Sicurezza delle reti 1

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Sicurezza delle reti 1"

Isabella Pasini
5 anni fa
Visualizzazioni

1 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia a.a. 2012/13 1 cba M.. Creative Commons Attribuzione-Condividi allo stesso modo 3.0 Italia License. Derivato con permesso da 2010 M. Cremonini. 1

2 267 Lezione XIII: La diffusione del malware

3 268 undeground Il malware viene diffuso sfruttando vulnerabilità generiche allo scopo di compiere attacchi piú redditizi.

4 269 Phishing 1 campagna di spam

5 269 Phishing 1 campagna di spam 2 social engineering GET /...

6 269 Phishing 1 campagna di spam 2 social engineering 3 furto credenziali & malware

7 269 Phishing 1 campagna di spam 2 social engineering 3 furto credenziali & malware 4 infezione macchine

8 270 Underground Vendita informazioni rubate Goods & s Percentage Range of prices Bank accounts 22% $10-$1000 Credit cards 13% $0.40-$20 Full identities 9% $1-$15 Online auction site accounts 7% $1-$8 Scams 7% $2.50-$50/week (hosting) Mailers 6% $1-$10 addresses 5% $0.83/MB-$10/MB passwords 5% $4-$30 Drop (request or offer) 5% 10%-20% of drop amount Proxies 5% $1.50-$30 Symantec

9 271 Underground Furto credenziali Portata del fenomeno Università di Mannheim Limbo & ZeuS 70 dropzone 33 GB di dati account bancari, account mail

10 272 Underground Dropzone # Machines Data amount Country webpinkxxx.cn 26, GB China coxxx-google.cn 12, GB Malaysia 77.XXX , MB Russia finxxxonline.com 6, MB Estonia Other 108, GB Total 164, GB Learning More About the Underground Economy T. Holz, M. Engelberth, F. Freiling, 2008

11 273 Underground as a Bot in affitto ( $1000 $2000/mese) MPACK: exploit toolkit a $1000

12 Underground The spam business CAPTCHA? OCR, Fuzzy OCR,... > 100K captcha al giorno, $1.5 $8 per 1000 captcha 274

13 Underground The spam business CAPTCHA? OCR, Fuzzy OCR,... Human computation! > 100K captcha al giorno, $1.5 $8 per 1000 captcha 274

14 275 Funzionalità del malware Click fraud Google: 10% dei click sono fraudolenti ( $1B) Clickbot.A ( 50k host infetti) molti clickbot commerciali ClickJacking

15 276 Funzionalità del malware Botnet

16 277 Botnet Botnet & spam Nome Dimensione Capacità di spam Conficker G/giorno Kraken G/giorno Srizbi G/giorno Rustock G/giorno Cutwail G/giorno Storm > G/giorno Grum G/giorno Mega-D G/giorno

17 278 Botnet Non solo spam... Analisi di 10 giorni di traffico di rete generato da Torpig: Unique IP Count Unique Torpig keys (machines) POP accounts addresses Passwords Unique credit cards 875 Unique ATM pins 141 Unique social security numbers 21

18 279 Tecniche di propagazione Propagation mechanisms Percentage File sharing executables 40% File transfer/ attachment 32% File transfer/cifs 28% File sharing/p2p 19% Remotely exploitable vulnerability 17% SQL 3% Back door/kuang2 3% Back door/subseven 3% File transfer/embedded HTTP URI/Yahoo! Messenger 2% Web 1% Symantec, 2007

19 280 Riassumendo Fermare la diffusione del malware è importante perché è la linfa di un economia piuttosto ampia Anche se il danno al singolo target è limitato, può avere effetti molto negativi sull ecosistema.

20 281 Botnet Botnet una rete di macchine infette (bot, zombie) controllate da un unico attaccante (bot-master, mother-ship) usate per: spam, DDoS, phishing, scam, SQL injection massivi,...

21 282 Botnet una tecnica ( 2007) utilizzata per aumentare la robustezza della botnet, rendendola piú difficile da identificare. l idea è semplice: si aggiunge un livello di indirettezza fra vittime e attaccante.

