Botnet. Roberto Paleari. Università degli Studi di Milano

Documenti analoghi
Sicurezza delle reti 1

Sicurezza dei sistemi e delle reti 1

Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. Phishing. Sicurezza delle reti.

Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. L autenticazione in rete.

Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. Sicurezza delle reti.

Sicurezza delle reti. Monga. Fast-flux service network. Risultati sperimentali. L autenticazione. Botnet. Sicurezza delle reti. Monga.

Modulo informatica di base 1 Linea 2. Lezione XIII: Sicurezza informatica. Cos è la sicurezza informatica. C è davvero bisogno di parlarne?

ID_PRATIC C A OGN N OM OME

Studio Consumer Barometer 2017

ALLEGATI. della RELAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO

ALLE ORE I CANDIDATI DOVRANNO PRESENTARSI NELL'AULA INDICATA MUNITI DI DOCUMENTO DI IDENTITA'

La procedura per l'immatricolazione è disponibile all'indirizzo:

Risultati simulazione test di accesso per l ammissione al corso di Laurea in Economia

A.A. 2016/17 Graduatoria corso di laurea in Scienze e tecniche di psicologia cognitiva

PHISHING: ONE SHOT, MANY VICTIMS! Andrea Draghetti

Reti (introduzione) Internet in breve: insieme di reti locali (LAN) interconnesse da router. 2 tipi di LAN

Risultati simulazione test di accesso per l ammissione al corso di Laurea in Professioni Sanitarie

PRIMARIA: TRASFERIMENTI INTERPROVINCIALI

INFORMATICA. Prof. MARCO CASTIGLIONE. Istituto Tecnico Statale Tito Acerbo - PESCARA

lezione 2 AA Paolo Brunori

Introduzione alla rete Internet

Horizon Finanza & PMI La strada fatta e quella da fare

Laboratorio 2: ISO/OSI, TCP/IP. Giannini Giacomo Monreale Giacoma Guerriero Lorenzo Anastasi Gaetano Bardine Alessandro

Test ammissione CdL in Economia aziendale ed Economia e commercio GRADUATORIA GENERALE

Il decreto sulle «Liberalizzazioni» Vittorio Verdone Direttore Auto, Distribuzione, Consumatori e Servizi Informatici Milano, 16 luglio 2012

graduatoria FASCIA 1 estrazione al 28/06/2018

Introduzione alla rete Internet

Sistemi Operativi 11 ottobre 2017

Tecniche di gestione delle reti di calcolatori. Unità didattica 4.1 Organizzazione di una rete

L I S T I N O P R E Z Z I

PROSPETTO DEI DATI SINTETICI RISULTANTI AL SISTEMA ALLA DATA DI EFFETTUAZIONE D C: TRASFERIMEN TI PROVINCIALI A: TRASFERIMENT LITA' IN ENTRATA DA

Livello applicazione. Fondamenti di Informatica

Test di ammissione corso di laurea in Scienze e Tecnologie Biomolecolari

Conseguenze Algoritmiche del fenomeno small world

READER SHORT-RANGE USB

PROVINCIA DI VERONA RENDICONTO ESERCIZIO 2012 ELENCO DEI RESIDUI ATTIVI E PASSIVI DISTINTI PER ANNO DI PROVENIENZA

I NUMERI DELLA VIGILANZA PRIVATA

ISTITUTO TECNICO INDUSTRIALE M. FARADAY Programmazione didattica

Difesa perimetrale di una rete

PERCHÉ AKAMAI UTILIZZA ENTERPRISE THREAT PROTECTOR 1 PERCHÉ AKAMAI UTILIZZA ENTERPRISE THREAT PROTECTOR

Introduzione alla rete Internet

Tecnologia dell Informazione

Ministero dell'istruzione dell'università e della ricerca Dipartimento per l istruzione Direzione generale per il personale scolastico Ufficio V

Nell oscuro mondo dei Malware

Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali. Internet. Roberto Paleari <roberto@security.dico.unimi.

