ANALISI DELLE BOTNET DI NUOVA GENERAZIONE BASATE SU PEER TO PEER E IMPLEMENTAZIONE IN AMBIENTE EMULATO

Documenti analoghi
Lezione 1 Introduzione

Tipologie e metodi di attacco

Programmazione dei socket con TCP #2

Introduzione alle applicazioni di rete

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Applicazioni web centrati sui dati (Data-centric web applications)

Siti web centrati sui dati (Data-centric web applications)

ESERCITAZIONE Semplice creazione di un sito Internet

Contesto: Peer to Peer

LA SICUREZZA INFORMATICA SU INTERNET NOZIONI DI BASE SU INTERNET

Corso di recupero di sistemi Lezione 8

Algoritmi per protocolli peer-to-peer

La sicurezza nel Web

Reti di Telecomunicazione Lezione 6

Un sistema di identificazione basato su tecnologia RFID

Tesi di Laurea Specialistica EMULAZIONE DI EFFETTI WAN NELLA VALUTAZIONE DELLE PRESTAZIONI DI SERVER WEB. Candidato Emiliano Zeppa.

SMS API. Documentazione Tecnica YouSMS HTTP API. YouSMS Evet Limited

Analisi e sviluppo di un componente per un ESB open source

Progettazione e Sviluppo dell Applicazione Web Share Mobile per Dispositivi Mobili Multipiattaforma. Elaborato di Laurea di: Marco Stanzani

Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti

Lezione n 1! Introduzione"

URI. Introduzione. Pag. 1

Topologia delle reti. Rete Multipoint: ogni nodo è connesso agli altri tramite nodi intermedi (rete gerarchica).

Lo scenario: la definizione di Internet

sito web sito Internet

Introduzione a Internet e cenni di sicurezza. Dott. Paolo Righetto 1

SCENARI D'UTILIZZO DELLE NUOVE SOLUZIONI. Fabrizio Cassoni Content Security Manager

Le Reti Informatiche

Informatica per la comunicazione" - lezione 13 -

Università degli Studi "Roma Tre" Dipartimento di Informatica ed automazione. Facoltà di Ingegneria

Evoluzione della sicurezza IT

FTP. Appunti a cura del prof. ing. Mario Catalano

Reti di calcolatori. Reti di calcolatori

Alberto Ferrante. Security Association caching of a dedicated IPSec crypto processor: dimensioning the cache and software interface

Reti di Calcolatori. Il Livello delle Applicazioni

Il Web Server e il protocollo HTTP

Gestione delle Reti di Telecomunicazioni

Università degli Studi di Bologna Bologna, 12/12/2002 Corso di Laurea In Informatica. Alessandro Valenti. Sessione II

DOCFINDERWEB SERVICE E CLIENT

Reti Informatiche. dott. Andrea Mazzini

Sommario. Introduzione Architettura Client-Server. Server Web Browser Web. Architettura a Due Livelli Architettura a Tre Livelli

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

Algoritmi per protocolli peer-to-peer

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.

Agenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri.

Realizzazione di Web Service per l estrazione di informazioni da siti web enciclopedici

Indice. Prefazione. Presentazione XIII. Autori

Firewall e Abilitazioni porte (Port Forwarding)

Scheduling della CPU. Sistemi multiprocessori e real time Metodi di valutazione Esempi: Solaris 2 Windows 2000 Linux

La privacy e il Web 2.0: una soluzione sicura per Google Documents e Mozilla Firefox

NodeXL: l amo delle Reti Sociali

Scheduling della CPU Simulazione in linguaggio Java

Progettazione e sviluppo di un Network Management System per reti wireless in configurazione Mesh-AP

Architettura del. Sintesi dei livelli di rete. Livelli di trasporto e inferiori (Livelli 1-4)

SS SISTEMI DI COMUNICAZIONE: C O PROTOCOLLI APPLICATIVI

2 Dipendenza da Internet Tipi di dipendenza Fasi di approccio al Web Fine del corso... 7

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci

Argomenti della lezione

Guida Google Cloud Print

Un approccio innovativo per il delivery di servizi in infrastrutture di nomadic computing

