Cursul XIII. Securitate WLAN. Botnets Reţele wireless. Tipuri Infrastructură Maşinile client stabilesc o conexiune radio cu un dispozitiv special numit punct de acces (access point, AP) AP sunt conectate la rețele cu fir, ceea ce furnizează un gateway spre internet Sunt cele mai mai comune Peer-to-peer Mai multe maşini se interconectează Folosite de obicei în reţele adhoc şi la partajarea conexiunii internet SSA cursul 13 - M. Joldos - T.U. Cluj 1 SSA cursul 13 - M. Joldos - T.U. Cluj 2 SSID Pot coexista mai multe reţele wireless Fiecare reţea este identificată printr-un Service Set ID (SSID) de 32 caractere SSID implicit tipic este numele producătorului SSIDs sunt difuzate adesea pentru a permite clienţilor potenţiali să descopere reţeaua SSIDs nu sunt semnate, permit atac prin falsificare (spoofing attack) Se amplasează un AP neautorizat într-o locaţie publică (d.e., cafenea, aeroport) Se foloseşte SSID-ul unui ISP Se pregăteşte o pagină de login asemănătoare cu a ISP Se aşteaptă ca clienții să se conecteze la AP şi să se autentifice Eventual se înaintează sesiunea spre reţeaua ISP Atacul este facilitat de valorile implicite de conectare automată Securitatea WLAN IEEE 802.11 Set de standarde pentru comunicarea în WLAN în benzile de 5 GHz şi 2.4 GHz. Cele mai populare: 802.11b, 802.11g. Securitate slabă la început Securitatea 802.11 Două subsisteme: Tehnică de încapsulare a datelor numită WEP(Wired Equivalent Privacy) Algoritm de autentificare cu cheie partajată (Shared Key Authentication) Slăbiciuni severe în WEP. WPA, WPA2, 802.11i SSA cursul 13 - M. Joldos - T.U. Cluj 3 SSA cursul 13 - M. Joldos - T.U. Cluj 4
Trasul cu urechea şi falsificarea MAC Întregul trafic poate fi ascultat Se foloseşte de obicei autentificarea bazată pe MAC pentru identificarea maşinilor aprobate în reţea Sunt posibile atacuri bazate pe falsificarea adresei de MAC, ca în reţelele cu fir Sesiunile sunt menţinute active după deconectări scurte Dacă clientul ISP nu termină o sesiune explicit, falsificarea MAC permite preluarea sesiunii Wardriving şi warchalking Cautarea de WLAN-uri (din maşină) Unii folosesc GPS pentru a jurnaliza locaţiile descoperite, apoi le postează online Software utilizabil în acest scop: NetStumbler (Windows), KisMac (Macs) Kismet (Linux) Se folosesc antenele pentru a mări zona de descoperire Legea este neclară dacă nu sunt transmise informaţii şi nu se folosesc servicii de reţea Warchalking implică scrierea de marcaje pe trotuar pentru a indica reţelele fără fir şi info asociate lor SSA cursul 13 - M. Joldos - T.U. Cluj 5 SSA cursul 13 - M. Joldos - T.U. Cluj 6 WEP Setup AP şi clientul partajează cheia de 40 biţi, K Cheia nu se schimbă într-o sesiune WEP Cifrarea Se calculează suma de control CRC-32 a mesajului M Se alege in vector de iniţializare de 24 biţi, IV Se creează textul cifrat C = (M crc(m)) S(K,IV) Autentificarea clientului AP trimite o provocare aleatoare în clar spre client Clientul răspunde cu provocarea criptată Transmisia Se trimite IV C Punctele slabe ale WEP Cheie de criptare, K Octet de date text în clar, p Octet aleator, b Generator de numere pseudoaleatoare Când p1 şi p2 sunt cifrate cu acelaşi octet aleator, b: c 1 = p 1 b c 2 = p 2 b c 1 c 2 = (p 1 b) (p 2 b) = p 1 p 2 Octet de date text cifrat, c SSA cursul 13 - M. Joldos - T.U. Cluj 7 SSA cursul 13 - M. Joldos - T.U. Cluj 8