Manuale Utente Impostazione router Tele-assistenza

DNSSEC. a real, working and optimized implementation. Samuele Racca samuele.racca@polito.it. Politecnico di Torino TOP-IX

lezione 3 AA Paolo Brunori

gestion e ripresen tate nuovo Regola mento IPT tutela venditor e nuovo Regola mento IPT succes sione ereditar ia agevol azioni disabil i

RETI DI CALCOLATORI II

Disciplina: Sistemi e reti Classe: 5A Informatica A.S. 2015/16 Docente: Barbara Zannol ITP: Alessandro Solazzo

NOTA: I prezzi disponibili non sono comprensivi di IVA né di costi di Setup* SERVIZI CLOUD. IntactMail - Posta Sicura. IntactMail Casella 20 GB

ATTIVITA' DI CARATTERE SOCIO SANITARIO ASSISTENZIALE PERSONE FISICHE ALBO DEI BENEFICIARI 2016

Reti informatiche. 2. Internet e navigazione

GUIDA MAIL MARKETING - IMPLEMENTARE L AUTENTICAZIONE SPF E DKIM 1

NOTA: I prezzi disponibili non sono comprensivi di IVA né di costi di Setup* SERVIZI CLOUD. IntactMail - Posta Sicura. IntactMail Casella 20 GB

TECN.PROG.SIST.INF. I Socket Roberta Gerboni

CUBE firewall. Lic. Computers Center. aprile 2003 Villafranca di Verona, Italia

TUTELA LA TUA PASSIONE TUTELA DELLA BICICLETTA

IL MERCATO DELLA R.C. AUTO IN ITALIA: ANDAMENTI, CRITICITÀ E CONFRONTI EUROPEI

COMUNE DI VILLACIDRO

A.A. 2018/19 Graduatoria corso di laurea in Viticoltura ed Enologia Sessione estiva di agosto

Risultati, cioè attenzione ai risultati.

Costi produzione della filiera regionale del latte: Parmigiano-Reggiano, Grana Padano e latte alimentare nel contesto globale

Indice. Introduzione. Capitolo 1 Introduzione a Windows Server Edizioni di Windows Server

Telematico Digitale. Note di Installazione

Sviluppo digitale in Lombardia Workshop Milano, 13 febbraio 2013

TUTELA LA TUA PASSIONE POLIZZA FURTO DELLA BICICLETTA

Termometro a 1 canale

CA FOSCARI EUROPROGETTA. Il Programma Cultura Venezia 19 maggio 2011 Michela Oliva, Divisione Ricerca

Transmission capacity that is faster. Digital Network (ISDN) at 1.5 or 2.0

Le Reti Informatiche

Pompe a vuoto/generatori Grande

Laboratorio di. Reti Informatiche. Corso di Laurea Triennale in Ingegneria Informatica A.A. 2018/2019. Ing. Carlo Vallati


enimonitor proactive IT monitoring

Aderenti al Fapi Fondo formazione PMI a Novembre 2013

TAVOLA ROTONDA SUI PROBLEMI DELLA CATEGORIA STATISTICHE REVISIONI 2004

Formula Bonus-Malus "l'abito non fa (più) il monaco"

READYTEC ONLINE MAINTENANCE La soluzione integrata e modulare per la sicurezza e l efficienza delle tecnologie server e client.

RETI DI CALCOLATORI II

Laboratorio di. Reti Informatiche. Corso di Laurea Triennale in Ingegneria Informatica A.A. 2016/2017. Ing. Niccolò Iardella

della temperatura a 1

NOTA: I prezzi disponibili non sono comprensivi di IVA né di costi di Setup* SERVIZI CLOUD. IntactMail Posta Sicura

La crescita mondiale dell ICT e il posizionamento dell Italia

Autorità per le Garanzie nelle Comunicazioni

Strumento di misura della temperatura a canale singolo

BitDefender Business Security

Collaborazioni on-line

Particolarmente adatto per applicazioni in campo alimentare

A.A. 2014/2015 Graduatoria ammessi al corso di laurea magistrale a ciclo unico in Giurisprudenza.

SME & Open Innovation

IENA Un modello alternativo per la rivelazione delle intrusioni in una rete locale.

Securshop Real Time DNS

Navigazione protetta a misura di scuola!