Sistemi operativi basati sul web

IT Security 3 LA SICUREZZA IN RETE

La VPN con il FRITZ!Box - parte II. La VPN con il FRITZ!Box Parte II

Sommario. 1. Cos è SecureDrive Caratteristiche Privacy dei dati: SecureVault... 4

Informatica per la comunicazione" - lezione 8 -

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

Replicazione. Requisisti di consistenza i clienti devono ricevere risposte consistenti e coerenti. Motivazioni

Groups vs Organizational Units. A cura di Roberto Morleo

Virus informatici Approfondimenti tecnici per giuristi

Sistemi Operativi. Interfaccia del File System FILE SYSTEM : INTERFACCIA. Concetto di File. Metodi di Accesso. Struttura delle Directory

Guida Google Cloud Print

Il Sistema Operativo. C. Marrocco. Università degli Studi di Cassino

Università Politecnica delle Marche. Progetto Didattico

Software di gestione della stampante

Sistema Ambiente 2010": Il Network Nazionale della Biodiversità. Checklist, chiavi di identificazione, archivi di immagini ed altre risorse

Architetture software

FileMaker Pro 13. Utilizzo di una Connessione Desktop Remota con FileMaker Pro13

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti

Sicurezza Informatica

Modelli e Sistemi di Elaborazione Peer-to-Peer

19. LA PROGRAMMAZIONE LATO SERVER

Contesto. Reti e applicazioni peer-to-peer. Reti client/server. Reti client/server - svantaggi. Reti P2P - generalità. Reti peer-to-peer (P2P)

Una Soluzione di NAT Traversal per un sistema di comunicazione VOIP per una PMI

Automazione Industriale (scheduling+mms) scheduling+mms.

SERVICE BROWSER. Versione 1.0

SETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012

Ipertesti e Internet. Ipertesto. Ipertesto. Prof.ssa E. Gentile. a.a

@2011 Politecnico di Torino. Pag. 1. Architettura distribuita. Architetture Client/Server. Architettura centralizzata. Architettura distribuita

Parte II: Reti di calcolatori Lezione 9

Simulazione di scenario urbano con molteplici nodi mobili su OmNet++

Intervento al Corso Università digitale. Filippo D Arpa. 14 Novembre 2011

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Turismo Virtual Turismo Virtual Turismo Virtual

INFORMATICA DISTRIBUITA. lez 4 Livello applicazione

Corso di Reti di Calcolatori T

Corso di Laurea in Ingegneria Informatica. Corso di Reti di Calcolatori I

Una piattaforma per la negoziazione di servizi business to business attraverso la rete Internet

Comunicazione tra Computer. Protocolli. Astrazione di Sottosistema di Comunicazione. Modello di un Sottosistema di Comunicazione

Il Sistema Operativo. Introduzione di programmi di utilità. Elementi di Informatica Docente: Giorgio Fumera

Transcript:

UNIVERSITÀ DEGLI STUDI DI PARMA FACOLTÀ DI INGEGNERIA CORSO DI LAUREA SPECIALISTICA IN INGEGNERIA DELLE TELECOMUNICAZIONI ANALISI DELLE BOTNET DI NUOVA GENERAZIONE BASATE SU PEER TO PEER Relatore: Chiar.mo Prof. Ing. LUCA VELTRI Correlatori: Dott. Ing. NATALYA FEDOTOVA Dott. Ing. ROBERTO TANARA E IMPLEMENTAZIONE IN AMBIENTE EMULATO Tesi di laurea di STEFANO FANTI ANNO ACCADEMICO 2008-2009

Obiettivi Analisi delle caratteristiche generali delle moderne Botnet Studio dello Storm worm Implementazione del Botnet Emulator Confronti sull evoluzione di diversi scenari di rete Sviluppi futuri 1/19