Atacul prin modificarea mesajului Modificarea mesajului Fiind dat un şir arbitrar, dorim să înlocuim mesajul M cu M z Omul la mijloc înlocuieşte textul cifrat C cu C = C (z crc(z)) Înlocuirea textului ţintă Este posibilă dacă ştim poziţia textului în mesaj D.e, schimbarea datei în email Motivul vulnerabilităţii Suma de control CRC se dsitribuie peste XOR (C = (M crc(m)) S(K,IV)) CRC nu este o funcţie de dispersie criptografică Atacul cu redirectarea IP Atacatorul convinge AP să decripteze pachetul Metoda: Se ascultă un pachet IP care intră (inbound) Se retrimite pachetul la maşina externă controlată de atacator Se recepţionează pachetul decriptat de AP Se repetă cu pachete în ieşire (outbound) Se ghiceşte adresa destinaţie Din subreţeaua LAN Se schimbă adresa desstinaţie Se modifică destinaţia originală D spre maşina externă D controlată de atacator Se foloseşte metoda de modificare anterioară Se schimbă suma de control a pachetului Diferenţa între suma nouă şi cea veche este cunoscută x x= (D H + D L ) (D H + D L ) Se ghiceşte x x Succes după câteva încercări SSA cursul 13 - M. Joldos - T.U. Cluj 9 SSA cursul 13 - M. Joldos - T.U. Cluj 10 Vectori de iniţializare (IV) refolosiţi IV refolosiţi implică refolosirea cheii (keystream=secvenţă pseudo-aleatoare de caractere) Atacatorul obţine XOR a două mesaje Atacatorul poate recupera şi mesajele şi cheia Cheia recuperată se pot folosi la injecţia de trafic IV implicit Câteva implementări cu greşeli a generării IV D.e. Pornirea de la zero la pornirea dispozitivului şi apoi incrementare repetată cu unu IV aleator Lungimea mică (24 biţi) duce la repetare în scurt timp chiar dacă IV este generat aleator D.e. Se aşteaptă coliziuni cu probabilitate mare după 2 12 4000 de transmisii Falsificarea autentificării Atacatorul vrea să se dea drept un client legitim Nu cunoaşte cheia secretă K Poate asculta mesajele de autentificare Atacul Obţine provocarea R şi cea criptată C = (R crc(r)) S(K,IV) Calculează cheia S(K,IV) = (R crc(r)) C Refoloseşte cheia S(K,IV) la recepţia mesajului provocare de la AP SSA cursul 13 - M. Joldos - T.U. Cluj 11 SSA cursul 13 - M. Joldos - T.U. Cluj 12
Wi-Fi Protected Access: WPA, WPA2 WPA Implementează parţial IEEE 802.11i Cifru flux RC4 cu cheie de 128-biţi şi vector de iniţializare (IV) de 48-bit. Suportă şi alte feluri de autentificare (d.e. Nume şi parolă) Schimbă dinamic cheile în sesiune Are o metodă criptografică de verificare a integrităţii Contor pentru cadre pentru a preveni atacurile cu reluare WPA2 Implementează obligatoriu 802.11i Criptare, gestiunea cheilor, integritate MAC furnizat de Counter Mode with Cipher Block Chaining (CCMP), algoritm bazat pe AES Temporal Key Integrity Protocol(TKIP) & Message Integrity Code(MIC) TKIP -amestecarea per-packet a cheii -verificarea integrităţii mesajului -mecanism de rekeying MIC este numit şi MAC (message authentication code) SSA cursul 13 - M. Joldos - T.U. Cluj 13 SSA cursul 13 - M. Joldos - T.U. Cluj 14 CCMP: AES Counter Mode with Cipher Block Chaining Message Authentication Code Protocol Gestiunea cheilor şi integritatea mesajelor se face întro singură componentă construită în jurul AES Advanced Encryption Standard Cifru bloc SubBytes, ShiftRows, MixColumns, AddRoundKey Singurele atacuri care pot avea succes: atacuri asupra implementării fizice Protocoale WAP Wireless Application Protocol Aplicaţii principale: pentru telefoane mobile şi PDA, Dispozitive cu putere de prelucrare redusă şi memorie relativ mică. Reţele fără fir cu lărgime de bandă mică. De la nivelul transport la nivelul aplicaţie SSA cursul 13 - M. Joldos - T.U. Cluj 15 SSA cursul 13 - M. Joldos - T.U. Cluj 16