Transcript:

net Roberto Paleari roberto@security.dico.unimi.it Università degli Studi di Milano

Introduzione net: rete di macchine compromesse () controllate in modo centralizzato ed utilizzate per compiere attività illegali R. Paleari net 2

Il più potente supercomputer This doesn t seem to have received much attention, but the world s most powerful supercomputer entered operation recently. Comprising between 1 and 10 million CPUs (depending on whose estimates you believe), the Storm net easily outperforms the currently top-ranked system, BlueGene/L, with a mere 128K CPU cores. Peter Gutmann R. Paleari net 3

Fonte: Team Cymru Internet Malicious Activity Map R. Paleari net 4

Conficker (29/01/2009) 1.7 milioni di host compromessi Fonte: Team Cymru R. Paleari net 5

Conficker (29/01/2009) 1.7 milioni di host compromessi Fonte: Team Cymru R. Paleari net 5

net & spam Nome Dimensione Capacità di spam Conficker 9.000.000 10G/giorno Kraken 495.000 9G/giorno Srizbi 450.000 60G/giorno Rustock 150.000 30G/giorno Cutwail 125.000 16G/giorno Storm > 1.000.000 3G/giorno Grum 50.000 2G/giorno Mega-D 35.000 10G/giorno R. Paleari net 6

Non solo spam Analisi di 10 giorni di traffico di rete generato da Torpig: Unique IP Count 1.148.264 Unique Torpig keys (machines) 180.835 POP accounts 415.206 Email addresses 1.235.122 Passwords 411.039 Unique credit cards 875 Unique ATM pins 141 Unique social security numbers 21 R. Paleari net 7

Command & control R. Paleari net 8

Command & control Controllo centralizzato IRC Comandi pubblicati in canali IRC (irc.krienaicw.pl #djdjeiu) HTTP Comandi pubblicati in pagine web (http://www.myspace.com/angelairiejs/) R. Paleari net 8

Command & control Controllo centralizzato IRC Comandi pubblicati in canali IRC (irc.krienaicw.pl #djdjeiu) HTTP Comandi pubblicati in pagine web (http://www.myspace.com/angelairiejs/) Controllo distribuito P2P Comandi e/o indirizzo commander master pubblicati nella rete P2P R. Paleari net 8

Command & control Controllo centralizzato IRC Comandi pubblicati in canali IRC (irc.krienaicw.pl #djdjeiu) HTTP Comandi pubblicati in pagine web (http://www.myspace.com/angelairiejs/) Controllo distribuito P2P Comandi e/o indirizzo commander master pubblicati nella rete P2P Push vs. Pull Push I attendono in silenzio comandi dal commander Pull I interrogano continuamente il commander per sapere se ci sono nuovi compiti da svolgere R. Paleari net 8

net basate su IRC master C & C server R. Paleari net 9

net basate su IRC master C & C server I si (dis)connettono continuamente al C&C server R. Paleari net 9

net basate su IRC master C & C server I si (dis)connettono continuamente al C&C server R. Paleari net 9

net basate su IRC master attack a.b.c.d C & C server Il master invia il comando al C&C server R. Paleari net 9

net basate su IRC master C & C server Il C&C server inoltra il comando a tutti i connessi R. Paleari net 9

net basate su IRC master C & C server Eliminando il server C&C il master perde il controllo dei R. Paleari net 9

net basate su IRC master C & C server Rintracciare il master potrebbe non essere facile! (es., Coffe Shops) R. Paleari net 9

net basate su IRC master C & C servers Utilizzo di più C&C server in parallelo R. Paleari net 10

Quando un C&C server viene messo fuori uso i si collegano in automatico ai server rimanenti R. Paleari net 10 net basate su IRC master C & C servers

Quando un C&C server viene messo fuori uso i si collegano in automatico ai server rimanenti R. Paleari net 10 net basate su IRC master C & C servers

net basate su IRC master C & C servers Utilizzando più server C&C aumenta la capacità di sopravvivenza della net R. Paleari net 10

Distribuzione server C&C IRC (04/2008) Fonte: Team Cymru R. Paleari net 11

net basate su HTTP Identiche alle net basate su IRC C&C in modalità pull R. Paleari net 12

net basate su HTTP Identiche alle net basate su IRC C&C in modalità pull http://91.207.4.122/spm/s_tasks.php?id=468831... http://akhadqwd.blogspot.com/ http://www.myspace.com/sakjfuje/... <table> <tr> <td class="asjkdha">ddos www.bank.com</td> </tr> </table>... Il traffico C&C si mischia facilmente al traffico benigno Difficile da bloccare a livello rete Difficile da bloccare a livello DNS R. Paleari net 12

Distribuzione server C&C HTTP (04/2008) Fonte: Team Cymru R. Paleari net 13

Ciclo di vita di un (Phat) Host infetto Host vulnerabile C&C Server R. Paleari net 14

Ciclo di vita di un (Phat) Host infetto Connessione Host vulnerabile C&C Server Ricerca di nuove vittime (port scan) R. Paleari net 14

