Botnet. Roberto Paleari. Università degli Studi di Milano

Transcript

1 net Roberto Paleari Università degli Studi di Milano

2 Introduzione net: rete di macchine compromesse () controllate in modo centralizzato ed utilizzate per compiere attività illegali R. Paleari net 2

3 Il più potente supercomputer This doesn t seem to have received much attention, but the world s most powerful supercomputer entered operation recently. Comprising between 1 and 10 million CPUs (depending on whose estimates you believe), the Storm net easily outperforms the currently top-ranked system, BlueGene/L, with a mere 128K CPU cores. Peter Gutmann R. Paleari net 3

4 Fonte: Team Cymru Internet Malicious Activity Map R. Paleari net 4

5 Conficker (29/01/2009) 1.7 milioni di host compromessi Fonte: Team Cymru R. Paleari net 5

6 Conficker (29/01/2009) 1.7 milioni di host compromessi Fonte: Team Cymru R. Paleari net 5

7 net & spam Nome Dimensione Capacità di spam Conficker G/giorno Kraken G/giorno Srizbi G/giorno Rustock G/giorno Cutwail G/giorno Storm > G/giorno Grum G/giorno Mega-D G/giorno R. Paleari net 6

8 Non solo spam Analisi di 10 giorni di traffico di rete generato da Torpig: Unique IP Count Unique Torpig keys (machines) POP accounts addresses Passwords Unique credit cards 875 Unique ATM pins 141 Unique social security numbers 21 R. Paleari net 7

9 Command & control R. Paleari net 8

10 Command & control Controllo centralizzato IRC Comandi pubblicati in canali IRC (irc.krienaicw.pl #djdjeiu) HTTP Comandi pubblicati in pagine web ( R. Paleari net 8

11 Command & control Controllo centralizzato IRC Comandi pubblicati in canali IRC (irc.krienaicw.pl #djdjeiu) HTTP Comandi pubblicati in pagine web ( Controllo distribuito P2P Comandi e/o indirizzo commander master pubblicati nella rete P2P R. Paleari net 8

12 Command & control Controllo centralizzato IRC Comandi pubblicati in canali IRC (irc.krienaicw.pl #djdjeiu) HTTP Comandi pubblicati in pagine web ( Controllo distribuito P2P Comandi e/o indirizzo commander master pubblicati nella rete P2P Push vs. Pull Push I attendono in silenzio comandi dal commander Pull I interrogano continuamente il commander per sapere se ci sono nuovi compiti da svolgere R. Paleari net 8

13 net basate su IRC master C & C server R. Paleari net 9

14 net basate su IRC master C & C server I si (dis)connettono continuamente al C&C server R. Paleari net 9

15 net basate su IRC master C & C server I si (dis)connettono continuamente al C&C server R. Paleari net 9

16 net basate su IRC master attack a.b.c.d C & C server Il master invia il comando al C&C server R. Paleari net 9

17 net basate su IRC master C & C server Il C&C server inoltra il comando a tutti i connessi R. Paleari net 9

18 net basate su IRC master C & C server Eliminando il server C&C il master perde il controllo dei R. Paleari net 9

19 net basate su IRC master C & C server Rintracciare il master potrebbe non essere facile! (es., Coffe Shops) R. Paleari net 9

20 net basate su IRC master C & C servers Utilizzo di più C&C server in parallelo R. Paleari net 10

21 Quando un C&C server viene messo fuori uso i si collegano in automatico ai server rimanenti R. Paleari net 10 net basate su IRC master C & C servers

22 Quando un C&C server viene messo fuori uso i si collegano in automatico ai server rimanenti R. Paleari net 10 net basate su IRC master C & C servers

23 net basate su IRC master C & C servers Utilizzando più server C&C aumenta la capacità di sopravvivenza della net R. Paleari net 10

24 Distribuzione server C&C IRC (04/2008) Fonte: Team Cymru R. Paleari net 11

25 net basate su HTTP Identiche alle net basate su IRC C&C in modalità pull R. Paleari net 12

26 net basate su HTTP Identiche alle net basate su IRC C&C in modalità pull <table> <tr> <td class="asjkdha">ddos </tr> </table>... Il traffico C&C si mischia facilmente al traffico benigno Difficile da bloccare a livello rete Difficile da bloccare a livello DNS R. Paleari net 12