Stive WAP WML: Wireless Markup Language WSP: Wireless Session Protocol WTP: Wireless Transport Protocol WTLS: Wireless Transport Layer Security WCMP: Wireless Control Management Protocol WDP: Wireless Datagram Protocol SSA cursul 13 - M. Joldos - T.U. Cluj 17 Moduri nerecomandate de securizare a WLAN Autentificare prin MAC Ascunderea SSID (Service Set IDentifier) Dezactivarea DHCP Amplasarea antenei şi suprimarea semnalului Folosirea WLAN bazate pe 802.11a sau Bluetooth SSA cursul 13 - M. Joldos - T.U. Cluj 18 Moduri nerecomandate de securizare a WLAN. Autentificarea prin MAC Moduri nerecomandate de securizare a WLAN. Falsificarea MAC Nu este de fapt autentificare Tot ce se întâmplă este filtrarea adresei MAC Adresele MAC sunt transmise în clar Extrem de uşor de captat Extrem de uşor de clonat şi învins Extrem de dificil de gestionat filtrarea MAC SSA cursul 13 - M. Joldos - T.U. Cluj 19 SSA cursul 13 - M. Joldos - T.U. Cluj 20
Moduri nerecomandate de securizare a WLAN. Ascunderea SSID SSID nu se poate ascunde Tot ce se întâmplă este suprimarea semnalului far al punctului de acces Patru alte emisii SSID nu sunt suprimate Probe requests Probe responses Association requests Re-association requests SSIDs trebuie transmise în clar; altfel 802.11 nu poate funcţiona SSA cursul 13 - M. Joldos - T.U. Cluj 21 Moduri nerecomandate de securizare a WLAN. Dezactivarea DHCP Dezactivarea DHCP (Dynamic Host Configuration Protocol) şi forţarea folosirii adreselor IP statice nu ajută Schemele IP folosite sunt uşor de descoperit de vreme ce adresele IP sunt trimise în clar Durează mai puţin de 1 minut să se determine schema de adresare şi să se introducă o adresă IP statică SSA cursul 13 - M. Joldos - T.U. Cluj 22 Moduri nerecomandate de securizare a WLAN. Amplasarea antenei şi suprimarea semnalului Amplasarea antenei şi suprimarea semnalului nu criptează datele Antena hackerului e mai bună Antenele direcţionale cu câştig mare pot culege semnale slabe de la kilometri distanţă Scăderea puterii de emisie poate afecta utilizatorii legitimi mai mult decât pe atacatori Vopselele/tapetele speciale Wi-Fi nu sunt 100% sigure şi sunt foarte scumpe Moduri nerecomandate de securizare a WLAN. Trecerea la 802.11a sau la BLuetooth 802.11a este un mecanism de transport asemănător lui 802.11b sau 802.11g 802.11a nu are nimic de a face cu securitatea Dacă hackerul are echipament capabil de 5 GHz 802.11a... Bluetooth este mai mult o alternativă wireless USB Se poate folosi la reţele wireless dar nu a fost proiectat ca înlocuitor pentru 802.11.x SSA cursul 13 - M. Joldos - T.U. Cluj 23 SSA cursul 13 - M. Joldos - T.U. Cluj 24
Uneltele hackerului de wireless Software Auditor CD Kismet ASLEAP Void11, Aireplay, Airedump, and Aircrack Hardware Adaptoare de cardbus ieftine, compatibile Antene omnidirecţionale cu câştig mare Antene direcţionale cu câştig mare Laptop Uneltele hackerului de wireless. Auditor CD Linux CD bootabil cu toate uneltele de securitate Tot ce e nevoie pentru a penetra majoritatea reţelelor LAN wireless şi înca altele Menţionat ca favorit al FBI Relativ uşor de folosit SSA cursul 13 - M. Joldos - T.U. Cluj 25 SSA cursul 13 - M. Joldos - T.U. Cluj 26 Uneltele hackerului de wireless. Kismet Kismet este o unealtă de audit pentru LAN wireless sub UNIX Poate vedea SSIDs ascunse Poate vedea adrese MAC Poate vedea scheme IP Poate captura pachete în stare brută Există interfaţă grafică Uneltele hackerului de wireless. ASLEAP ASLEAP sparge autentificarea Cisco LEAP Exploatează autentificarea slabă din MSCHAPv2 (Microsoft Challenge-Handshake Authentication Protocol Foloseşte tabele de dispersie indexate precalculate Verifică 45 milioane de parole pe secundă Actualizat să suporte spargerea PPTP (Point to point tunneling protocol) VPN SSA cursul 13 - M. Joldos - T.U. Cluj 27 SSA cursul 13 - M. Joldos - T.U. Cluj 28
