lopott információk tárolása itt történik (általában *.php kiterjesztéssel)
Zeus botnet Információk elkapása HTTP, HTTPS, FTP, POP3 protokollokon
A fertőzött gépeket különböző botnetek-be szervezi
Titkosított konfigurációs fájlt használ
Web formok amelyeken információkat kér be a felhasználótól
Zeus botnet Nem minden Zeus fájl futtatható
Zeus botnet Nem minden Zeus fájl futtatható
Zeus botnet Nem minden Zeus fájl futtatható
Zeus botnet Nem minden Zeus fájl futtatható Megoldás Dumpbin (Microsoft megoldás)
Zeus botnet Nem minden Zeus fájl futtatható Megoldás Dumpbin (Microsoft megoldás)
Zeus botnet Nem minden Zeus fájl futtatható Megoldás Dumpbin (Microsoft megoldás)
Zeus botnet vizsgálata Valamilyen DNS, illetve HTTP kérést használnak
Zeus botnet vizsgálata Valamilyen DNS, illetve HTTP kérést használnak
Zeus botnet vizsgálata Valamilyen DNS, illetve HTTP kérést használnak
bosinmeyarder.com
Zeus botnet vizsgálata A Zeus botnet adtakapcsolata a szerverrel
Zeus botnet vizsgálata 1. eset %windir%\system32\ntos.exe %windir%\system32\wsnpoem\audio.dll %windir%\system32\wsnpoem\video.dll 2. eset %windir%\system32\oembios.exe %windir%\system32\sysproc64\sysproc86.sys %windir%\system32\sysproc64\sysproc32.sys 3. eset %windir%\system32\twext.exe %windir%\system32\twain_32\local.ds %windir%\system32\twain_32\user.ds
bináris állomány megszerzett adatokat tartalmazza titkosított konfigurációs fájl bináris állomány megszerzett adatokat tartalmazza titkosított konfigurációs fájl bináris állomány megszerzett adatokat tartalmazza titkosított konfigurációs fájl
Összefoglalás Módszerek C&C forgalom detektálásának vizssgálatára Többségi döntésen alapuló eljárás az eredmények értékeléséhez További publikációk: Leitold, F., K. Hadarics:
Measuring security risk in the cloud-enabled enterprise 19th International Conference on Malicious and Unwanted Software, Fajardo, Puerto Rico, 2012
Colon-Osario, F., Leitold, F. & others: Handling incoming and C&C communication at the network gateway 1st Regional Conference on Malicious and Unwanted Software, Hangzhou, China, 2013 Colon-Osario, F., Leitold, F. & others: Measuring the effectiveness of modern security products to detect and contain emerging threats - A consensus-based approach 20th International Conference on Malicious and Unwanted Software, Fajardo, Puerto Rico, 2013
Köszönjük a figyelmet!
