Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. Sicurezza delle reti.



Documenti analoghi
Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. Phishing. Sicurezza delle reti.

Sicurezza delle reti. Monga. Fast-flux service network. Risultati sperimentali. L autenticazione. Botnet. Sicurezza delle reti. Monga.

Sicurezza delle reti 1

Modulo informatica di base 1 Linea 2. Lezione XIII: Sicurezza informatica. Cos è la sicurezza informatica. C è davvero bisogno di parlarne?

Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. L autenticazione in rete.

Sicurezza dei sistemi e delle reti 1

Sicurezza delle reti. Monga. Zero Day. polimorfismo. degli attacchi Tecniche di. Generatori di signature Hamsa. Malware underground economy

Botnet. Roberto Paleari. Università degli Studi di Milano

Sicurezza dei sistemi e delle reti 1. Lezione XVI: L assegnazione automatica di IP. Cosa fa DHCP. Il DHCP. Mattia Monga. a.a.

La sicurezza informatica. Luca Filippi

Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director

Tipologie e metodi di attacco

Managed Security Service

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

Operation Bloodninja. Phishing Campaign Analysis Report

ANALISI DÌ MALWARE E SOLUZIONI DÌ DIFESA. Tesina di Matteo Neri A.S

Modulo informatica di base 1 Linea 2

Sommario Prefazione... xiii Diventa esperto in sicurezza... xiii Capitolo Codici nocivi... 1

(Domain Name System) DNS (Domain Name System) Architettura del DNS DNS. A.Lioy - Politecnico di Torino (2013) B-1. Antonio Lioy < lioy@polito.

ISTR XV: FOCUS SULLA SITUAZIONE ITALIANA E NUOVI TREND

Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali. Internet. Roberto Paleari <roberto@security.dico.unimi.

Computer forensics in azienda: l esperienza del CERT-IT 1

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

Metodi e tecniche per la rilevazione e il contrasto di botnet in reti universitarie

Symantec Insight e SONAR

INFORMATICA DISTRIBUITA. lez 4 Livello applicazione

Malware e underground economy

- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam?

BOTNET: Il caso ZeuS. Theory and Practices from the Scene

SICUREZZA INFORMATICA MINACCE

A B I. BANCHE E SICUREZZA 2006 Soluzioni, strumenti e metodologie per una nuova strategia di protezione. Roma, 6 e 7 Giugno 2006 Palazzo Altieri 2006

Doctor Web: rassegna delle attività di virus a febbraio marzo 2013

Le tecnicheinformaticheper la sottrazionedidatiriservati

Sicurezza delle reti 1

Sicurezza delle reti 1. Lezione XVIII: La protezione del DNS. Separazione di servizi DNS. La protezione del DNS. Mattia Monga. a.a.

Proteggi gli account personali

Focus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption

ANALISI DELLE BOTNET DI NUOVA GENERAZIONE BASATE SU PEER TO PEER E IMPLEMENTAZIONE IN AMBIENTE EMULATO

Allegato 1. Le tecniche di frode on-line

USO DEGLI STRUMENTI DI PAGAMENTO ELETTRONICO

Sicurezza dei sistemi e delle reti 1. Lezione X: Proxy. Proxy. Proxy. Mattia Monga. a.a. 2014/15

Sistemi Operativi e informatica 1

Lista di controllo per la migrazione del dominio a Swisscom/IP-Plus

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

Sicurezza delle reti 1. Uso di variabili. Mattia Monga. a.a. 2010/11

Scienze della comunicazione L 20 LABORATORIO INFORMATICA APPLICATA. Le reti di calcolatori

Sistemi Operativi 1. Mattia Monga. a.a. 2008/09. Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.

Recente aumento della diffusione di virus Malware

Reti di calcolatori. Reti di calcolatori

SCENARI D'UTILIZZO DELLE NUOVE SOLUZIONI. Fabrizio Cassoni Content Security Manager

Identità e autenticazione

Cos è. Protocollo TCP/IP e indirizzi IP. Cos è. Cos è

Il Monitoraggio delle frodi informatiche in Banca

Comprendere cosa è Internet e sapere quali sono i suoi principali impieghi. 25/09/2011 prof. Antonio Santoro

Protagonisti di INNOVAZIONE un progetto industriale unico in Italia

Didattica dell informatica 1

Solutions One

Malware la minaccia poliedrica emergente

Man-in-the-middle su reti LAN

Fonte:

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

RETI E SISTEMI INFORMATIVI Domain Name System. Prof. Andrea Borghesan

Le Reti Informatiche

Sicurezza e Rischi. Mi è arrivata una mail con oggetto: ATTENZIONE!!! chiusura sistematica del tuo conto VIRGILIO. Come proteggersi dallo Spam

Sicurezza dei sistemi e delle reti 1

Sicuramente

KASPERSKY FRAUD PREVENTION FOR ENDPOINTS

Come navigare senza rischi

Sicurezza informatica

Domain Name System: DNS

Introduzione alla rete Internet

COOKIES COSA SONO I COOKIES? COME UTILIZZIAMO I COOKIES?