27 Distribuzione server C&C HTTP (04/2008) Fonte: Team Cymru R. Paleari net 13

28 Ciclo di vita di un (Phat) Host infetto Host vulnerabile C&C Server R. Paleari net 14

29 Ciclo di vita di un (Phat) Host infetto Connessione Host vulnerabile C&C Server Ricerca di nuove vittime (port scan) R. Paleari net 14

30 Ciclo di vita di un (Phat) Host infetto Exploit Host vulnerabile C&C Server Tentativo di exploit di 1 + vulnerabilità note (es., MS08-067) R. Paleari net 14

31 Ciclo di vita di un (Phat) Host infetto Egg download Host vulnerabile C&C Server Download di codice aggiuntivo (es., codice del, rootkit) R. Paleari net 14

32 Ciclo di vita di un (Phat) Host infetto Host infetto C&C Server Connessione al C&C server R. Paleari net 14

33 Ciclo di vita di un (Phat) Host infetto Host infetto Propagazione C&C Server R. Paleari net 14

34 Ciclo di vita di un (Phat) Host infetto Host infetto C&C Server Esecuzione di comandi ricevuti dal C&C server R. Paleari net 14

35 Rendez-vous point dinamici Come fanno i a trovare il C&C server? R. Paleari net 15

36 Rendez-vous point dinamici Come fanno i a trovare il C&C server? 1. Indirizzi IP hardcoded 2. FQDN hardcoded oppure generati dinamicamente (1 FQDN 1 + IP) 3. URL hardcoded oppure generati dinamicamente 4. Ricerca di chiavi in reti P2P R. Paleari net 15

37 Rendez-vous point dinamici Come fanno i a trovare il C&C server? 1. Indirizzi IP hardcoded 2. FQDN hardcoded oppure generati dinamicamente (1 FQDN 1 + IP) 3. URL hardcoded oppure generati dinamicamente 4. Ricerca di chiavi in reti P2P Per migliorare la capacità di sopravvivenza della net, è necessario mascherare e ridondare il più possibile i servizi chiave R. Paleari net 15

38 Impedire il rendez vous ACL a livello rete ACL a livello DNS ACL a livello HTTP DDoS contro C&C server? R. Paleari net 16

39 net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Protocollo P2P basato su Overnet (derivato da Kadmelia) R. Paleari net 17

40 net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Ricerca di chiavi nella rete P2P per localizzare i proxy (chiavi dinamiche pubblicate dai proxy e diffuse tramite P2P) R. Paleari net 17

41 net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Connessione al proxy e attesa di comandi (ad ogni chiave sono associati l IP e la porta di un proxy) R. Paleari net 17

42 net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Il worker si collega al proxy, si autentica e aspetta comandi R. Paleari net 17

43 net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Il proxy inoltra i comandi del master ai worker e vice versa R. Paleari net 17

46 net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker I master server sono gestiti direttamente dal master e sono ospitati su server bullet-proof R. Paleari net 17

47 net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker I worker con più risorse vengono elevati a proxy R. Paleari net 17

48 Rendez-vous point dinamici nella rete P2P R. Paleari net 18

49 Rendez-vous point dinamici nella rete P2P Reverse engineering! R. Paleari net 18

50 Conficker A/B net con C&C HTTP Rendez vous point generati dinamicamente (A: 5 TLD, B: 8 TLD, 250 domini al giorno) Diffusione tramite: MS08-67 (primo exploit rilasciato il 26/10/2008, patch rilasciata il 23/10/2008) network share (brute force password) USB (autorun) Exploit MS08-67 & connect back per scaricare il payload Pseudo-patch MS08-67 Host infettati (fonte SRI) A: 4.7M ( 1M attivi) B: 6.7M ( 3M attivi) R. Paleari net 19

51 Conficker A/B Funzionamento R. Paleari net 20

52 Conficker A/B Funzionamento R. Paleari net 20

53 Conficker C Derivato da Conficker B Nuova versione dell algoritmo di generazione dei domini per il rendez vous (110 TLD, domini al giorno) R. Paleari net 21