Le Botnet Reti di host (Bot), connessi ad Internet, controllati da un unica entità: il Botmaster Il codice malevolo dell infezione può compromettere un host sfruttando: - utilizzo di malware come worm, trojan-horse, spyware, adware, keylogger, backdoor - vulnerabilità dei browser web - assenza delle più recenti patch di sicurezza Il canale di comunicazione (Command & Control) tra Botmaster e host può essere formato da: - uno o più server centralizzati - rete peer-to-peer (P2P) 2/19

Perchè creare una Botnet? Furto di informazioni riservate: - credenziali di accesso per webmail, FTP, POP3, SMTP, HTTP - password di sistema - tutto ciò che viene digitato da tastiera (grazie ai keylogger) Esecuzione di attacchi informatici su comando del Botmaster: - Distributed Denial of Service - Phishing - Spamming 3/19

Perchè creare una Botnet? Alcuni dati (ottenuti tramite infiltrazione nella Botnet Torpig ): - 70 GB di dati raccolti tra cui 300.000 credenziali di accesso (cifrate e non) - 47.000 password rubate in Italia (principalmente da PayPal e Poste Italiane) - 1.700 codici di carte di credito rubati : 49% in USA, 12% in Italia 4/19

Le Botnet Come avviene un tipico attacco: 1 2 EXPLOIT MACHINE BOTMASTER 3 Infezione Secondaria 5 BOTSERVER / P2P NETWORK 4 HOST TARGET BOTCONTROLLER 5/19

Le Botnet di tipo Peer To Peer Il canale di C&C sfrutta una rete P2P Le tecniche P2P sono utilizzate sia per la diffusione di risorse infette che per il controllo da parte del Botmaster TIPOLOGIE: - closed P2P networks (protocolli ad hoc) - open P2P networks (usano reti esistenti) VANTAGGI: - rendono difficile il Botnet tracking - non è semplice bloccare la loro attività SVANTAGGI: - è più difficile eseguire la peer-discovery - maggiore latenza di rete SVILUPPI: - design di nuove funzionalità (propagazione, invisibilità nel sistema, nuovi obiettivi da raggiungere) - nuove strategie di C&C (detection) 6/19

Storm Dal 2007 inizia la sua attività infettiva, mediante spamming: milioni di mail inviate contenevano un eseguibile che si rivelò essere un Trojan, e venne chiamato Peacomm. L eseguibile è polimorfico per rendere più difficile la detection L iniezione del payload avviene in modalità kernel, tramite il driver wincom32.sys e sfruttando il processo services.exe, che attiva le thread per le comunicazioni P2P 7/19

Storm Protocollo di comunicazione utilizzato da uno Storm-bot: 1 Connessione ad Overnet (rete P2P esistente) o a Stormnet 2 Download dell URL dell infezione secondaria 3 Decryption dell URL 4 Download dell infezione secondaria 5 Esecuzione dell infezione L algoritmo di crittografia a chiave pubblica usato da Storm: RSA - PU = [e,n] PR=[d,n] C M e mod n M C d mod n - n = pxq ( n) ( p 1)( q 1) gcd( ( n), e) 1 d e 1 mod ( n) In Storm: d è hard-coded nel bot, n si ricava dai search_result 8/19

Storm Pubblicazione e ricerca di aggiornamenti: - I bot utilizzano particolari identificativi denominati chiavi - In Overnet ogni chiave è pubblicata presso 20 peer diversi - Ogni bot ricerca una chiave specifica in un determinato istante, scelta da un insieme noto a priori al Botmaster: key = f(d,r) Numero di IP differenti che effettuano: - ricerche (SX) - pubblicazioni (DX) 9/19

Implementazione del Botnet Emulator Obiettivo: emulare una Botnet di tipo peer to peer che utilizza Kademlia come algoritmo DHT per il routing e la gestione degli ID di nodo e delle tabelle di hash delle risorse L evoluzione della Botnet avviene grazie alle operazioni eseguite dai peer emulati, che interagiscono tra loro condividendo e ricercando risorse e update fittizi Dopo la join, ogni peer ricerca nella Botnet un file di aggiornamento (BotUpdate1.dll): rappresenta un tentativo di connessione al Botmaster Lo scheduling degli eventi emulati (join / leave / put / get) è aleatorio, ma rispetta le distribuzioni dei tempi di inter-evento impostate dall utente a inizio emulazione Ambiente di sviluppo utilizzato: Eclipse Framework utilizzato: DLS JAVA 10/19