Configurazione avanzata di XAMPP

Lezione n 1! Introduzione"

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS)

Modulo informatica di base 1 Linea 2. Lezione I: Introduzione. Informazioni sul corso. Ricevimento. Mattia Monga. a.a. 2010/11

Seqrite Antivirus per Server

Corso di recupero di sistemi Lezione 8

L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010

Il valore di un processo efficiente di Incident Response: un caso reale

Norton AntiVirus 2009 con Antispyware Sicurezza intelligente, progettata per la velocità

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

I Servizi IBM : Servizi professionali per garantire sicurezza e disponibilità dei sistemi IT

Luca Mari, Sistemi informativi applicati (reti di calcolatori) appunti delle lezioni. Architetture client/server: applicazioni client

Media mensile 96 3 al giorno

Content Security Spam e nuove minacce

18 marzo 2014 Cenni sulla sicurezza Daniela Barbera SAX srl

Modulo informatica di base 1 Linea 2

Sicurezza delle reti 1

.: Company: See srl. Sede Legale e Amministrativa Via Cavoni, Frosinone. Codice Fiscale e partita IVA

Sicurezza delle reti. Monga. Ricognizione. Scanning Breve ripasso socket Network mapping Port Scanning NMAP. Le tecniche di scanning

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa

Analisi FASTWEB della situazione italiana in materia di cybercrime ed incidenti informatici

Internet e posta elettronica. A cura di Massimiliano Buschi

Blocca gli attacchi mirati avanzati, identifica gli utenti ad alto rischio e controlla le minacce interne

Il "cyber crime", visto da vicino. Federico Maggi, PhD Ricercatore, Politecnico di Milano

Avviso n. 85 Anagni, 26 gennaio 2016

Norton Internet Security 2012 La tua difesa contro le minacce online

SISTEMA DEI NOMI DI DOMINIO (DNS) Funzionamento del DNS. Soluzione centralizzata

Transcript:

1 Mattia Lezione XVII: La diffusione delle botnet Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo 2.5 Italia License. http://creativecommons.org/licenses/by-sa/2.5/it/. Materiale derivato da c 2010 M. Cremonini. 1 191 Phishing Come funziona? 1 campagna di spam 2 social engineering 3 furto credenziali & malware 4 infezione macchine GET /... 192 193

Underground Underground Vendita informazioni rubate Furto credenziali Portata del fenomeno Goods & s Bank accounts Credit cards Full identities Online auction site accounts Scams Mailers Email addresses Email passwords Drop (request or offer) Proxies Percentage 22% 13% 9% 7% 7% 6% Range of prices $10-$1000 $0.40-$20 $1-$15 $1-$8 $2.50-$50/week (hosting) $1-$10 $0.83/MB-$10/MB $4-$30 10%-20% of drop amount $1.50-$30 Symantec Universita di Mannheim Limbo & ZeuS 70 dropzone 33 GB di dati Dropzone webpinkxxx.cn coxxx-google.cn 77.XXX.159.202 finxxxonline.com Other Total # Machines 26,150 12,460 10,394 6,932 108,122 164,058 Data amount 1.5 GB 1.2 GB 503 MB 438 MB 24.4 GB 28.0 GB Country China Malaysia Russia Estonia Learning More About the Underground Economy T. Holz, M. Engelberth, F. Freiling, 2008 195 Underground Underground as a The spam business MPACK: exploit toolkit a $1000 196 11000 account bancari, 150000 account mail 194 Bot in affitto ( $1000-$2000/mese) CAPTCHA? OCR, Fuzzy OCR,... Soluzioni migliori? Human computation! > 100K captcha al giorno, $1.5-$8 per 1000 captcha 197

Funzionalità del malware Click fraud Funzionalità del malware Anti-anti-virus Google: 10% dei click sono fraudolenti ( $1B) Clickbot.A ( 50k host infetti) molti clickbot commerciali ClickJacking kill processi in esecuzione vari hook per auto-start prima dell AV impedire aggiornamento AV corruzione DB signature kernel-level callback via PsSetLoadImageNotifyRoutine()... 198 199 Funzionalità del malware Internet Malicious Activity Map Fonte: Team Cymru 200 201