Ciclo di vita di un (Phat) Host infetto Exploit Host vulnerabile C&C Server Tentativo di exploit di 1 + vulnerabilità note (es., MS08-067) R. Paleari net 14

Ciclo di vita di un (Phat) Host infetto Egg download Host vulnerabile C&C Server Download di codice aggiuntivo (es., codice del, rootkit) R. Paleari net 14

Ciclo di vita di un (Phat) Host infetto Host infetto C&C Server Connessione al C&C server R. Paleari net 14

Ciclo di vita di un (Phat) Host infetto Host infetto Propagazione C&C Server R. Paleari net 14

Ciclo di vita di un (Phat) Host infetto Host infetto C&C Server Esecuzione di comandi ricevuti dal C&C server R. Paleari net 14

Rendez-vous point dinamici Come fanno i a trovare il C&C server? R. Paleari net 15

Rendez-vous point dinamici Come fanno i a trovare il C&C server? 1. Indirizzi IP hardcoded 2. FQDN hardcoded oppure generati dinamicamente (1 FQDN 1 + IP) 3. URL hardcoded oppure generati dinamicamente 4. Ricerca di chiavi in reti P2P R. Paleari net 15

Rendez-vous point dinamici Come fanno i a trovare il C&C server? 1. Indirizzi IP hardcoded 2. FQDN hardcoded oppure generati dinamicamente (1 FQDN 1 + IP) 3. URL hardcoded oppure generati dinamicamente 4. Ricerca di chiavi in reti P2P Per migliorare la capacità di sopravvivenza della net, è necessario mascherare e ridondare il più possibile i servizi chiave R. Paleari net 15

Impedire il rendez vous ACL a livello rete ACL a livello DNS ACL a livello HTTP DDoS contro C&C server? R. Paleari net 16

net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Protocollo P2P basato su Overnet (derivato da Kadmelia) R. Paleari net 17

net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Ricerca di chiavi nella rete P2P per localizzare i proxy (chiavi dinamiche pubblicate dai proxy e diffuse tramite P2P) R. Paleari net 17

net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Connessione al proxy e attesa di comandi (ad ogni chiave sono associati l IP e la porta di un proxy) R. Paleari net 17

net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Il worker si collega al proxy, si autentica e aspetta comandi R. Paleari net 17

net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Il proxy inoltra i comandi del master ai worker e vice versa R. Paleari net 17

net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Il proxy inoltra i comandi del master ai worker e vice versa R. Paleari net 17

net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Il proxy inoltra i comandi del master ai worker e vice versa R. Paleari net 17

net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker I master server sono gestiti direttamente dal master e sono ospitati su server bullet-proof R. Paleari net 17

net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker I worker con più risorse vengono elevati a proxy R. Paleari net 17

Rendez-vous point dinamici nella rete P2P R. Paleari net 18

Rendez-vous point dinamici nella rete P2P Reverse engineering! R. Paleari net 18

Conficker A/B net con C&C HTTP Rendez vous point generati dinamicamente (A: 5 TLD, B: 8 TLD, 250 domini al giorno) Diffusione tramite: MS08-67 (primo exploit rilasciato il 26/10/2008, patch rilasciata il 23/10/2008) network share (brute force password) USB (autorun) Exploit MS08-67 & connect back per scaricare il payload Pseudo-patch MS08-67 Host infettati (fonte SRI) A: 4.7M ( 1M attivi) B: 6.7M ( 3M attivi) R. Paleari net 19

Conficker A/B Funzionamento R. Paleari net 20

Conficker A/B Funzionamento R. Paleari net 20

Conficker C Derivato da Conficker B Nuova versione dell algoritmo di generazione dei domini per il rendez vous (110 TLD, 50.000 domini al giorno) R. Paleari net 21

Conficker C Derivato da Conficker B Nuova versione dell algoritmo di generazione dei domini per il rendez vous (110 TLD, 50.000 domini al giorno) ac, ae, ag, am, as, at, be, bo, bz, ca, cd, ch, cl, cn, co.cr, co.id, co.il, co.ke, co.kr, co.nz, co.ug, co.uk, co.vi, co.za, com.ag, com.ai, com.ar, com.bo, com.br, com.bs, com.co, com.do, com.fj, com.gh, com.gl, com.gt, com.hn, com.jm, com.ki, com.lc, com.mt, com.mx, com.ng, com.ni, com.pa, com.pe, com.pr, com.pt, com.py, com.sv, com.tr, com.tt, com.tw, com.ua, com.uy, com.ve, cx, cz, dj, dk, dm, ec, es, fm, fr, gd, gr, gs, gy, hk, hn, ht, hu, ie, im, in, ir, is, kn, kz, la, lc, li, lu, lv, ly, md, me, mn, ms, mu, mw, my, nf, nl, no, pe, pk, pl, ps, ro, ru, sc, sg, sh, sk, su, tc, tj, tl, tn, to, tw, us, vc, vn R. Paleari net 21

