Embed Size (px)
DESCRIPTION
פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן. התוכנית הכללית. רשת. VMware. ניתוח אוטומטי. ניתוח ידני. התוכנית הכללית. המטרה-לחזות התקפות עתידיות של botnets באמצעות מעקב אחרי הפעילות שלהם ברשת נפעיל על המחשב מספר סביבות וירטואליות - PowerPoint PPT Presentation
Citation preview
פרויקט באבטחת מידעמלכודת דבש ברמת הלקוח
client side honey potדו"ח סופי
מקסים סעודהתמיר גפן
התוכנית הכללית
רשת
VMware
ניתוח ידני ניתוח אוטומטי
התוכנית הכללית
botnetsהמטרה-לחזות התקפות עתידיות של •באמצעות מעקב אחרי הפעילות שלהם ברשת
נפעיל על המחשב מספר סביבות וירטואליות• botnetכל סביבה תודבק ב• יתקשר דרך הרשתbotnetה •במערכת ההפעלה החיצונית נעקוב אחרי התעבורה •
ברשת, ובמידת הצורך נגביל אותהמערכת ההפעלה החיצונית מוגנת מפני פעולת ה •
botnet מסוגים botnetsבאמצעות ניתוח ההתקפות נגלה כיצד •
שונים עובדים
Setupהכנת המערכת-
VMwareמאפשרת להפעיל מערכת הפעלה פנימית •
בתוך מערכת הפעלה חיצוניתיוצרת הפרדה ברמת החומרה בין מערכות •
ההפעלה: תוכנה שמותקנת במערכת הפנימית לא יכולה להשפיע על המערכת החיצונית-גם
botnetלא נפרדת למערכת ההפעלה IPנותנת כתובת •
הפנימיתמאפשרת לשמור מצב של מערכת ההפעלה •
(screenshot( ולשחזר אותו )revert )
WireSharkמאפשר לעקוב אחרי התעבורה ברשת•
IP: כיוון שיש IPמאפשר לסנן תעבורה לפי •שונה למערכת הפנימית, נוכל לבודד את
botnetפעולת ה
-כל המידע שעבר TCP streamמעקב אחרי • מסוים )אבל לא מפרט socketבתקשורת ב
תקשורת שחוזרת על עצמה(
מפריד בין סוגי פרוטוקול שונים-אנחנו לא • ועוד DHCP,NBNS,IGMPמתעניינים ב
דרך ההדבקההדבקה ישירה:
•http://www.malwaredomainlist.com/mdl.phpטוב: הרבה אפשרויות להורדה.•טוב: יש באתר מידע קצר על סוג הווירוס•רע: לעיתים קרובות האתרים לא זמינים או שהקבצים פגומים•
הדבקה ישירה למחצה: "ידועים לשמצה" ברשת, וניסיון למצוא botnetsחיפוש שמות של •
קבצים בינאריים שלהםטוב: אפשר לדעת מה הם עושים•טוב: קל למצוא עליהם מידע•רע: לרוב מוצאים רק גרסאות ישנות שלהם, כיוון שמנהלי •
האתרים נזהרים מהם
דרך ההדבקה-המשך
הדבקה ספונטנית:הדרך בה רוב המשתמשים נדבקים בוירוסים, בוטנטים ויתר •
התוכנות הזדוניותלמשל, חיפוש בגוגל של מחרוזות חיפוש פופולאריות, וכניסה •
לאתרים חשודיםטוב: וירוסים חדשים יחסית •טוב: קל למצוא עליהם מידע באינטרנט•רע: האתרים האלה מסוננים באופן קבוע ע"י גוגל, ולעיתים •
אי-אפשר למצוא כאלה. רע: נוטים לחזור על עצמם•
אלגוריתם לזיהוי פעילות זדונית ברשת
שהוקלטו WireSharkהרעיון הכללי: בדיקת הבדלים בין קבצי •על מחשב נקי ומחשב נבדק בעת גישה לרשימת אתרים
?diff: 1פתרון • עוקב אחרי כל סוגי התקשורת, כולל WireShark: 1בעיה •
תקשורת של חומרה שמשתנה בין מחשב למחשב http get, http: לעקוב רק אחרי תקשורת מעניינת: 2פתרון •