54 Conficker C Derivato da Conficker B Nuova versione dell algoritmo di generazione dei domini per il rendez vous (110 TLD, domini al giorno) ac, ae, ag, am, as, at, be, bo, bz, ca, cd, ch, cl, cn, co.cr, co.id, co.il, co.ke, co.kr, co.nz, co.ug, co.uk, co.vi, co.za, com.ag, com.ai, com.ar, com.bo, com.br, com.bs, com.co, com.do, com.fj, com.gh, com.gl, com.gt, com.hn, com.jm, com.ki, com.lc, com.mt, com.mx, com.ng, com.ni, com.pa, com.pe, com.pr, com.pt, com.py, com.sv, com.tr, com.tt, com.tw, com.ua, com.uy, com.ve, cx, cz, dj, dk, dm, ec, es, fm, fr, gd, gr, gs, gy, hk, hn, ht, hu, ie, im, in, ir, is, kn, kz, la, lc, li, lu, lv, ly, md, me, mn, ms, mu, mw, my, nf, nl, no, pe, pk, pl, ps, ro, ru, sc, sg, sh, sk, su, tc, tj, tl, tn, to, tw, us, vc, vn R. Paleari net 21

55 Conficker C Derivato da Conficker B Nuova versione dell algoritmo di generazione dei domini per il rendez vous (110 TLD, domini al giorno) Supporto P2P Corretta vulnerabilità in MD6 Domain lookup prevention (di domini pericolosi) Disabilita anti-malware R. Paleari net 21

56 Conficker C Funzionamento R. Paleari net 22

57 Fast-flux service network R. Paleari net 23

58 Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 2 Agent 5 Agent 1 Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn Non-authoritative name server Victim R. Paleari net 23

59 Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 2 Agent 5 Agent 1 + A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn Non-authoritative name server Victim R. Paleari net 23

60 Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A A A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn Non-authoritative name server Victim R. Paleari net 23

61 Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A A A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn A A... Non-authoritative name server Victim R. Paleari net 23

62 Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A A A? tje.mooffx.com.cn A? tje.mooffx.com.cn GET /ind... Agent 3 Agent 4 Agent 6 A A... Non-authoritative name server Victim R. Paleari net 23

63 Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) GET /ind... Agent 2 Agent 5 Agent 1 A A A? tje.mooffx.com.cn A? tje.mooffx.com.cn GET /ind... Agent 3 Agent 4 Agent 6 A A... Non-authoritative name server Victim R. Paleari net 23

64 Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) GET /ind... Malware Agent 2 Agent 5 Agent 1 A A A? tje.mooffx.com.cn A? tje.mooffx.com.cn GET /ind... Agent 3 Agent 4 Agent 6 A A... Non-authoritative name server Victim R. Paleari net 23

65 Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) GET /ind... Malware Agent 2 Agent 5 Agent 1 A A A? tje.mooffx.com.cn A? tje.mooffx.com.cn Malware GET /ind... Agent 3 Agent 4 Agent 6 A A... Non-authoritative name server Victim R. Paleari net 23

66 Fast-flux service network Agent 2 Agent 1 Agent 5 Agent 4 Agent 6 Agent 3 Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! R. Paleari net 24

67 Fast-flux service network Mother-ship Agent 2 Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta R. Paleari net 24

68 Fast-flux service network Authoritative name server Non-authoritative name server Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta Più domini vengono utilizzati dalla stessa net (non basta chiudere un dominio) R. Paleari net 24

69 Fast-flux service network Authoritative name server Mother-ship Agent 2 Agent 1 Agent 5 Agent 4 Agent 6 Agent 3 Non-authoritative name server Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta Più domini vengono utilizzati dalla stessa net (non basta chiudere un dominio) R. Paleari net 24

70 Fast-flux service network Authoritative name server Mother-ship Agent 2 Agent 1 Agent fast-flux FQDN host coinvolti Agent 4 Agent 6 Agent 3 Non-authoritative name server Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta Più domini vengono utilizzati dalla stessa net (non basta chiudere un dominio) R. Paleari net 24

71 Fast-flux service network e truffe via web Descrizione # processate URL estratti FQDN attivi Fast-flux service network 9988 Agenti Fast-flux net Fast-flux 25 R. Paleari net 25

72 Fast-flux service network e truffe via web net # agenti # FFSN European Pharmacy Halifax Online Banking Digital Shop Royal Casino Royal VIP Casino Euro Dice Casino R. Paleari net 25

73 Fast-flux service network e truffe via web net # spam % spam (rispetto al totale) European Pharmacy % SwissWatchesDirect % RXNET % MaxHerbal % Altre FFSN % Totale % R. Paleari net 25

