Upload
logicaltrust-pl
View
4.885
Download
1
Embed Size (px)
DESCRIPTION
ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem
Citation preview
DNS Blackholingochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem
Patryk Dawidziuk IT BCE / LogicalTrust
botnet
botnet - armia komputerów zainfekowanych złośliwym oprogramowaniem (malware)
najczęściej trojany
w wielu wariantach, serwują spam, phishing, itp.
botnet
botnet w domu, w ogrodzie i w kosmosie
...w domu (domowy komputer zainfekowany trojanem)
...w ogrodzie (ledwo wyjdziemy do ogródka z hotspotem boty zabierają nam komputer)
w komputerach nasa (bez oprogramowania AV, bo “po co tam” :-/ )
botnetzalety posiadania botnetu
spam, phishing, fraud
terroryzm (“podobno macie problem z dostępem do sieci”, patrz dowcip o skinheadach którzy uratowali staruszkę) czyli DDoS, DoS i inne ataki
kradzież tożsamości, danych osobowych, numerów kart kredytowych
mechanizmy komunikacjiscentralizowany
boty łączą się do jednego (lub kilku) serwerów C&C
p2p:
fast-flux
hydraflux
inne, nowe, niewykryte
metoda scentralizowana
boty po uruchomieniu pytają o domenę, w celu uzyskania adresu IP do którego się mają podłączyć
przeważnie dostają jeden (w wariantach zmutowanych kilka - 3 do 5, rzadko więcej)
adresy IP zmieniają się często (bardzo często)
domeny w zasadzie nie zmieniają się
metoda p-2-p
fast-flux - hosty skanują sieć w poszukiwaniu pośredników, którzy wiedzą więcej i łączą się do nich, jeden serwer C&C, który może być gdziekolwiek (np. na zarażonym hoście, czy na pośredniku)
hydraflux - upgrade fast-fluxa, gdzie jest wiele serwerów C&C połączonych ze sobą
części wspólne
domeny nie zmieniają się (czasem jest ich kilka, ale ogólnie nie zmieniają się)
adresy IP potrafią się zmieniać raz na kilka minut
ale tylko w ramach tej samej domeny
wykrywanie wroga
boty najczęściej skanują sieć (lokalną i każdą inną) w poszukiwaniu kolejnych ofiar
wykrycie specyficznego rodzaju skanu oznacza niechciane towarzystwo
wnioski
blokowanie adresów IP nie ma sensu
blokowanie domeny ma dużo sensu
aaale jak zablokować domenę?
dns blackholing
boty pytają o domenę, boty dostają adres IP,
inny niż by tego sobie życzył właściciel domeny
nigdzie się nie łączą i nie są groźne
tak, jest to możliwe
dns blackholing
klienci dostępowi żeby się gdziekolwiek połączyć potrzebują (dostają na kartce, lub po dhcp):
adres IP, domyślną bramę, maskę podsieci oraz...
serwery DNS, najczęściej dwa (yes, yes, yes!)
dns blackholing
kto ma router ten ma władzę
dns blackholing
kto ma dnsa i router ten ma władzę absolutną ;-)
dns blackholingniby dlaczego to ma działać?
trojany najczęściej wolałyby zostać niewykryte
zmianę dnsów jest stosunkowo prosto i szybko wykryć
... i decydowanie zbyt łatwo naprawić
... więc trojany tego nie dotykają (przeważnie)
dns blackholingCiemna Strona Mocy
malware dobierające się do routerów sprzętowych podmieniając dnsy
użytkownicy uważający, że najlepsze są dnsy NASKu (nieważne, że są 15 hopów i 200ms dalej)
ale od czego są filtry i redirekty ;-)
... ignorując powyższe, działa zasada Pareto (w tym przypadku 95/5)
dns blackholingwszystko przepięknie, ale skąd wziąć jadowite domeny do blokowania?
[blok autoreklamowy]
http://www.malwaredomains.org
a skąd wiem, że są one jadowite i ktoś mi np. nie zablokuje onetu czy wp?
dns blackholingmożna samemu
sieć honeypotów na nieużywanych adresach IP
... połączona z sieciami honeypotów kolegów
analizy malware dostępne na www firmy Sunbelt do obejrzenia przez uczestników (stąd wiemy, dlaczego ktoś dodał domenę)
wewnętrzne zaufanie
dns blackholingw jedności siła
im więcej uczestników tym lepiej,
... ale dobra jest i mikroskala
... nawet tylko we własnym domu
idealnie byłoby globalnie
takie nowoczesne /etc/hosts (blokujące reklamy)
dns blackholingskuteczność z życia wzięta
przejęta sieć na 1.2k użyszkodników,
około 150 do 200 osób zainfekowanych (skanujących i komunikujących się z różnymi serwerami C&C [w sumie 4 różnych botnetów], niektóre hosty były zainfekowane kilkoma botami)
po włączeniu dns blackholingu (w wariancie ‘twardym’ z wymuszeniem korzystania z naszych dnsów) po dwóch dobach skanujących zostało 3, ale nie łaczyli się do żadnego serwera C&C (więc raczej wormy).
w sieci zaczęły same z siebie działać telefony voip które wcześniej wykazywały zastanawiającą zbieżność ze stanem plam na Słońcu ;-)
dns blackholingpozytywne efekty wdrożenia
boty nie działają bez głowy
nie ma spamu
nie ma ataków ddos
nic nie ma, wszystko zlikwidowane ;-)
dns blackholing
a wszystko to bez jakiejkolwiek ingerencji w komputer klienta
dns blackholing
konfiguracja
konfiguracja binda (9)
/etc/bind/named.conf – główny konfig
zone "niedobradomena.pl" IN { type master; file „dnsblackholing.conf”};
dnsblackholing.conf – plik domeny
$TTL 15m@ IN SOA ns1.domena.pl. admin.domena.pl. ( 2006112402 ; serial 4h ; refresh 30m ; retry 14d ; expire 15m ; negative_ttl )@ IN NS ns1.domena.pl.@ IN NS ns2.domena.pl.@ IN A 127.0.0.1* IN A 127.0.0.1
pytania?
No questions, violators will be shot. Survivors will be shot again!