Uneltele hackerului de wireless. Void11, Aireplay, Airedump, and Aircrack Set nou de unelte care sporeşte viteza de spargere a WEP Void11 forţează utilizatorii să se re-autentifice Aireplay monitorizează sesiunea de reautentificare căutând cereri ARP (Address resolution protocol) şi apoi redă cererea pentu a declanşa răspunsuri de la maşini legitime Airedump capturează toate pachetele în stare brută Aircrack are nevoie doar de cca 200,000 pachete în loc de 10,000,000 necesare uneltelor anterioare lui Cele mai bune căi de securizare a WLAN Criptografia de calitate permite comunicaţii sigure peste medii de comunicare nesigure Urmaţi principile de cele mai bune practici criptografice Autentificare tare Cifrare tare Standardele WPA şi WPA2 SSA cursul 13 - M. Joldos - T.U. Cluj 29 SSA cursul 13 - M. Joldos - T.U. Cluj 30 Cele mai bune căi de securizare a WLAN. Autentificarea tare Este adesea trecută cu vederea Metodele de autentificare sigure folosesc toate tunele SSL sau TLS TLS este succesorul lui SSL SSL sau TLS necesită certificate digitale Certificatele digitale implică de obicei o formă de PKI şi de gestiune a certificatelor Cele mai bune căi de securizare a WLAN. Autentificarea tare WLANs folosesc de obicei 802.1x şi EAP (Extensible Authentication Protocol) Tipurile standard uzuale de EAP sunt EAP-TLS (Transport Layer Security), EAP-TTLS (Tunneled Transport Layer Security) şi PEAP (Protected EAP) LEAP (Lightweight EAP) şi EAP-FAST nu sunt standard EAP-TLS necesită certificate server şi client EAP-TTLS şi PEAP necesită doar certificate pe partea de client SSA cursul 13 - M. Joldos - T.U. Cluj 31 SSA cursul 13 - M. Joldos - T.U. Cluj 32
Cele mai bune căi de securizare a WLAN. Autentificarea tare şi serverele RADIUS Autentificarea EAP necesită suport RADIUS (Remote Authentication in Dial-In User Service) în punctul de acces şi unul sau mai multe servere RADIUS Microsoft Windows 2003+ Server are o componentă RADIUS complet funcţională numită IAS Suportă EAP-TLS şi PEAP Windows 2000 suportă doar EAP-TLS Se integrează uşor în domenii NT sau Active Directory Open source FreeRadius suportă o gamă largă de tipuri EAP Cele mai bune căi de securizare a WLAN. Criptarea tare Criptarea este bine înţeleasă Nu se cunosc metode de spargere a criptării de calitate 3DES este încă considerată solidă, dar este lentă AES este succesorul oficial al DES şi este solid la 128, 192, sau 256 bits SSA cursul 13 - M. Joldos - T.U. Cluj 33 SSA cursul 13 - M. Joldos - T.U. Cluj 34 Cele mai bune căi de securizare a WLAN. Criptarea tare în WLAN RC4 este cunoscut ca slab WEP foloseşte o formă de criptare RC4 WEP dinamic face mai dificilă spargerea WEP TKIP este un algoritm WEP rescris Nu sunt cunoscute metode împotriva TKIP, dar există atacuri la orizont posibile teoretic Criptarea AES, obligatorie în cele mai noi standarde WLAN, este solidă Cele mai bune căi de securizare a WLAN. Standardele WPA şi WPA2 WPA a folosit o versiune redusă a 802.11i WPA2 foloseşte standardul 802.11i ratificat WPA şi WPA2 sunt tipuri EAP certificate EAP-TLS (primul certificat) EAP-TTLS PEAPv0/EAP-MSCHAPv2 (cunoscut ca PEAP) PEAPv1/EAP-GTC EAP-SIM WPA necesită capabilitate TKIP cu AES opţional WPA2 necesită atât capabilitate TKIP cât şi AES SSA cursul 13 - M. Joldos - T.U. Cluj 35 SSA cursul 13 - M. Joldos - T.U. Cluj 36
