ANALISI DELLE BOTNET DI NUOVA GENERAZIONE BASATE SU PEER TO PEER E IMPLEMENTAZIONE IN AMBIENTE EMULATO

Transcript

1 UNIVERSITÀ DEGLI STUDI DI PARMA FACOLTÀ DI INGEGNERIA CORSO DI LAUREA SPECIALISTICA IN INGEGNERIA DELLE TELECOMUNICAZIONI ANALISI DELLE BOTNET DI NUOVA GENERAZIONE BASATE SU PEER TO PEER Relatore: Chiar.mo Prof. Ing. LUCA VELTRI Correlatori: Dott. Ing. NATALYA FEDOTOVA Dott. Ing. ROBERTO TANARA E IMPLEMENTAZIONE IN AMBIENTE EMULATO Tesi di laurea di STEFANO FANTI ANNO ACCADEMICO

2 Obiettivi Analisi delle caratteristiche generali delle moderne Botnet Studio dello Storm worm Implementazione del Botnet Emulator Confronti sull evoluzione di diversi scenari di rete Sviluppi futuri 1/19

3 Le Botnet Reti di host (Bot), connessi ad Internet, controllati da un unica entità: il Botmaster Il codice malevolo dell infezione può compromettere un host sfruttando: - utilizzo di malware come worm, trojan-horse, spyware, adware, keylogger, backdoor - vulnerabilità dei browser web - assenza delle più recenti patch di sicurezza Il canale di comunicazione (Command & Control) tra Botmaster e host può essere formato da: - uno o più server centralizzati - rete peer-to-peer (P2P) 2/19

4 Perchè creare una Botnet? Furto di informazioni riservate: - credenziali di accesso per webmail, FTP, POP3, SMTP, HTTP - password di sistema - tutto ciò che viene digitato da tastiera (grazie ai keylogger) Esecuzione di attacchi informatici su comando del Botmaster: - Distributed Denial of Service - Phishing - Spamming 3/19

5 Perchè creare una Botnet? Alcuni dati (ottenuti tramite infiltrazione nella Botnet Torpig ): - 70 GB di dati raccolti tra cui credenziali di accesso (cifrate e non) password rubate in Italia (principalmente da PayPal e Poste Italiane) codici di carte di credito rubati : 49% in USA, 12% in Italia 4/19

6 Le Botnet Come avviene un tipico attacco: 1 2 EXPLOIT MACHINE BOTMASTER 3 Infezione Secondaria 5 BOTSERVER / P2P NETWORK 4 HOST TARGET BOTCONTROLLER 5/19

7 Le Botnet di tipo Peer To Peer Il canale di C&C sfrutta una rete P2P Le tecniche P2P sono utilizzate sia per la diffusione di risorse infette che per il controllo da parte del Botmaster TIPOLOGIE: - closed P2P networks (protocolli ad hoc) - open P2P networks (usano reti esistenti) VANTAGGI: - rendono difficile il Botnet tracking - non è semplice bloccare la loro attività SVANTAGGI: - è più difficile eseguire la peer-discovery - maggiore latenza di rete SVILUPPI: - design di nuove funzionalità (propagazione, invisibilità nel sistema, nuovi obiettivi da raggiungere) - nuove strategie di C&C (detection) 6/19

8 Storm Dal 2007 inizia la sua attività infettiva, mediante spamming: milioni di mail inviate contenevano un eseguibile che si rivelò essere un Trojan, e venne chiamato Peacomm. L eseguibile è polimorfico per rendere più difficile la detection L iniezione del payload avviene in modalità kernel, tramite il driver wincom32.sys e sfruttando il processo services.exe, che attiva le thread per le comunicazioni P2P 7/19

9 Storm Protocollo di comunicazione utilizzato da uno Storm-bot: 1 Connessione ad Overnet (rete P2P esistente) o a Stormnet 2 Download dell URL dell infezione secondaria 3 Decryption dell URL 4 Download dell infezione secondaria 5 Esecuzione dell infezione L algoritmo di crittografia a chiave pubblica usato da Storm: RSA - PU = [e,n] PR=[d,n] C M e mod n M C d mod n - n = pxq ( n) ( p 1)( q 1) gcd( ( n), e) 1 d e 1 mod ( n) In Storm: d è hard-coded nel bot, n si ricava dai search_result 8/19

10 Storm Pubblicazione e ricerca di aggiornamenti: - I bot utilizzano particolari identificativi denominati chiavi - In Overnet ogni chiave è pubblicata presso 20 peer diversi - Ogni bot ricerca una chiave specifica in un determinato istante, scelta da un insieme noto a priori al Botmaster: key = f(d,r) Numero di IP differenti che effettuano: - ricerche (SX) - pubblicazioni (DX) 9/19