post, DNS שונים בין מחשב למחשב, אך ההבדל IP: מה אם יש 2בעיה •
?DNSנובע רק מתשובות שונות של ה IP "לגיטימיים" שכל domain: שמירת רשימת 3פתרון •
אליהם נחשב "חוקי"DNSשמתקבל כתוצאה מבקשת
אלגוריתם לזיהוי פעילות זדונית ברשת-המשך
שמתקבלים בדרכים שונות, אך לא דרך IP: מה אם 3בעיה •, למשל פרסומות?DNSבקשות
בקובץ הנקי POST והGET: ספירת מספר בקשות ה4פתרון •ובקובץ הנבדק-אם בקובץ הנבדק יש עודף בקשות
כאלה-נתריע על כך. אם ההבדל הוא רק בגישות לפרסומות, הקבצים )לא פתרון 2יש בערך אותה כמות של גישות כאלה ב
מושלם(: לעיתים וירוסים לא מוסיפים גישות, אלא משנים 4בעיה •
גישות-בעיקר גישות שהיו מכווצות יהפכו ללא מכווצות כדי שלווירוס יהיה קל לקרוא אותן
: לכל גישה נבדוק אם היא מכווצת או לא מכווצת, 5פתרון •ונתריע על הבדלים ביחס לקובץ הנקי
ישנן בעיות נוספות...•
תוצאות
myspace.com.exeדרך הדבקה:
MDLגילינו אותו דרך קישור שמצאנו ב •רקע:
•ircbot משתמש בפרוטוקול צ'אט לצורך תקשורת עם . חדש יחסית-מידע זמין רק מאפרילC&Cה
נטען עליו שהוא פוגע במערכת המקומית ומוריד תוכנות •זדוניות
התנהגות נצפית:MySpaceכשהוא נפתח פותח דף •
רגיל, אך כשאנו עוברים לדף אחר מוציא הודעת אזהרה
myspace.com.exe המשך-התנהגות נצפית
C&C שולח לbotבזמן אתחול המחשב ה •מידע על המחשב עליו הוא יושב
שולח באופן מחזורי הודעות לווירוס C&Cה•כדי לבדוק שהוא חי, וגם שולח לינק לקובץ
שממנו הורדנו אותו )שאינו פעיל כעת(
, הידוע infocardהווירוס מזדהה בתור •כתהליך של מערכת ההפעלה
לא הבחנו בהתנהגות נוספת•
-ZeuSדרך הדבקה ורקע
דרך הדבקה:MDLגילינו אותו דרך קישור שמצאנו ב •מיליוני מחשבים מודבקים בווירוס גם כעת, אבל חברות •
האנטי-וירוס למדו כיצד לזהות אותו ולנטרל אותוגם אנחנו לא הצלחנו להידבק בו תקופה ארוכה, כיוון •
שהאנטי-וירוס של הטכניון ידע לזהות ולחסום אותוהפתרון שמצאנו היה להשתמש בתקשורת באמצעות •
tunnelדרך ספקיות אינטרנט פרטיות-
רקע: הפעיל ביותר ברשת האינטרנטbotnetה•
ZeuS המשך רקע - Keyסוס טרויאני, מנסה לגנוב פרטים אישיים ע"י מעקב אחרי ההקשות במקלדת )•
Logging)לבוט אין יכולת מובנת להפיץ את עצמו למחשבים אחרים. ברוב המקרים הבוט מופץ •
spamבאמצעות מחסור זה ביכולת הפצה עצמית גורמת לכך שהסיכוי לגלות את הבוט קטן יותר•קובץ קונפיגורציה סטטי מקומפל לתוך הבוט, קובץ זה מכיל אינפורמציה שהבוט יצטרך •
כדי לבצע את ההרצה הראשוניתאחת היכולות היותר מעניינות של הבוט היא האפשרות "להזריק" מידע חדש באופן דינמי •
לאתרים ברשת שהמחשב המודבק גולש בהם
set_url http://www.bank.com/login.html GP
data_before
name="password"*</tr <
data_end
data_inject
<tr<<td<PIN:</td<<td<<input type="text" name="pinnumber" id="pinnumber" /<</td<</tr <
ZeuSהתנהגות נצפית- שלו על מנת לקבל את C&C ל GETהבוט מבצע תחילה בקשת •
