net Roberto Paleari roberto@security.dico.unimi.it Università degli Studi di Milano
Introduzione net: rete di macchine compromesse () controllate in modo centralizzato ed utilizzate per compiere attività illegali R. Paleari net 2
Il più potente supercomputer This doesn t seem to have received much attention, but the world s most powerful supercomputer entered operation recently. Comprising between 1 and 10 million CPUs (depending on whose estimates you believe), the Storm net easily outperforms the currently top-ranked system, BlueGene/L, with a mere 128K CPU cores. Peter Gutmann R. Paleari net 3
Fonte: Team Cymru Internet Malicious Activity Map R. Paleari net 4
Conficker (29/01/2009) 1.7 milioni di host compromessi Fonte: Team Cymru R. Paleari net 5
Conficker (29/01/2009) 1.7 milioni di host compromessi Fonte: Team Cymru R. Paleari net 5
net & spam Nome Dimensione Capacità di spam Conficker 9.000.000 10G/giorno Kraken 495.000 9G/giorno Srizbi 450.000 60G/giorno Rustock 150.000 30G/giorno Cutwail 125.000 16G/giorno Storm > 1.000.000 3G/giorno Grum 50.000 2G/giorno Mega-D 35.000 10G/giorno R. Paleari net 6
Non solo spam Analisi di 10 giorni di traffico di rete generato da Torpig: Unique IP Count 1.148.264 Unique Torpig keys (machines) 180.835 POP accounts 415.206 Email addresses 1.235.122 Passwords 411.039 Unique credit cards 875 Unique ATM pins 141 Unique social security numbers 21 R. Paleari net 7
Command & control R. Paleari net 8
Command & control Controllo centralizzato IRC Comandi pubblicati in canali IRC (irc.krienaicw.pl #djdjeiu) HTTP Comandi pubblicati in pagine web (http://www.myspace.com/angelairiejs/) R. Paleari net 8
Command & control Controllo centralizzato IRC Comandi pubblicati in canali IRC (irc.krienaicw.pl #djdjeiu) HTTP Comandi pubblicati in pagine web (http://www.myspace.com/angelairiejs/) Controllo distribuito P2P Comandi e/o indirizzo commander master pubblicati nella rete P2P R. Paleari net 8
Command & control Controllo centralizzato IRC Comandi pubblicati in canali IRC (irc.krienaicw.pl #djdjeiu) HTTP Comandi pubblicati in pagine web (http://www.myspace.com/angelairiejs/) Controllo distribuito P2P Comandi e/o indirizzo commander master pubblicati nella rete P2P Push vs. Pull Push I attendono in silenzio comandi dal commander Pull I interrogano continuamente il commander per sapere se ci sono nuovi compiti da svolgere R. Paleari net 8
net basate su IRC master C & C server R. Paleari net 9
net basate su IRC master C & C server I si (dis)connettono continuamente al C&C server R. Paleari net 9
net basate su IRC master C & C server I si (dis)connettono continuamente al C&C server R. Paleari net 9
net basate su IRC master attack a.b.c.d C & C server Il master invia il comando al C&C server R. Paleari net 9
net basate su IRC master C & C server Il C&C server inoltra il comando a tutti i connessi R. Paleari net 9
net basate su IRC master C & C server Eliminando il server C&C il master perde il controllo dei R. Paleari net 9
net basate su IRC master C & C server Rintracciare il master potrebbe non essere facile! (es., Coffe Shops) R. Paleari net 9
net basate su IRC master C & C servers Utilizzo di più C&C server in parallelo R. Paleari net 10
Quando un C&C server viene messo fuori uso i si collegano in automatico ai server rimanenti R. Paleari net 10 net basate su IRC master C & C servers
Quando un C&C server viene messo fuori uso i si collegano in automatico ai server rimanenti R. Paleari net 10 net basate su IRC master C & C servers
net basate su IRC master C & C servers Utilizzando più server C&C aumenta la capacità di sopravvivenza della net R. Paleari net 10
Distribuzione server C&C IRC (04/2008) Fonte: Team Cymru R. Paleari net 11
net basate su HTTP Identiche alle net basate su IRC C&C in modalità pull R. Paleari net 12
net basate su HTTP Identiche alle net basate su IRC C&C in modalità pull http://91.207.4.122/spm/s_tasks.php?id=468831... http://akhadqwd.blogspot.com/ http://www.myspace.com/sakjfuje/... <table> <tr> <td class="asjkdha">ddos www.bank.com</td> </tr> </table>... Il traffico C&C si mischia facilmente al traffico benigno Difficile da bloccare a livello rete Difficile da bloccare a livello DNS R. Paleari net 12
Distribuzione server C&C HTTP (04/2008) Fonte: Team Cymru R. Paleari net 13
Ciclo di vita di un (Phat) Host infetto Host vulnerabile C&C Server R. Paleari net 14