Conficker C Derivato da Conficker B Nuova versione dell algoritmo di generazione dei domini per il rendez vous (110 TLD, 50.000 domini al giorno) Supporto P2P Corretta vulnerabilità in MD6 Domain lookup prevention (di domini pericolosi) Disabilita anti-malware R. Paleari net 21

Conficker C Funzionamento R. Paleari net 22

Fast-flux service network R. Paleari net 23

Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 2 Agent 5 Agent 1 Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn Non-authoritative name server Victim R. Paleari net 23

Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 2 Agent 5 Agent 1 + A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn Non-authoritative name server Victim R. Paleari net 23

Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn Non-authoritative name server Victim R. Paleari net 23

Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn A 137.243.0.8 A... Non-authoritative name server Victim R. Paleari net 23

Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn A? tje.mooffx.com.cn GET /ind... Agent 3 Agent 4 Agent 6 A 137.243.0.8 A... Non-authoritative name server Victim R. Paleari net 23

Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) GET /ind... Agent 2 Agent 5 Agent 1 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn A? tje.mooffx.com.cn GET /ind... Agent 3 Agent 4 Agent 6 A 137.243.0.8 A... Non-authoritative name server Victim R. Paleari net 23

Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) GET /ind... Malware Agent 2 Agent 5 Agent 1 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn A? tje.mooffx.com.cn GET /ind... Agent 3 Agent 4 Agent 6 A 137.243.0.8 A... Non-authoritative name server Victim R. Paleari net 23

Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) GET /ind... Malware Agent 2 Agent 5 Agent 1 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn A? tje.mooffx.com.cn Malware GET /ind... Agent 3 Agent 4 Agent 6 A 137.243.0.8 A... Non-authoritative name server Victim R. Paleari net 23

Fast-flux service network Agent 2 Agent 1 Agent 5 Agent 4 Agent 6 Agent 3 Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! R. Paleari net 24

Fast-flux service network Mother-ship Agent 2 Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta R. Paleari net 24

Fast-flux service network Authoritative name server Non-authoritative name server Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta Più domini vengono utilizzati dalla stessa net (non basta chiudere un dominio) R. Paleari net 24

Fast-flux service network Authoritative name server Mother-ship Agent 2 Agent 1 Agent 5 Agent 4 Agent 6 Agent 3 Non-authoritative name server Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta Più domini vengono utilizzati dalla stessa net (non basta chiudere un dominio) R. Paleari net 24

Fast-flux service network Authoritative name server Mother-ship Agent 2 Agent 1 Agent 5 http://fluxor.laser.dico.unimi.it 121.000 fast-flux FQDN 360.000 host coinvolti Agent 4 Agent 6 Agent 3 Non-authoritative name server Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta Più domini vengono utilizzati dalla stessa net (non basta chiudere un dominio) R. Paleari net 24

Fast-flux service network e truffe via web Descrizione # Email processate 144952 URL estratti 34466 FQDN attivi 29368 Fast-flux service network 9988 Agenti Fast-flux 162855 net Fast-flux 25 R. Paleari net 25

Fast-flux service network e truffe via web net # agenti # FFSN European Pharmacy 65043 3950 Halifax Online Banking 46772 1 Digital Shop 20069 17 Royal Casino 15078 34 Royal VIP Casino 8665 16 Euro Dice Casino 7667 28 R. Paleari net 25

Fast-flux service network e truffe via web net # spam email % spam (rispetto al totale) European Pharmacy 12056 8.32% SwissWatchesDirect 3330 2.30% RXNET 2558 1.76% MaxHerbal 1897 1.31% Altre FFSN 6395 4.41% Totale 144952 18.10% R. Paleari net 25

Fast-flux service network e truffe via web 3950 FQDN 65043 /Agenti 8.32% dello spam R. Paleari net 25

Infiltrarsi in una net (IRC C&C) master C & C server R. Paleari net 26

Infiltrarsi in una net (IRC C&C) master C & C server L infiltrato si collega al C&C server come un normale ed è in grado di vedere tutti gli altri connessi R. Paleari net 26