74 Fast-flux service network e truffe via web 3950 FQDN /Agenti 8.32% dello spam R. Paleari net 25

75 Infiltrarsi in una net (IRC C&C) master C & C server R. Paleari net 26

76 Infiltrarsi in una net (IRC C&C) master C & C server L infiltrato si collega al C&C server come un normale ed è in grado di vedere tutti gli altri connessi R. Paleari net 26

77 Infiltrarsi in una net (IRC C&C) master C & C server attack a.b.c.d L infiltrato riceve i comandi dal master come tutti gli altri R. Paleari net 26

78 Infiltrarsi in una net (IRC C&C) master C & C server L infiltrato ha la possibilità di inviare comandi agli altri R. Paleari net 26

79 Infiltrarsi in una net (IRC C&C) master C & C server L infiltrato ha la possibilità di inviare comandi agli altri R. Paleari net 26

80 Infiltrarsi in una net (HTTP C&C) master C & C server R. Paleari net 27

81 Infiltrarsi in una net (HTTP C&C) master C & C server L infiltrato si collega al C&C server come un normale ma non è in grado di vedere tutti gli altri connessi (C&C pull) R. Paleari net 27

82 Infiltrarsi in una net (HTTP C&C) master C & C server attack a.b.c.d L infiltrato riceve i comandi dal master come tutti gli altri R. Paleari net 27

83 Infiltrarsi in una net (HTTP C&C) master C & C server L infiltrato non ha la possibilità di inviare comandi agli altri R. Paleari net 27

84 Infiltrarsi in una net (HTTP C&C) master C & C server L infiltrazione lato server permette di inviare comandi agli altri R. Paleari net 27

85 Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker R. Paleari net 28

86 Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker L infiltrato si collega alla rete P2P come un normale e cerca le chiavi R. Paleari net 28

87 Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker L infiltrato si collega al proxy e può vedere i comandi ricevuti dai R. Paleari net 28

88 Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker L infiltrato può elevarsi a proxy e pubblicizzarsi nella rete P2P R. Paleari net 28

89 Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker Il nuovo proxy accetta connessioni dai e riesce quindi ad enumerarli ed identificarli R. Paleari net 28

92 Infiltrarsi in una net (P2P C&C) Master server master attack a.b.c.d Proxy Overnet Worker Worker R. Paleari net 28

93 Infiltrarsi in una net (P2P C&C) Master server master attack a.b.c.d Proxy Overnet Worker Worker R. Paleari net 28

94 Infiltrarsi in una net (P2P C&C) Master server master attack a.b.c.d Proxy Overnet Worker Worker Il nuovo proxy ha pieno controllo dei ad esso collegati R. Paleari net 28

95 Diamo i numeri? Stimare la vera dimensione di una net non è semplice! Differenti stime della dimensione della net di Storm: 160K, 250K 1.000K, 1.000K K, 1.000K K R. Paleari net 29

96 Diamo i numeri? Stimare la vera dimensione di una net non è semplice! Differenti stime della dimensione della net di Storm: 160K, 250K 1.000K, 1.000K K, 1.000K K P2P / elevato numero di rendez vous point Indirizzo IP condiviso da più host (es., NAT) Host con indirizzi IP dinamici (es., dial-up, dhcp) R. Paleari net 29

97 Rogue CA Generazione di un certificato X509 (MD5) fasullo (colliding certificate): 1-2 giorni con un cluster di 200 PS desktop CPU-core (20.000$) con Amazon E2C R. Paleari net 30

98 Rogue CA Generazione di un certificato X509 (MD5) fasullo (colliding certificate): 1-2 giorni con un cluster di 200 PS desktop CPU-core (20.000$) con Amazon E2C Quanti minuti con una net delle dimensioni di Storm? R. Paleari net 30

99 Una net basata su Skype Network basato su P2P 33.7M utenti mediamente attivi ogni giorno (Q3 2008) SDK per lo sviluppo di plugin (manipolazione contatti, chiamate automatiche, etc.) P2P veramente robusto: software & protocollo closed-source con protezioni anti-reverse engineering R. Paleari net 31

100 Una net basata su Skype Network basato su P2P 33.7M utenti mediamente attivi ogni giorno (Q3 2008) SDK per lo sviluppo di plugin (manipolazione contatti, chiamate automatiche, etc.) P2P veramente robusto: software & protocollo closed-source con protezioni anti-reverse engineering R. Paleari net 31

101 net Domande? Roberto Paleari Università degli Studi di Milano R. Paleari net 32