Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. Sicurezza delle reti.

Transcript

1 1 Mattia Lezione XVII: La diffusione delle botnet Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo 2.5 Italia License. Materiale derivato da c 2010 M. Cremonini Phishing Come funziona? 1 campagna di spam 2 social engineering 3 furto credenziali & malware 4 infezione macchine GET /

2 Underground Underground Vendita informazioni rubate Furto credenziali Portata del fenomeno Goods & s Bank accounts Credit cards Full identities Online auction site accounts Scams Mailers addresses passwords Drop (request or offer) Proxies Percentage 22% 13% 9% 7% 7% 6% Range of prices $10-$1000 $0.40-$20 $1-$15 $1-$8 $2.50-$50/week (hosting) $1-$10 $0.83/MB-$10/MB $4-$30 10%-20% of drop amount $1.50-$30 Symantec Universita di Mannheim Limbo & ZeuS 70 dropzone 33 GB di dati Dropzone webpinkxxx.cn coxxx-google.cn 77.XXX finxxxonline.com Other Total # Machines 26,150 12,460 10,394 6, , ,058 Data amount 1.5 GB 1.2 GB 503 MB 438 MB 24.4 GB 28.0 GB Country China Malaysia Russia Estonia Learning More About the Underground Economy T. Holz, M. Engelberth, F. Freiling, Underground Underground as a The spam business MPACK: exploit toolkit a $ account bancari, account mail 194 Bot in affitto ( $1000-$2000/mese) CAPTCHA? OCR, Fuzzy OCR,... Soluzioni migliori? Human computation! > 100K captcha al giorno, $1.5-$8 per 1000 captcha 197

3 Funzionalità del malware Click fraud Funzionalità del malware Anti-anti-virus Google: 10% dei click sono fraudolenti ( $1B) Clickbot.A ( 50k host infetti) molti clickbot commerciali ClickJacking kill processi in esecuzione vari hook per auto-start prima dell AV impedire aggiornamento AV corruzione DB signature kernel-level callback via PsSetLoadImageNotifyRoutine() Funzionalità del malware Internet Malicious Activity Map Fonte: Team Cymru

4 Conficker (29/01/2009) & spam Nome Dimensione Capacità di spam Conficker G/giorno Kraken G/giorno Srizbi G/giorno Rustock G/giorno Cutwail G/giorno Storm > G/giorno Grum G/giorno Mega-D G/giorno 1.7 milioni di host compromessi Fonte: Team Cymru Non solo spam... Tecniche di propagazione Analisi di 10 giorni di traffico di rete generato da Torpig: Unique IP Count Unique Torpig keys (machines) POP accounts addresses Passwords Unique credit cards 875 Unique ATM pins 141 Unique social security numbers 21 Propagation mechanisms Percentage File sharing executables 40% File transfer/ attachment 32% File transfer/cifs 28% File sharing/p2p 19% Remotely exploitable vulnerability 17% SQL 3% Back door/kuang2 3% Back door/subseven 3% File transfer/embedded HTTP URI/Yahoo! Messenger 2% Web 1% Symantec,

5 Tecniche di propagazione Rogue Antivirus una rete di macchine infette (bot, zombie) controllate da un unico attaccante (bot-master, mother-ship) usate per: spam, DDoS, phishing, scam, SQL injection massivi, Mother-ship (tje.mooffx.com.cn) Agent5 Agent1 Agent2 GET /ind... + A? n.c om.c A fx of mo e. tj A GET /ind... una tecnica ( 2007) utilizzata per aumentare la Agent1 Agent5 Mother-ship robustezza della botnet, rendendola piu difficile da Authoritative Agent fast-flux FQDN host identificare. coinvolti un livello di indirettezza fra l idea e semplice: si aggiunge Agent4 Agent6 vittime e attaccante. Agent3 Agent3 Agent4 Agent6 A? tje.mooffx.com.cn Non-authoritative La botnet e tipicamente composta da milioni di agenti! Victim L identita dei componenti chiave dell infrastruttura illegale e ben protetta 208 Victim Gli agenti (bot) offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri A A... Non-authoritative 206 Authoritative (ns1.ktthe.com) Piu domini vengono utilizzati dalla stessa botnet (non 209 basta chiudere un dominio)

6 Unimi Features of fast-flux Come identificare una FFSN? Ci sono moltissime caratteristiche misurabili ma nessuna è sufficiente per identificare una FFSN si monitora un hostname sospetto, fingendosi una vittima recidiva si raccolgono dati e si identificano le FFSN tramite classificazione complessa si tengono sotto controllo le FFSN identificate per elencare il maggior numero di agenti infetti 210 Domain Domain age Domain register Availability of the # of DNS records of type A TTL of DNS resource records Heterogeneity of the agents # of s # of autonomous systems # of resolved QDNs # of assigned names # of organisations Benign avast.com 539 NetworkSolutions adriaticobishkek.com 65 Melbourne IT google.com 542 MarkMonitor mean N/A std. dev N/A Malicious eveningher.com 18 PayCenter factvillage.com 2 PayCenter doacasino.com 2 NameCheap mean 4.85 N/A std. dev. 4.9 N/A Architettura del sistema e truffe via web Collector Raccoglie nomi di dominio sospetti da sonde informative (e.g, spam... ) Monitor per ogni DN sospetto raccoglie info sulle caratteristiche per ogni DN malevolo (classificato dal Detector) raccoglie gli IP degli agenti infetti Detector classifica i sospetti in malevoli e benevoli tramite un classificatore bayesiano 212 Descrizione # processate URL estratti FQDN attivi Agenti # agenti # FFSN European Pharmacy Halifax Online Banking Digital Shop Royal Casino Royal VIP Casino Euro Dice Casino # spam % spam (rispetto al totale) 213