קובץ הקונפיגורציה הדינמי האחרוןהבוט אוסף אינפורמציה מהמחשב המודבק, קובץ הקונפיגורציה •
קובע איזו אינפורמציה הבוט יאסוף שלו, שמכיל את המידע C&C ל POSTהבוט שולח פקודת •
שהבוט אסףהבוט מאתחל שלושה טיימרים לפי הערכים שנקבעים לו בקובץ •
הקונפיגורציה הסטטי, כל טיימר מפעיל פונקציה אחרת:קבלת קובץ קונפיגורציה חדש מהסרבר )ברירת המחדל היא –
דקות(60שליחת המידע שהבוט אסף לסרבר )ברירת המחדל היא דקה(– דקות(20שליחת סטטיסטיקה לסרבר )ברירת המחדל היא –
Ultimate codesדרך ההדבקה:
MDLגילינו אותו דרך קישור שמצאנו ב •
רקע:,שמכיל טכניקות מתוחכמות Rustock C ידוע גם בתור הבוטנט •
לפריצה למחשב וגרימת נזק, חדש יחסית ברשתspamוירוס שעוסק בעיקר ב•בתוכו נשתלה תוכנה המאפשרת גישה מרחוק למחשב המודבק•
התנהגות נצפית:מייצר תקשורת, שולח בקשות לשרת אי-מייל•מוריד קבצים מהרשת, אך אלו אינם קובצי קונפיגורציה. אחד •
)לפי cryptic סוסים טרויאניים מסוג 2מהקבצים שהוא מוריד הוא תוכנת האנטי-וירוס שלנו(
Ultimate codesהמשך-
מרבית הגישות לרשת הן לאתר שאינו פעיל• SMTPהבוט מנסה לקבל דואר באמצעות פרוטוקול •
מחשבונות פייסבוק, אולם לא מקבל תשובה, go-thailand-now.com של האתר IPהבוט מקבל •
הידוע כאתר בעייתי שתוכנות זדוניות רבות יושבות בו. IPאם זאת, לא זיהינו גישה לכתובת ה
אבל יש דבר אחד שאינו צפוי בו...•
Ultimate codesוויקיפדיה
בשלב כלשהו הווירוס פונה לויקיפדיה ומבקש דף אקראי, וניגש •אליו
לאחר מכן הוא גולש לדף הראשי של ויקיפדיה, ואז לערך של •binary tree ו software רוסיה, ועוד מספר ערכים, כולל
טוען שזוהי שיטה של הוירוס www.m86security.comהאתר •לקבל מידע רנדומלי שאינו ניתן לחיזוי על-ידי תוכנות אנטי-וירוס
spamואנטי-
הוירוס לוקח מחרוזות מתוך הדף האקראי שקיבל, מוסיף אותם •לאי-מיילים מוכנים מראש ושולח אותם כדואר זבל, אך בעקבות
אינם מזהים spamהתוספת של המחרוזות מויקיפדיה מסנני האותם
אולם בכך אין הסבר לגישות הלא אקראיות לויקיפדיה•
סיכום
בעיותלא מצאנו בוטנטים רבים, כי מנהלי האתרים לא •
מעוניינים לפרסם אותםהחיבור בו אנו משתמשים חוסם את רוב הפורטים •
הזמינים, ומפעיל אנטי-וירוס שחוסם גישה לכתובות httpחשודות
בדרך כלל כשמצאנו בוטנט פעיל יחסית, עד שניתחנו •מה צריך לעשות איתו וניסינו להריץ אותו שוב-שרת
שלו כבר נסגר והוא לא היה פעילC&Cהברשתות אחרות )למשל הרשת האלחוטית בטכניון( •
אי-אפשר להתחבר לאינטרנט במערכת ההפעלה הפנימית.
עבודות לעתיד
פיתוח נוסף של האלגוריתם-ניסיון לאגור רשימות של • חשודות ולנסות להשוות אותן לרשימות IPכתובות
ברשתIPשחורות של כתובות שיישאר פעיל לאורך ZeuS של C&Cניסיון למצוא שרת •
זמןלהידבק ספונטנית בוירוס )להחליט באופן ספונטני שבא •
לא נחשב(, בתקווה MDLלך להדבק בוירוס וללכת ל שהוא יישאר פעיל ברשת
להשתמש בקוד שפיחתנו לגילוי פעילות זדונית •ברשת-בעיקר עבור גילוי מקרים של הדבקות ספונטניות