22 283 Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 2 Agent 5 Agent 1 Agent 3 Agent 4 Agent 6 Non-authoritative name server Victim

23 283 Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 2 Agent 5 Agent 1 A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 Non-authoritative name server Victim

24 283 Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 2 Agent 5 Agent 1 + A? tje.mooffx.com.cn A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 Non-authoritative name server Victim

25 283 Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A A A? tje.mooffx.com.cn A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 Non-authoritative name server Victim

26 283 Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A A A? tje.mooffx.com.cn A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 A A... Non-authoritative name server Victim

27 283 Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A A A? tje.mooffx.com.cn A? tje.mooffx.com.cn GET /ind... Agent 3 Agent 4 Agent 6 A A... Non-authoritative name server Victim

28 283 Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) GET /ind... Agent 2 Agent 5 Agent 1 A A A? tje.mooffx.com.cn A? tje.mooffx.com.cn GET /ind... Agent 3 Agent 4 Agent 6 A A... Non-authoritative name server Victim

29 283 Authoritative name server (ns1.ktthe.com) A A A? tje.mooffx.com.cn Mother-ship (tje.mooffx.com.cn) GET /ind... A? tje.mooffx.com.cn Agent 2 GET /ind... Agent 5 Agent 1 Agent 3 Agent 4 Agent 6 A A... Non-authoritative name server Victim

30 283 Authoritative name server (ns1.ktthe.com) A A A? tje.mooffx.com.cn Mother-ship (tje.mooffx.com.cn) GET /ind... A? tje.mooffx.com.cn Agent 2 GET /ind... Agent 5 Agent 1 Agent 3 Agent 4 Agent 6 A A... Non-authoritative name server Victim

31 Agent 2 Agent 1 Agent 5 Agent 4 Agent 6 Agent 3 Victim I bot offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri Composta da milioni di agenti (Nostri esperimenti: fast-flux FQDN host) Piú domini vengono utilizzati dalla stessa botnet (non basta chiudere un dominio) 284

32 Mother-ship Agent 2 Victim I bot offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri Composta da milioni di agenti (Nostri esperimenti: fast-flux FQDN host) Piú domini vengono utilizzati dalla stessa botnet (non basta chiudere un dominio) 284

33 Authoritative name server Non-authoritative name server Victim I bot offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri Composta da milioni di agenti (Nostri esperimenti: fast-flux FQDN host) Piú domini vengono utilizzati dalla stessa botnet (non basta chiudere un dominio) 284

34 Authoritative name server Mother-ship Agent 1 Agent 5 Agent 2 Agent 4 Agent 6 Agent 3 Non-authoritative name server Victim I bot offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri Composta da milioni di agenti (Nostri esperimenti: fast-flux FQDN host) Piú domini vengono utilizzati dalla stessa botnet (non basta chiudere un dominio) 284

35 285 Unimi Come identificare una FFSN? Ci sono moltissime caratteristiche misurabili ma nessuna è sufficiente per identificare una FFSN

36 286 Unimi si monitora un hostname sospetto, fingendosi una vittima si raccolgono dati e si identificano le FFSN tramite classificazione complessa si tengono sotto controllo le FFSN per elencare il maggior numero di agenti infetti

37 287 Features of fast-flux Domain Availability Heterogeneity Domain age # of DNS records of type A TTL of DNS records # of s # of autonomous systems # of resolved QDNs # of assigned names # of organisations Benign avast.com adriaticobishkek.com google.com mean std. dev Malicious eveningher.com factvillage.com doacasino.com mean std. dev

38 288 Architettura del sistema Collector Raccoglie nomi di dominio sospetti da sonde informative (e.g, spam... )

39 288 Architettura del sistema Monitor per ogni DN sospetto raccoglie info sulle caratteristiche per ogni DN malevolo (classificato dal Detector) raccoglie gli IP degli agenti infetti

40 288 Architettura del sistema Detector classifica i sospetti in malevoli e benevoli tramite un classificatore bayesiano Training set di partenza: 50 benevoli + 58 malevoli classificati manualmente

41 289 e truffe via web Descrizione # processate URL estratti FQDN attivi Agenti Botnet 25

42 289 e truffe via web Botnet # agenti # FFSN European Pharmacy Halifax Online Banking Digital Shop Royal Casino Royal VIP Casino Euro Dice Casino

43 289 e truffe via web Botnet # spam % spam (rispetto al totale) European Pharmacy % SwissWatchesDirect % RXNET % MaxHerbal % Altre FFSN % Totale %

44 290 Riassumendo Le botnet nascondono la propria topologia grazie a registrar compiacenti sono rilevabili con tecniche di data mining

Documenti analoghi

Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. Phishing. Sicurezza delle reti.

Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. Phishing. Sicurezza delle reti. 1 Mattia Lezione XIII: La diffusione del malware Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2012/13 1 cba 2011 13 M.. Creative Commons Attribuzione-Condividi