Sicurezza delle reti - unimi.ithomes.di.unimi.it/sisop/lucidi1011/sicureti13-handout.pdf ·...
Transcript of Sicurezza delle reti - unimi.ithomes.di.unimi.it/sisop/lucidi1011/sicureti13-handout.pdf ·...
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
1
Sicurezza delle reti1
Mattia Monga
Dip. di Informatica e ComunicazioneUniversita degli Studi di Milano, Italia
a.a. 2010/11
1c© 2011 M. Monga. Creative Commons Attribuzione-Condividi allo stesso modo 2.5 Italia License.
http://creativecommons.org/licenses/by-sa/2.5/it/. Materiale derivato da c© 2010 M. Cremonini.
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
191
Lezione XVII: La diffusione delle botnet
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
192
Phishing
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
193
Come funziona?
1 campagna di spam
2 social engineering
3 furto credenziali & malware
4 infezione macchine
GET /...
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
194
Underground economyVendita informazioni rubate
Goods & services Percentage Range of pricesBank accounts 22% $10-$1000Credit cards 13% $0.40-$20Full identities 9% $1-$15Online auction site accounts 7% $1-$8Scams 7% $2.50-$50/week (hosting)Mailers 6% $1-$10Email addresses 5% $0.83/MB-$10/MBEmail passwords 5% $4-$30Drop (request or offer) 5% 10%-20% of drop amountProxies 5% $1.50-$30
Symantec
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
195
Underground economyFurto credenziali – Portata del fenomeno
Universita di Mannheim – Limbo & ZeuS
∼ 70 dropzone
33 GB di dati
11000 account bancari, 150000 account mail
Dropzone # Machines Data amount CountrywebpinkXXX.cn 26,150 1.5 GB ChinacoXXX-google.cn 12,460 1.2 GB Malaysia77.XXX.159.202 10,394 503 MB RussiafinXXXonline.com 6,932 438 MB EstoniaOther 108,122 24.4 GB
Total 164,058 28.0 GB
Learning More About the Underground Economy – T. Holz, M. Engelberth, F. Freiling, 2008
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
196
Underground economy“Malware as a service”
Bot in affitto (∼ $1000-$2000/mese)
MPACK: exploit toolkit a ∼ $1000
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
197
Underground economyThe spam business
CAPTCHA?
OCR, Fuzzy OCR, . . .
Soluzioni migliori?
“Human computation”!
> 100K captcha al giorno, $1.5-$8 per 1000 captcha
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
198
Funzionalita del malwareClick fraud
Google: 10% dei “click” sono fraudolenti (∼ $1B)
Clickbot.A (∼ 50k host infetti)
molti “clickbot” commerciali
ClickJacking
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
199
Funzionalita del malwareAnti-anti-virus
kill processi in esecuzione
vari hook per auto-start prima dell’AV
impedire aggiornamento AV
corruzione DB signature
kernel-level callback viaPsSetLoadImageNotifyRoutine()
. . .
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
200
Funzionalita del malwareBotnet
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
201
BotnetInternet Malicious Activity Map
Fon
te:T
eamC
ymru
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
202
BotnetConficker (29/01/2009)
1.7 milioni di host compromessi Fonte: Team Cymru
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
203
BotnetBotnet & spam
Nome Dimensione Capacita di spamConficker 9.000.000 10G/giornoKraken 495.000 9G/giornoSrizbi 450.000 60G/giorno
Rustock 150.000 30G/giornoCutwail 125.000 16G/giornoStorm > 1.000.000 3G/giornoGrum 50.000 2G/giorno
Mega-D 35.000 10G/giorno
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
204
BotnetNon solo spam. . .
Analisi di 10 giorni di traffico di rete generato da Torpig:
Unique IP Count 1.148.264Unique Torpig keys (machines) 180.835POP accounts 415.206Email addresses 1.235.122Passwords 411.039Unique credit cards 875Unique ATM pins 141Unique social security numbers 21
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
205
Tecniche di propagazione
Propagation mechanisms PercentageFile sharing executables 40%File transfer/email attachment 32%File transfer/CIFS 28%File sharing/P2P 19%Remotely exploitable vulnerability 17%SQL 3%Back door/Kuang2 3%Back door/SubSeven 3%File transfer/embedded HTTP URI/Yahoo! Messenger 2%Web 1%
Symantec, 2007
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
206
Tecniche di propagazioneRogue Antivirus
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
207
Botnet
Botnet
una rete di macchine infette (bot, zombie) controllate daun unico attaccante (bot-master, mother-ship)
usate per: spam, DDoS, phishing, scam, SQL injectionmassivi, . . .