11 Implementazione del Botnet Emulator Obiettivo: emulare una Botnet di tipo peer to peer che utilizza Kademlia come algoritmo DHT per il routing e la gestione degli ID di nodo e delle tabelle di hash delle risorse L evoluzione della Botnet avviene grazie alle operazioni eseguite dai peer emulati, che interagiscono tra loro condividendo e ricercando risorse e update fittizi Dopo la join, ogni peer ricerca nella Botnet un file di aggiornamento (BotUpdate1.dll): rappresenta un tentativo di connessione al Botmaster Lo scheduling degli eventi emulati (join / leave / put / get) è aleatorio, ma rispetta le distribuzioni dei tempi di inter-evento impostate dall utente a inizio emulazione Ambiente di sviluppo utilizzato: Eclipse Framework utilizzato: DLS JAVA 10/19

12 Il framework DLS Obiettivo: permettere la creazione di applicazioni peer to peer basate sul concetto di Distributed Location Service Sistema DHT-based che permette ai nodi di gestire al loro interno associazioni tra chiavi (URI) e valori corrispondenti (contatti) Il protocollo DLS permette all utente di focalizzarsi sullo sviluppo applicativo, ignorando i dettagli della DHT e della comunicazione peer to peer 11/19

13 Schema del progetto DLS: Azioni eseguite dai peer: - join: permette la registrazione del peer nella DHT - put: registra nel DLS l associazione tra una chiave (URI) e una lista di contatti - get: ricerca nel DLS i contatti associati alla risorsa - leave: permette al peer di abbandonare il DLS Il framework DLS 12/19

14 Il Botnet Emulator Schema delle classi dell emulatore: Peer Action Create & Join Peer Put/Get Resources/Updates Leave Peer Emulation Timer Timer Interevent-Time Emulation Constants Emulation Time Peer & Resources Life Time File Paths Botnet Flags Emulation Log Emulation Emulation Manager Event Timer Botnet Peer Actions Peer DLS Application BotnetFlag(true) EmulationLog Resource Resource Name Resource Flag Emulation Manager Emulation Timer Statistics & Logs Finds Peer & Resources for Actions DHT Callbacks Resource Index Get BotnetResource From File Main Log Peer Log Statistics Log Resource Arrays BotnetResource Lists Resource Statistics BotnetResource Peer/TimeStamp Vectors 13/19

15 Il Botnet Emulator Tempi di interevento: - distribuzioni esponenziali negative - possibilità di impostare il valor medio (in sec.) della distribuzione di ciascuna azione: join/put/get/leave f ( x).exp x u( x) X EX [ ] 1 F ( x) 1 exp x X 14/19

16 Log generati dall emulatore: - Emulator.log registra tutte le azioni di tutti i peer - IP.port.log Il Botnet Emulator registra le sole azioni che riguardano il peer specificato - ResourceStatistics.log registra per tutte le risorse i peer che effettuano put/get e il time dell azione - ResName_PUT/GET.log registra hostport e time in cui avvengono put/get sulla risorsa ResName 15/19

17 Il Botnet Emulator Elaborazione e confronto dei risultati ottenuti dalle emulazioni: n totale peer generati, n peer attivi, n max peer attivi - Test 1: E[join] = E[leave] = E[put] = E[get] = 30 sec - Test 2: E[join] = 5 sec; E[leave] = 30 sec; E[put] = 50 sec; E[get] = 40 sec 16/19

18 Il Botnet Emulator Elaborazione e confronto dei risultati ottenuti dalle emulazioni: percentuale di peer che hanno pubblicato/ottenuto risorse - Test 1: E[join] = E[leave] = E[put] = E[get] = 30 sec % put/get della risorsa BotUpdate - Test 2: E[join] = E[leave] = E[put] = E[get] = 30 sec % get BotUpdate vs % get altre risorse 17/19

19 Il Botnet Emulator Elaborazione e confronto dei risultati ottenuti dalle emulazioni: percentuale di peer che hanno ottenuto l aggiornamento - Test: % get riuscite sulla risorsa BotUpdate variando i tempi medi di interevento [join-put-get-leave] 18/19

20 Conclusioni Realizzazione di un emulatore di reti Botnet Peer To Peer Configurabilità dei parametri di ingresso del Botnet Emulator Confronto grafico delle dinamiche di rete in diversi scenari SVILUPPI FUTURI: - introduzione di nuove variabili di sistema - implementazione di tecniche di infiltrazione e attacco alla Botnet 19/19