Reţele de bots Ce sunt botnets Botnet = rețea de roboți software (bots) care rulează pe mașini "zombie" și sunt controlaţi de rețele de comandă și control (C&C) Compoziţie: min 1 bot server/controlor și 1+ clienţi bot, de obicei de ordinul miilor. Partea principală a fiecărui client bot: un interpretor de comenzi care este capabil să primească comenzi independent și să le execute. Abilitate fundamentală: de a acționa coordonat împreună cu toate/unele părți ale botnet. Gestionată de un comandant (botherder/botmaster). Avantajoase pentru hackeri: botnets pot executa ordine pe mașini care nu le sunt conectate direct => este dificilă investigarea și urmărirea în justiție SSA cursul 13 - M. Joldos - T.U. Cluj 37 SSA cursul 13 - M. Joldos - T.U. Cluj 38 Statistici (disputate) Numărul total de botnets și dimensiunea lor sunt controversate 2005/6: sute de mii de bots 1/4 dintre mașini sunt actualmente parte a botnets rețelele cresc rapid Unele surse susţin că rețelele își reduc dimensiunile pentru a evita detectarea Ciclul de viață al unei botnet Mașina este exploatată și devine bot Noua mașină se alătură celorlaltor și informează deținătorul Descarcă modulul anti AV Securizează noul client bot Ascultă comenzile de la serverul/p erechea de C&C Obține modulul cu încărcatura Execută comenzile Raportează rezultatul la C&C La comand ă șterge dovezile și abandon ează clientul SSA cursul 13 - M. Joldos - T.U. Cluj 39 SSA cursul 13 - M. Joldos - T.U. Cluj 40
Comportamente de atac Infectarea unor noi maşini Folosesc ingineria socială şi distribuţia de email rău intenţionat sau alte forme de comunicare electronică (d.e. Instant Messaging) Exemplu - Email trimis cu cod de botnet deghizat ca ataşament inofensiv. Furtul de informaţii personale Folosesc tehnologiile de jurnalizare a tastării (Keylogger) şi ascultare a traficului de reţea (Network sniffing) pe sistemele compromise pentru a spiona utilizatorii şi a culege informaţie cu caracter personal Proxy pentru phishing şi pentru email mesolicitat (spam) Puterea de calcul agregată şi capabilitatea proxy permit surselor de mail nesolicitat să afecteze grupuri mai mari fără a fi depistaţi. Refuzul servirii, distribuit (DDoS) Afectează sau elimină disponibilitatea unei reţele pentru a extroca sau a întrerupe afacerile Notă: Phishing = cale de obţinere de informaţii cum sunt nume de utilizatori, parole sau detalii ale carţilor de credit prin deghizarea ca entităţi de încredere în comunicatii electronice. SSA cursul 13 - M. Joldos - T.U. Cluj 41 Cum sunt infectate maşinile Vulnerabilităţi ale SO Exploatări Nu este nevoie de utilizator Pot fi blocate de pereţii antifoc şi sisteme de pevenire a intruziunilor pe gazdă Atacuri pe partea de client Descărcătoare nesolicitate trimise prin mail sau IM La rulare instalează bot Situri hăcuite Exploatează factorul uman SSA cursul 13 - M. Joldos - T.U. Cluj 42 Comanda şi Controlul(C&C) Esenţială pentru funcţionarea şi suportul botnet Trei feluri Centralizată, P2P şi Randomizată (ultima, model teoretic) Cea mai slabă verigă a botnet, deoarece: Eliminarea botmaster distruge botnet Nivelul ridicat al activităţii botmaster îl face mai uşor detectabil decât pe bots C&C Centralizată Simplu de desfăşurat (deploy), ieftină, latenţă mică pentru atacuri la scară mare Cel mai uşor de eliminat SSA cursul 13 - M. Joldos - T.U. Cluj 43 Exemplu de C&C Centralizată (*) : Pas opţional Trei paşi de autentificare Bot spre IRC Server IRC Server spre Bot Botmaster spre Bot SSA cursul 13 - M. Joldos - T.U. Cluj 44