Infiltrarsi in una net (IRC C&C) master C & C server attack a.b.c.d L infiltrato riceve i comandi dal master come tutti gli altri R. Paleari net 26

Infiltrarsi in una net (IRC C&C) master C & C server L infiltrato ha la possibilità di inviare comandi agli altri R. Paleari net 26

Infiltrarsi in una net (IRC C&C) master C & C server L infiltrato ha la possibilità di inviare comandi agli altri R. Paleari net 26

Infiltrarsi in una net (HTTP C&C) master C & C server R. Paleari net 27

Infiltrarsi in una net (HTTP C&C) master C & C server L infiltrato si collega al C&C server come un normale ma non è in grado di vedere tutti gli altri connessi (C&C pull) R. Paleari net 27

Infiltrarsi in una net (HTTP C&C) master C & C server attack a.b.c.d L infiltrato riceve i comandi dal master come tutti gli altri R. Paleari net 27

Infiltrarsi in una net (HTTP C&C) master C & C server L infiltrato non ha la possibilità di inviare comandi agli altri R. Paleari net 27

Infiltrarsi in una net (HTTP C&C) master C & C server L infiltrazione lato server permette di inviare comandi agli altri R. Paleari net 27

Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker R. Paleari net 28

Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker L infiltrato si collega alla rete P2P come un normale e cerca le chiavi R. Paleari net 28

Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker L infiltrato si collega al proxy e può vedere i comandi ricevuti dai R. Paleari net 28

Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker L infiltrato può elevarsi a proxy e pubblicizzarsi nella rete P2P R. Paleari net 28

Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker Il nuovo proxy accetta connessioni dai e riesce quindi ad enumerarli ed identificarli R. Paleari net 28

Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker Il nuovo proxy accetta connessioni dai e riesce quindi ad enumerarli ed identificarli R. Paleari net 28

Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker Il nuovo proxy accetta connessioni dai e riesce quindi ad enumerarli ed identificarli R. Paleari net 28

Infiltrarsi in una net (P2P C&C) Master server master attack a.b.c.d Proxy Overnet Worker Worker R. Paleari net 28

Infiltrarsi in una net (P2P C&C) Master server master attack a.b.c.d Proxy Overnet Worker Worker R. Paleari net 28

Infiltrarsi in una net (P2P C&C) Master server master attack a.b.c.d Proxy Overnet Worker Worker Il nuovo proxy ha pieno controllo dei ad esso collegati R. Paleari net 28

Diamo i numeri? Stimare la vera dimensione di una net non è semplice! Differenti stime della dimensione della net di Storm: 160K, 250K 1.000K, 1.000K 10.000K, 1.000K 50.000K R. Paleari net 29

Diamo i numeri? Stimare la vera dimensione di una net non è semplice! Differenti stime della dimensione della net di Storm: 160K, 250K 1.000K, 1.000K 10.000K, 1.000K 50.000K P2P / elevato numero di rendez vous point Indirizzo IP condiviso da più host (es., NAT) Host con indirizzi IP dinamici (es., dial-up, dhcp) R. Paleari net 29

Rogue CA Generazione di un certificato X509 (MD5) fasullo (colliding certificate): 1-2 giorni con un cluster di 200 PS3 8000 desktop CPU-core (20.000$) con Amazon E2C R. Paleari net 30

Rogue CA Generazione di un certificato X509 (MD5) fasullo (colliding certificate): 1-2 giorni con un cluster di 200 PS3 8000 desktop CPU-core (20.000$) con Amazon E2C Quanti minuti con una net delle dimensioni di Storm? R. Paleari net 30

Una net basata su Skype Network basato su P2P 33.7M utenti mediamente attivi ogni giorno (Q3 2008) SDK per lo sviluppo di plugin (manipolazione contatti, chiamate automatiche, etc.) P2P veramente robusto: software & protocollo closed-source con protezioni anti-reverse engineering R. Paleari net 31

Una net basata su Skype Network basato su P2P 33.7M utenti mediamente attivi ogni giorno (Q3 2008) SDK per lo sviluppo di plugin (manipolazione contatti, chiamate automatiche, etc.) P2P veramente robusto: software & protocollo closed-source con protezioni anti-reverse engineering R. Paleari net 31

net Domande? Roberto Paleari roberto@security.dico.unimi.it Università degli Studi di Milano R. Paleari net 32

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back