Il framework DLS Obiettivo: permettere la creazione di applicazioni peer to peer basate sul concetto di Distributed Location Service Sistema DHT-based che permette ai nodi di gestire al loro interno associazioni tra chiavi (URI) e valori corrispondenti (contatti) Il protocollo DLS permette all utente di focalizzarsi sullo sviluppo applicativo, ignorando i dettagli della DHT e della comunicazione peer to peer 11/19

Schema del progetto DLS: Azioni eseguite dai peer: - join: permette la registrazione del peer nella DHT - put: registra nel DLS l associazione tra una chiave (URI) e una lista di contatti - get: ricerca nel DLS i contatti associati alla risorsa - leave: permette al peer di abbandonare il DLS Il framework DLS 12/19

Il Botnet Emulator Schema delle classi dell emulatore: Peer Action Create & Join Peer Put/Get Resources/Updates Leave Peer Emulation Timer Timer Interevent-Time Emulation Constants Emulation Time Peer & Resources Life Time File Paths Botnet Flags Emulation Log Emulation Emulation Manager Event Timer Botnet Peer Actions Peer DLS Application BotnetFlag(true) EmulationLog Resource Resource Name Resource Flag Emulation Manager Emulation Timer Statistics & Logs Finds Peer & Resources for Actions DHT Callbacks Resource Index Get BotnetResource From File Main Log Peer Log Statistics Log Resource Arrays BotnetResource Lists Resource Statistics BotnetResource Peer/TimeStamp Vectors 13/19

Il Botnet Emulator Tempi di interevento: - distribuzioni esponenziali negative - possibilità di impostare il valor medio (in sec.) della distribuzione di ciascuna azione: join/put/get/leave f ( x).exp x u( x) X EX [ ] 1 F ( x) 1 exp x X 14/19

Log generati dall emulatore: - Emulator.log registra tutte le azioni di tutti i peer - IP.port.log Il Botnet Emulator registra le sole azioni che riguardano il peer specificato - ResourceStatistics.log registra per tutte le risorse i peer che effettuano put/get e il time dell azione - ResName_PUT/GET.log registra hostport e time in cui avvengono put/get sulla risorsa ResName 15/19

Il Botnet Emulator Elaborazione e confronto dei risultati ottenuti dalle emulazioni: n totale peer generati, n peer attivi, n max peer attivi - Test 1: E[join] = E[leave] = E[put] = E[get] = 30 sec - Test 2: E[join] = 5 sec; E[leave] = 30 sec; E[put] = 50 sec; E[get] = 40 sec 16/19

Il Botnet Emulator Elaborazione e confronto dei risultati ottenuti dalle emulazioni: percentuale di peer che hanno pubblicato/ottenuto risorse - Test 1: E[join] = E[leave] = E[put] = E[get] = 30 sec % put/get della risorsa BotUpdate - Test 2: E[join] = E[leave] = E[put] = E[get] = 30 sec % get BotUpdate vs % get altre risorse 17/19

Il Botnet Emulator Elaborazione e confronto dei risultati ottenuti dalle emulazioni: percentuale di peer che hanno ottenuto l aggiornamento - Test: % get riuscite sulla risorsa BotUpdate variando i tempi medi di interevento [join-put-get-leave] 18/19

Conclusioni Realizzazione di un emulatore di reti Botnet Peer To Peer Configurabilità dei parametri di ingresso del Botnet Emulator Confronto grafico delle dinamiche di rete in diversi scenari SVILUPPI FUTURI: - introduzione di nuove variabili di sistema - implementazione di tecniche di infiltrazione e attacco alla Botnet 19/19

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back