Sicurezza delle reti. Monga. Fast-flux service network. Risultati sperimentali. L autenticazione. Botnet. Sicurezza delle reti. Monga.

Transcript

1 Sicurezza dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it Lezione XIV: Fast-Flux a.a. 2014/15 1 cba M.. Creative Commons Attribuzione Condividi allo stesso modo 4.0 Internazionale. Derivato con permesso da 2010 M. Cremoni una di macche fette (bot, zombie) controllate da un unico attaccante (bot-master, mother-ship) usate per: spam, DDoS, phishg, scam, SQL jection massivi,

2 Non solo spam... Tecniche di propagazione Analisi di 10 giorni di traffico di generato da Torpig: Unique IP Count Unique Torpig keys (maches) POP accounts addresses Passwords Unique credit cards 875 Unique ATM ps 141 Unique social security numbers 21 Propagation mechanisms Percentage File sharg executables 40% File transfer/ attachment 32% File transfer/cifs 28% File sharg/p2p 19% Remotely exploitable vulnerability 17% SQL 3% Back door/kuang2 3% Back door/subseven 3% File transfer/embedded HTTP URI/Yahoo! Messenger 2% Web 1% Symantec, una tecnica ( 2007) utilizzata per aumentare la robustezza della botnet, rendendola piú difficile da identificare. l idea è semplice: si aggiunge un livello di direttezza fra vittime e attaccante. Authoritative (ns1.ktthe.com) A A A? tje.mooffx.com.cn Mother-ship (tje.mooffx.com.cn) A? tje.mooffx.com.cn A A... GET /d... Malware Agent 2 Malware GET /d... Agent 5 Agent 1 Agent 3 Agent 4 Agent 6 Non-authoritative Victim

3 Unimi Authoritative Mother-ship Agent 2 Agent 1 Agent 5 Non-authoritative Agent 4 Agent 6 Agent 3 Victim Come identificare una FFSN? Ci sono moltissime caratteristiche misurabili ma nessuna è sufficiente per identificare una FFSN I bot offle, disfettati o problematici vengono immediatamente rimpiazzati da altri Composta da milioni di agenti (Nostri esperimenti: fast-flux FQDN host) Piú domi vengono utilizzati dalla stessa botnet (non basta chiudere un domio) Unimi Features of fast-flux si monitora un hostname sospetto, fgendosi una vittima si raccolgono dati e si identificano le FFSN tramite classificazione complessa si tengono sotto controllo le FFSN per elencare il maggior numero di agenti fetti Doma Availability Heterogeneity Doma age # of DNS records of type A TTL of DNS records # of s # of autonomous systems # of resolved QDNs # of assigned names # of organisations Benign avast.com adriaticobishkek.com google.com mean std. dev Malicious evengher.com factvillage.com doacaso.com mean std. dev

4 Architettura del sistema e truffe via web Collector Raccoglie nomi di domio sospetti da sonde formative (e.g, spam... ) Monitor per ogni DN sospetto raccoglie fo sulle caratteristiche per ogni DN malevolo (classificato dal Detector) raccoglie gli IP degli agenti fetti Detector classifica i sospetti malevoli e benevoli tramite un classificatore bayesiano Trag set di partenza: 50 benevoli + 58 malevoli classificati manualmente Riassumendo 288 Descrizione # processate URL estratti FQDN attivi Agenti # agenti # FFSN European Pharmacy Halifax Onle Bankg Digital Shop Royal Caso Royal VIP Caso Euro Dice Caso # spam % spam (rispetto al totale) European Pharmacy % SwissWatchesDirect % RXNET % MaxHerbal % Altre FFSN % Totale % Protezione dei servizi critici 289 Le botnet nascondono la propria topologia grazie a registrar compiacenti sono rilevabili con tecniche di data mg L accesso ai servizi critici è controllato Autenticazione: chi è l agente (che opera nome di un prcipal Autorizzazione: l agente autenticato ha il permesso?

5 Autenticazione Modalità di autenticazione Alice Bob Autenticazione Autenticare significa verificare l identità di un soggetto (non necessariamente umano) Modalità di base per l autenticazione (di Alice) tramite : 1 password (ossia la conoscenza di un segreto) 2 locazione (logica o fisica) da cui proviene la richiesta di autenticazione 3 per mezzo di operazioni crittografiche su dati forniti dall autenticatore (Bob) Pericoli Difese Alcune vulnerabilità sono trseche: Le password possono essere dovate Le locazioni possono essere millantate I dati crittografici possono essere tercettati e riutilizzati (replay attack) Queste macce possono essere mitigate Aumentando la cardalità delle password possibili Controlli di coerenza Crittografia a chiave pubblica e protocolli articolati L autorizzazione conseguita con l autenticazione dura un tervallo temporale detto sessione