Ciclo di vita di un (Phat) Host infetto Connessione Host vulnerabile C&C Server Ricerca di nuove vittime (port scan) R. Paleari net 14
Ciclo di vita di un (Phat) Host infetto Exploit Host vulnerabile C&C Server Tentativo di exploit di 1 + vulnerabilità note (es., MS08-067) R. Paleari net 14
Ciclo di vita di un (Phat) Host infetto Egg download Host vulnerabile C&C Server Download di codice aggiuntivo (es., codice del, rootkit) R. Paleari net 14
Ciclo di vita di un (Phat) Host infetto Host infetto C&C Server Connessione al C&C server R. Paleari net 14
Ciclo di vita di un (Phat) Host infetto Host infetto Propagazione C&C Server R. Paleari net 14
Ciclo di vita di un (Phat) Host infetto Host infetto C&C Server Esecuzione di comandi ricevuti dal C&C server R. Paleari net 14
Rendez-vous point dinamici Come fanno i a trovare il C&C server? R. Paleari net 15
Rendez-vous point dinamici Come fanno i a trovare il C&C server? 1. Indirizzi IP hardcoded 2. FQDN hardcoded oppure generati dinamicamente (1 FQDN 1 + IP) 3. URL hardcoded oppure generati dinamicamente 4. Ricerca di chiavi in reti P2P R. Paleari net 15
Rendez-vous point dinamici Come fanno i a trovare il C&C server? 1. Indirizzi IP hardcoded 2. FQDN hardcoded oppure generati dinamicamente (1 FQDN 1 + IP) 3. URL hardcoded oppure generati dinamicamente 4. Ricerca di chiavi in reti P2P Per migliorare la capacità di sopravvivenza della net, è necessario mascherare e ridondare il più possibile i servizi chiave R. Paleari net 15
Impedire il rendez vous ACL a livello rete ACL a livello DNS ACL a livello HTTP DDoS contro C&C server? R. Paleari net 16
net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Protocollo P2P basato su Overnet (derivato da Kadmelia) R. Paleari net 17
net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Ricerca di chiavi nella rete P2P per localizzare i proxy (chiavi dinamiche pubblicate dai proxy e diffuse tramite P2P) R. Paleari net 17
net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Connessione al proxy e attesa di comandi (ad ogni chiave sono associati l IP e la porta di un proxy) R. Paleari net 17
net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Il worker si collega al proxy, si autentica e aspetta comandi R. Paleari net 17
net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Il proxy inoltra i comandi del master ai worker e vice versa R. Paleari net 17
net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Il proxy inoltra i comandi del master ai worker e vice versa R. Paleari net 17
net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker Il proxy inoltra i comandi del master ai worker e vice versa R. Paleari net 17
net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker I master server sono gestiti direttamente dal master e sono ospitati su server bullet-proof R. Paleari net 17
net basate su P2P (Storm) master Master server Proxy Overnet Worker Worker I worker con più risorse vengono elevati a proxy R. Paleari net 17
Rendez-vous point dinamici nella rete P2P R. Paleari net 18
Rendez-vous point dinamici nella rete P2P Reverse engineering! R. Paleari net 18
Conficker A/B net con C&C HTTP Rendez vous point generati dinamicamente (A: 5 TLD, B: 8 TLD, 250 domini al giorno) Diffusione tramite: MS08-67 (primo exploit rilasciato il 26/10/2008, patch rilasciata il 23/10/2008) network share (brute force password) USB (autorun) Exploit MS08-67 & connect back per scaricare il payload Pseudo-patch MS08-67 Host infettati (fonte SRI) A: 4.7M ( 1M attivi) B: 6.7M ( 3M attivi) R. Paleari net 19
Conficker A/B Funzionamento R. Paleari net 20
Conficker A/B Funzionamento R. Paleari net 20
Conficker C Derivato da Conficker B Nuova versione dell algoritmo di generazione dei domini per il rendez vous (110 TLD, 50.000 domini al giorno) R. Paleari net 21
Conficker C Derivato da Conficker B Nuova versione dell algoritmo di generazione dei domini per il rendez vous (110 TLD, 50.000 domini al giorno) ac, ae, ag, am, as, at, be, bo, bz, ca, cd, ch, cl, cn, co.cr, co.id, co.il, co.ke, co.kr, co.nz, co.ug, co.uk, co.vi, co.za, com.ag, com.ai, com.ar, com.bo, com.br, com.bs, com.co, com.do, com.fj, com.gh, com.gl, com.gt, com.hn, com.jm, com.ki, com.lc, com.mt, com.mx, com.ng, com.ni, com.pa, com.pe, com.pr, com.pt, com.py, com.sv, com.tr, com.tt, com.tw, com.ua, com.uy, com.ve, cx, cz, dj, dk, dm, ec, es, fm, fr, gd, gr, gs, gy, hk, hn, ht, hu, ie, im, in, ir, is, kn, kz, la, lc, li, lu, lv, ly, md, me, mn, ms, mu, mw, my, nf, nl, no, pe, pk, pl, ps, ro, ru, sc, sg, sh, sk, su, tc, tj, tl, tn, to, tw, us, vc, vn R. Paleari net 21