C&C Peer to Peer Caracteristici: Rezistentă la căderi, greu de descoperit, greu de apărat. Face dificilă lansarea atacurilor la scară mare deoarece tehnologiile P2P suportă actualmente doar grupuri foarte mici (< 50 peers) Exemplu: Folosirea reţelei Overnet de către botnet Storm (din oct. 2007)este extrem de dinamică. Peers vin şi pleacă şi îşi pot schimba OIDs (Overnet Identifier) frecvent. Pentru a sta bine conectaţi peers trebuie să se caute pe sine pentru a găsi peers apropiaţi Round 3 Round 1 Bootstrapping Peer Round 4 Nod Stor m Round 2 SSA cursul 13 - M. Joldos - T.U. Cluj 45 SSA cursul 13 - M. Joldos - T.U. Cluj 46 Transmiterea mesajelor în Overnet (Message Passing) Overnet are trei tipuri de mesaje de bază pentru a facilita functionarea corespunzătoare a reţelei: Connect: Folosit de un peer pentru a raporta OID propriu la alţi peers şi a primi o listă de peers relativ apropiati de acesta. Search: Folosite de un peer pentru a afla resurse pe alte noduri pe baza OID. Publicize: Folosite de un peer pentru a raporta proprietatea resurselor reţelei (OIDs) astfel ca alţi peers să poată găsi ulterior resursa SSA cursul 13 - M. Joldos - T.U. Cluj 47 Mecanisme de adunare (rallying) Adrese de IP pre-construite (hard-coded) Bot comunică folosind adrese IP ale C&C preconstruite. Uşor de apărat împotriva acerstei tehnici deoarece adresele IP sunt uşor de detectat şi blocat. Nume de domeniu DNS dinamice Domenii C&C preconstruite atribuite de furnizori de DNS dinamic. Detecţia mai dificilă atunci când botmaster îşi schimbă aleator locaţia Este uşor de reluat atacul cu un alt nume de domeniu, neblocat Dacă conexiunea eşuează, bot face cereri DNS pentru a obţine noua adresă C&C pentru redirectare. Serviciu DNS distribuit Cel mai greu de detectat şi distrus. Cel mai nou. Sofisticat. Botnets rulează servicii DNS la care autorităţile nu pot ajunge Bots folosesc adresele de DNS pentru a rezolva serverele de C&C Folosesc numere mari de porturi pentru a evita detectarea de către dispozitivele de securitate şi de către gateways SSA cursul 13 - M. Joldos - T.U. Cluj 48
Protocoale de comunicare În majoritatea cazurilor botnets folosesc protocoale de comunicare bine definite şi acceptate. Înţelegerea acestor protocoale: Ajută la determinarea originii unui atac botnet şi a software folosit Permite cercetătorilor să decodifice conversaţiile dintre bots şi stăpâni Două protocoale de comunicare principale folosite la atacuri bot: IRC HTTP IRC (Internet Relay Chat) 1988 - pentru conversatii unul-la-mai-mulţi sau maimulţi-la-mai-multi, (dar poate şi unul-la-unul) (Pentru BBS) Client/server -- TCP Port 6667 Se folosesc canale (uneori protejate prin parole) pentru comunicarea între părţi Mod invizibil (fară listare, incognito) Doar pe bază de invitaţie (trebuie sa fii invitat ca să participi) SSA cursul 13 - M. Joldos - T.U. Cluj 49 SSA cursul 13 - M. Joldos - T.U. Cluj 50 Protocoale de comunicare. IRC Botnets IRC au fost versiunea predominantă Majoritatea reţelelor corporaţiilor nu permit trafic IRC astfel că cererile IRC pot determina dacă e bot intern sau extern Cererile IRC spre exterior (outbound) indică prezenţa unei maşini infectate pe reţea Cererile IRC spre interior (inbound) semnifică recrutarea unei maşini din reţea Protocoale de comunicare. HTTP Din cauza prevalenţei folosirii HTTP este mai greu de urmărit o botnet care utilizează protocoale HTTP Folosirea HTTP poate permite unei botnet să evite restricţiile pereţilor antifoc care afectează botnets pe IRC Detectarea botnets HTTP este mai dificilă, dar nu imposibilă deoarece câmpurile de antet şi încărcătura nu se potrivesc cu transmisiile uzuale Opţiuni nou aparute sunt protocoalele IM şi P2P se aşteapta ca folosirea acestora să crească în viitor SSA cursul 13 - M. Joldos - T.U. Cluj 51 SSA cursul 13 - M. Joldos - T.U. Cluj 52