Fast-flux service network
una tecnica (∼ 2007) utilizzata per aumentare larobustezza della botnet, rendendola piu difficile daidentificare.
l’idea e semplice: si aggiunge un livello di indirettezza fravittime e attaccante.
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
208
Fast-flux service network
VictimNon-authoritativename server
A? tje.mooffx.com.cn
A 137.243.0.8A ...
Agent2
Agent3
Agent5
Agent4
Agent1
Agent6
Agent2
Agent3
Agent1
GET/ind...M
alw
are
Authoritativename server
(ns1.ktthe.com)
+A?
tje.mooffx.com.cn
A212.23.46.91
A137.243.0.8
...
Mother-ship(tje.mooffx.com.cn)
GET /ind...Malware
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
209
Fast-flux service network
VictimNon-authoritativename server
Agent2
Agent3
Agent5
Agent4
Agent1
Agent6
Authoritativename server
Mother-ship
Gli agenti (bot) offline, disinfettati o problematici vengonoimmediatamente rimpiazzati da altri
La botnet e tipicamente composta da milioni di agenti!
L’identita dei componenti chiave dell’infrastruttura illegalee ben protetta
Piu domini vengono utilizzati dalla stessa botnet (nonbasta chiudere un dominio)
http://fluxor.laser.dico.unimi.it
∼121.000 fast-flux FQDN ∼360.000 hostcoinvolti
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
210
Fast-Flux @ Unimi
Come identificare una FFSN?
Ci sono moltissime caratteristiche misurabili. . .
. . . ma nessuna e sufficiente per identificare una FFSN
FluXOR
si monitora un hostname sospetto, fingendosi una vittimarecidiva
si raccolgono dati e si identificano le FFSN tramiteclassificazione complessa
si tengono sotto controllo le FFSN identificate per elencareil maggior numero di agenti infetti
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
211
Features of fast-flux service network
Domain
Domain age
Domain register
Availability of the network
# of DNS records of type “A”
TTL of DNS resource records
Heterogeneity of the agents
# of networks
# of autonomous systems
# of resolved QDNs
# of assigned network names
# of organisations
Benign
avast.com 539 NetworkSolutions 12 3600 5 3 1 5 2adriaticobishkek.com 65 Melbourne IT 21 1200 1 1 1 1 1google.com 542 MarkMonitor 3 300 2 1 1 1 1mean 493.27 N/A 2.86 4592.53 1.27 1.11 1.08 1.21 1.07std. dev. 289.27 N/A 3.89 7668.74 0.65 0.36 0.74 0.58 0.25
Malicious
eveningher.com 18 PayCenter 127 300 83 49 33 71 54factvillage.com 2 PayCenter 117 300 81 46 34 67 54doacasino.com 2 NameCheap 33 180 19 14 11 19 14mean 4.85 N/A 98.13 261.49 63.75 38.36 27.98 53.58 41.47std. dev. 4.9 N/A 37.27 59.64 23.91 12.34 8.5 18.73 15.41
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
212
Architettura del sistema
Collector
Raccoglie nomi di dominio sospetti da sonde informative (e.g,spam . . . )
Monitor
per ogni DN sospetto raccoglie info sulle caratteristiche
per ogni DN malevolo (classificato dal Detector) raccogliegli IP degli agenti infetti
Detector
classifica i sospetti in malevoli e benevoli tramite unclassificatore bayesiano
Training set di partenza: 50 benevoli + 58 malevoliclassificati manualmente
Sicurezza dellereti
Monga
Malwareundergroundeconomy
Fast-fluxservicenetwork
FluXOR
Risultatisperimentali
213
Fast-flux service network e truffe via web
Descrizione #
Email processate 144952URL estratti 34466FQDN attivi 29368
Fast-flux service network 9988Agenti Fast-flux 162855Botnet Fast-flux 25
Botnet # agenti # FFSN
European Pharmacy 65043 3950Halifax Online Banking 46772 1Digital Shop 20069 17Royal Casino 15078 34Royal VIP Casino 8665 16Euro Dice Casino 7667 28
Botnet # spam email % spam(rispetto al totale)
European Pharmacy 12056 8.32%SwissWatchesDirect 3330 2.30%RXNET 2558 1.76%MaxHerbal 1897 1.31%Altre FFSN 6395 4.41%
Totale 144952 18.10%
3950 FQDN – 65043 Bot/Agenti – 8.32% dello spam