Conficker C Derivato da Conficker B Nuova versione dell algoritmo di generazione dei domini per il rendez vous (110 TLD, 50.000 domini al giorno) Supporto P2P Corretta vulnerabilità in MD6 Domain lookup prevention (di domini pericolosi) Disabilita anti-malware R. Paleari net 21
Conficker C Funzionamento R. Paleari net 22
Fast-flux service network R. Paleari net 23
Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 2 Agent 5 Agent 1 Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn Non-authoritative name server Victim R. Paleari net 23
Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 2 Agent 5 Agent 1 + A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn Non-authoritative name server Victim R. Paleari net 23
Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn Non-authoritative name server Victim R. Paleari net 23
Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn Agent 3 Agent 4 Agent 6 A? tje.mooffx.com.cn A 137.243.0.8 A... Non-authoritative name server Victim R. Paleari net 23
Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) Agent 5 Agent 1 Agent 2 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn A? tje.mooffx.com.cn GET /ind... Agent 3 Agent 4 Agent 6 A 137.243.0.8 A... Non-authoritative name server Victim R. Paleari net 23
Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) GET /ind... Agent 2 Agent 5 Agent 1 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn A? tje.mooffx.com.cn GET /ind... Agent 3 Agent 4 Agent 6 A 137.243.0.8 A... Non-authoritative name server Victim R. Paleari net 23
Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) GET /ind... Malware Agent 2 Agent 5 Agent 1 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn A? tje.mooffx.com.cn GET /ind... Agent 3 Agent 4 Agent 6 A 137.243.0.8 A... Non-authoritative name server Victim R. Paleari net 23
Fast-flux service network Authoritative name server (ns1.ktthe.com) Mother-ship (tje.mooffx.com.cn) GET /ind... Malware Agent 2 Agent 5 Agent 1 A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn A? tje.mooffx.com.cn Malware GET /ind... Agent 3 Agent 4 Agent 6 A 137.243.0.8 A... Non-authoritative name server Victim R. Paleari net 23
Fast-flux service network Agent 2 Agent 1 Agent 5 Agent 4 Agent 6 Agent 3 Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! R. Paleari net 24
Fast-flux service network Mother-ship Agent 2 Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta R. Paleari net 24
Fast-flux service network Authoritative name server Non-authoritative name server Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta Più domini vengono utilizzati dalla stessa net (non basta chiudere un dominio) R. Paleari net 24
Fast-flux service network Authoritative name server Mother-ship Agent 2 Agent 1 Agent 5 Agent 4 Agent 6 Agent 3 Non-authoritative name server Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta Più domini vengono utilizzati dalla stessa net (non basta chiudere un dominio) R. Paleari net 24
Fast-flux service network Authoritative name server Mother-ship Agent 2 Agent 1 Agent 5 http://fluxor.laser.dico.unimi.it 121.000 fast-flux FQDN 360.000 host coinvolti Agent 4 Agent 6 Agent 3 Non-authoritative name server Victim Gli agenti () offline, disinfettati o problematici vengono immediatamente rimpiazzati da altri La net è tipicamente composta da milioni di agenti! L identità dei componenti chiave dell infrastruttura illegale è ben protetta Più domini vengono utilizzati dalla stessa net (non basta chiudere un dominio) R. Paleari net 24
Fast-flux service network e truffe via web Descrizione # Email processate 144952 URL estratti 34466 FQDN attivi 29368 Fast-flux service network 9988 Agenti Fast-flux 162855 net Fast-flux 25 R. Paleari net 25
Fast-flux service network e truffe via web net # agenti # FFSN European Pharmacy 65043 3950 Halifax Online Banking 46772 1 Digital Shop 20069 17 Royal Casino 15078 34 Royal VIP Casino 8665 16 Euro Dice Casino 7667 28 R. Paleari net 25
Fast-flux service network e truffe via web net # spam email % spam (rispetto al totale) European Pharmacy 12056 8.32% SwissWatchesDirect 3330 2.30% RXNET 2558 1.76% MaxHerbal 1897 1.31% Altre FFSN 6395 4.41% Totale 144952 18.10% R. Paleari net 25
Fast-flux service network e truffe via web 3950 FQDN 65043 /Agenti 8.32% dello spam R. Paleari net 25