Exemplu de botnet HTTP: Fast-flux Networks Schemă folosită uzual Utilizată pentru a controla botnets cu sute sau chiar mii de noduri Infrastructura de C&C. Botnet HTTP Bot ia legătura cu serverul C&C cu info proprie inclusă în URL Atacatorii trimit comenzi via răspunsul HTTP. SSA cursul 13 - M. Joldos - T.U. Cluj 53 SSA cursul 13 - M. Joldos - T.U. Cluj 54 Infrastructura de C&C. Botnet IM Trimite comanda tuturor bots din lista via IM Botmaster trimite doar un număr mic de mesaje Fiecare destinatar trimite la contactele proprii Comportamente observabile Trei categorii: Bazate pe reţea Corelate global Bazate pe gazdă Bazate pe gazdă: comportamentul Botnet se poate observa pe maşina gazdă. Prezintă activităţi asemănătoare viruşilor La executare, Botnets lansează o secvenţa de rutine: Modifică registries Modifică fişiere sistem Crează conexiuni necunoscute în reţea Dezafectează programele antivirus SSA cursul 13 - M. Joldos - T.U. Cluj 55 SSA cursul 13 - M. Joldos - T.U. Cluj 56
Comportamente observabile. Bazate pe reţea Şabloanele observate pe reţea se pot folosi la detectarea Botnets IRC & HTTP sunt cele mai comune forme de comunicare a Botnets Detectabile prin identificarea şabloanelor de trafic anormal. Comunicaţii IRC în zone nedorite Conversaţii IRC neinteligibile Numele de domeniu DNS Interogări DNS pentru localizarea serverului C&C Gazde care interoghează nume de domeniu improprii O adresă IP asociata unui nume de domeniu se schimbă periodic Traficul În salve uneori, inexistent mai tot timpul Răspunsuri anormal de rapide comparativ cu cele umane Atacuri (d.e: DoS) Multe pachete de TCP SYN nevalide cu adrese sursă nevalide Comportamente observabile. Corelate global Caracteristicile globale sunt legate de fundamente. Botnets E improbabil să se schimbe dacă nu se re-proiectează şi re-implementează Cea mai valoroasă cale de detecţie Comportamentul este la fel indiferent dacă botnets comunică via IRC sau HTTP Interogările DNS global cresc din cauza atribuirii noilor servere de C&C Dezorganizarea secvenţelor de pachete de la surse la destinaţii SSA cursul 13 - M. Joldos - T.U. Cluj 57 SSA cursul 13 - M. Joldos - T.U. Cluj 58 Tehnici de evitare a detecţiei Sofisticarea botnets le permite să evite Motoarele AV (antivirus) IDS bazate pe semnături IDS bazate pe detecţia anomaliilor Tehnici folosite Compresoare pentru executabile (executable packers) Rootkits: tip mascat de software rău intenţionat destinat să ascundă existenţa anumitor procese sau programe faţă de metodele de detecţie normale (d.e. Folosing Task Manager)şi a permite accesul conitnuu privilegiat la o maşină Protocoale Tehnici de evitare a detecţiei Renunţarea la utilizarea IRC Luarea controlului asupra: HTTP VoIP IPV6 ICMP Protocoalelor Skype SSA cursul 13 - M. Joldos - T.U. Cluj 59 SSA cursul 13 - M. Joldos - T.U. Cluj 60
Tehnici de evitare a detecţiei Skype, cel mai bun botnet? Extrem de popular, 9M+ utilizatori, în medie 4M+ conectaţi Capabilităţi foarte bune de străpungere a pereţilor antifoc Au flux de la sursă la destinaţie obscur şi persistent Furnizează API de reţea Oferă conectivitate în reţea şi obscuritate Rezistent prin proiectare Are nevoie doar de porecle pentru comunicare Cum? Se exploatează Skype Se instalează bot ca Skype plugin Se generează tokenul de autorizare a plugin şi se execută Combaterea tehnicilor de evitare Prevenirea Descoperirea serverelor de C&C şi distrugerea lor Cea mai eficientă metodă de prevenire şi vindecare: Combinarea mecanismelor de detecţie tradiţionale cu cele bazate pe detectarea comportamentelor anormale în reţea SSA cursul 13 - M. Joldos - T.U. Cluj 61 SSA cursul 13 - M. Joldos - T.U. Cluj 62