Conficker (29/01/2009) & spam Nome Dimensione Capacità di spam Conficker 9.000.000 10G/giorno Kraken 495.000 9G/giorno Srizbi 450.000 60G/giorno Rustock 150.000 30G/giorno Cutwail 125.000 16G/giorno Storm > 1.000.000 3G/giorno Grum 50.000 2G/giorno Mega-D 35.000 10G/giorno 1.7 milioni di host compromessi Fonte: Team Cymru 202 203 Non solo spam... Tecniche di propagazione Analisi di 10 giorni di traffico di rete generato da Torpig: Unique IP Count 1.148.264 Unique Torpig keys (machines) 180.835 POP accounts 415.206 Email addresses 1.235.122 Passwords 411.039 Unique credit cards 875 Unique ATM pins 141 Unique social security numbers 21 Propagation mechanisms Percentage File sharing executables 40% File transfer/email attachment 32% File transfer/cifs 28% File sharing/p2p 19% Remotely exploitable vulnerability 17% SQL 3% Back door/kuang2 3% Back door/subseven 3% File transfer/embedded HTTP URI/Yahoo! Messenger 2% Web 1% Symantec, 2007 204 205

Tecniche di propagazione Rogue Antivirus una rete di macchine infette (bot, zombie) controllate da un unico attaccante (bot-master, mother-ship) usate per: spam, DDoS, phishing, scam, SQL injection massivi,... 207 Mother-ship (tje.mooffx.com.cn) Agent5 Agent1 Agent2 GET /ind... + A? n.c om.c 91 6..4.8 23.0 2. 43 21 37.2... 1 A fx of mo e. tj A GET /ind... una tecnica ( 2007) utilizzata per aumentare la Agent1 Agent5 Mother-ship http://fluxor.laser.dico.unimi.it robustezza della botnet, rendendola piu difficile da Authoritative Agent2 121.000 fast-flux FQDN 360.000 host identificare. coinvolti un livello di indirettezza fra l idea e semplice: si aggiunge Agent4 Agent6 vittime e attaccante. Agent3 Agent3 Agent4 Agent6 A? tje.mooffx.com.cn Non-authoritative La botnet e tipicamente composta da milioni di agenti! Victim L identita dei componenti chiave dell infrastruttura illegale e ben protetta 208 Victim Gli agenti (bot) offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri A 137.243.0.8 A... Non-authoritative 206 Authoritative (ns1.ktthe.com) Piu domini vengono utilizzati dalla stessa botnet (non 209 basta chiudere un dominio)

Fast-Flux @ Unimi Features of fast-flux Come identificare una FFSN? Ci sono moltissime caratteristiche misurabili...... ma nessuna è sufficiente per identificare una FFSN si monitora un hostname sospetto, fingendosi una vittima recidiva si raccolgono dati e si identificano le FFSN tramite classificazione complessa si tengono sotto controllo le FFSN identificate per elencare il maggior numero di agenti infetti 210 Domain Domain age Domain register Availability of the # of DNS records of type A TTL of DNS resource records Heterogeneity of the agents # of s # of autonomous systems # of resolved QDNs # of assigned names # of organisations Benign avast.com 539 NetworkSolutions 12 3600 5 3 1 5 2 adriaticobishkek.com 65 Melbourne IT 21 1200 1 1 1 1 1 google.com 542 MarkMonitor 3 300 2 1 1 1 1 mean 493.27 N/A 2.86 4592.53 1.27 1.11 1.08 1.21 1.0 std. dev. 289.27 N/A 3.89 7668.74 0.65 0.36 0.74 0.58 0.2 Malicious eveningher.com 18 PayCenter 127 300 83 49 33 71 54 factvillage.com 2 PayCenter 117 300 81 46 34 67 54 doacasino.com 2 NameCheap 33 180 19 14 11 19 14 mean 4.85 N/A 98.13 261.49 63.75 38.36 27.98 53.58 std. dev. 4.9 N/A 37.27 59.64 23.91 12.34 8.5 18.73 15 211 Architettura del sistema e truffe via web Collector Raccoglie nomi di dominio sospetti da sonde informative (e.g, spam... ) Monitor per ogni DN sospetto raccoglie info sulle caratteristiche per ogni DN malevolo (classificato dal Detector) raccoglie gli IP degli agenti infetti Detector classifica i sospetti in malevoli e benevoli tramite un classificatore bayesiano 212 Descrizione # Email processate 144952 URL estratti 34466 FQDN attivi 29368 9988 Agenti 162855 25 # agenti # FFSN European Pharmacy 65043 3950 Halifax Online Banking 46772 1 Digital Shop 20069 17 Royal Casino 15078 34 Royal VIP Casino 8665 16 Euro Dice Casino 7667 28 # spam email % spam (rispetto al totale) 213

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back