Infiltrarsi in una net (IRC C&C) master C & C server R. Paleari net 26
Infiltrarsi in una net (IRC C&C) master C & C server L infiltrato si collega al C&C server come un normale ed è in grado di vedere tutti gli altri connessi R. Paleari net 26
Infiltrarsi in una net (IRC C&C) master C & C server attack a.b.c.d L infiltrato riceve i comandi dal master come tutti gli altri R. Paleari net 26
Infiltrarsi in una net (IRC C&C) master C & C server L infiltrato ha la possibilità di inviare comandi agli altri R. Paleari net 26
Infiltrarsi in una net (IRC C&C) master C & C server L infiltrato ha la possibilità di inviare comandi agli altri R. Paleari net 26
Infiltrarsi in una net (HTTP C&C) master C & C server R. Paleari net 27
Infiltrarsi in una net (HTTP C&C) master C & C server L infiltrato si collega al C&C server come un normale ma non è in grado di vedere tutti gli altri connessi (C&C pull) R. Paleari net 27
Infiltrarsi in una net (HTTP C&C) master C & C server attack a.b.c.d L infiltrato riceve i comandi dal master come tutti gli altri R. Paleari net 27
Infiltrarsi in una net (HTTP C&C) master C & C server L infiltrato non ha la possibilità di inviare comandi agli altri R. Paleari net 27
Infiltrarsi in una net (HTTP C&C) master C & C server L infiltrazione lato server permette di inviare comandi agli altri R. Paleari net 27
Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker R. Paleari net 28
Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker L infiltrato si collega alla rete P2P come un normale e cerca le chiavi R. Paleari net 28
Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker L infiltrato si collega al proxy e può vedere i comandi ricevuti dai R. Paleari net 28
Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker L infiltrato può elevarsi a proxy e pubblicizzarsi nella rete P2P R. Paleari net 28
Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker Il nuovo proxy accetta connessioni dai e riesce quindi ad enumerarli ed identificarli R. Paleari net 28
Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker Il nuovo proxy accetta connessioni dai e riesce quindi ad enumerarli ed identificarli R. Paleari net 28
Infiltrarsi in una net (P2P C&C) master Master server Proxy Overnet Worker Worker Il nuovo proxy accetta connessioni dai e riesce quindi ad enumerarli ed identificarli R. Paleari net 28
Infiltrarsi in una net (P2P C&C) Master server master attack a.b.c.d Proxy Overnet Worker Worker R. Paleari net 28
Infiltrarsi in una net (P2P C&C) Master server master attack a.b.c.d Proxy Overnet Worker Worker R. Paleari net 28
Infiltrarsi in una net (P2P C&C) Master server master attack a.b.c.d Proxy Overnet Worker Worker Il nuovo proxy ha pieno controllo dei ad esso collegati R. Paleari net 28
Diamo i numeri? Stimare la vera dimensione di una net non è semplice! Differenti stime della dimensione della net di Storm: 160K, 250K 1.000K, 1.000K 10.000K, 1.000K 50.000K R. Paleari net 29
Diamo i numeri? Stimare la vera dimensione di una net non è semplice! Differenti stime della dimensione della net di Storm: 160K, 250K 1.000K, 1.000K 10.000K, 1.000K 50.000K P2P / elevato numero di rendez vous point Indirizzo IP condiviso da più host (es., NAT) Host con indirizzi IP dinamici (es., dial-up, dhcp) R. Paleari net 29
Rogue CA Generazione di un certificato X509 (MD5) fasullo (colliding certificate): 1-2 giorni con un cluster di 200 PS3 8000 desktop CPU-core (20.000$) con Amazon E2C R. Paleari net 30
Rogue CA Generazione di un certificato X509 (MD5) fasullo (colliding certificate): 1-2 giorni con un cluster di 200 PS3 8000 desktop CPU-core (20.000$) con Amazon E2C Quanti minuti con una net delle dimensioni di Storm? R. Paleari net 30
Una net basata su Skype Network basato su P2P 33.7M utenti mediamente attivi ogni giorno (Q3 2008) SDK per lo sviluppo di plugin (manipolazione contatti, chiamate automatiche, etc.) P2P veramente robusto: software & protocollo closed-source con protezioni anti-reverse engineering R. Paleari net 31
Una net basata su Skype Network basato su P2P 33.7M utenti mediamente attivi ogni giorno (Q3 2008) SDK per lo sviluppo di plugin (manipolazione contatti, chiamate automatiche, etc.) P2P veramente robusto: software & protocollo closed-source con protezioni anti-reverse engineering R. Paleari net 31
net Domande? Roberto Paleari roberto@security.dico.unimi.it Università degli Studi di Milano R. Paleari net 32