Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Cursul XIII. Securitate WLAN.
Botnets
SSA cursul 13 - M. Joldos - T.U. Cluj 1
Reţele wireless. Tipuri� Infrastructură
� Maşinile client stabilesc o conexiune radio cu un dispozitiv special numit punct de acces (access point, AP)
� AP sunt conectate la rețele cu fir, ceea ce furnizează un gateway spre internet
� Sunt cele mai mai comune
� Peer-to-peer� Mai multe maşini se interconectează� Folosite de obicei în reţele adhoc şi la partajarea
conexiunii internet
SSA cursul 13 - M. Joldos - T.U. Cluj 2
SSID� Pot coexista mai multe reţele wireless
� Fiecare reţea este identificată printr-un Service Set ID (SSID) de 32 caractere
� SSID implicit tipic este numele producătorului� SSIDs sunt difuzate adesea pentru a permite clienţilor potenţiali să
descopere reţeaua� SSIDs nu sunt semnate, permit atac prin falsificare (spoofing
attack)� Se amplasează un AP neautorizat într-o locaţie publică (d.e., cafenea,
aeroport)� Se foloseşte SSID-ul unui ISP� Se pregăteşte o pagină de login asemănătoare cu a ISP� Se aşteaptă ca clienții să se conecteze la AP şi să se autentifice� Eventual se înaintează sesiunea spre reţeaua ISP� Atacul este facilitat de valorile implicite de conectare automată
SSA cursul 13 - M. Joldos - T.U. Cluj 3
Securitatea WLAN
� IEEE 802.11� Set de standarde pentru comunicarea în WLAN în benzile de
5 GHz şi 2.4 GHz.� Cele mai populare: 802.11b, 802.11g.� Securitate slabă la început
� Securitatea 802.11� Două subsisteme:
� Tehnică de încapsulare a datelor numită WEP(Wired Equivalent Privacy)
� Algoritm de autentificare cu cheie partajată (Shared Key Authentication)
� Slăbiciuni severe în WEP.� WPA, WPA2, 802.11i
SSA cursul 13 - M. Joldos - T.U. Cluj 4
Trasul cu urechea şi falsificarea
MAC� Întregul trafic poate fi ascultat
� Se foloseşte de obicei “autentificarea” bazată pe MAC pentru identificarea maşinilor aprobate în reţea
� Sunt posibile atacuri bazate pe falsificarea adresei de MAC, ca în reţelele cu fir
� Sesiunile sunt menţinute active după deconectări scurte
� Dacă clientul ISP nu termină o sesiune explicit, falsificarea MAC permite preluarea sesiunii
SSA cursul 13 - M. Joldos - T.U. Cluj 5
Wardriving şi warchalking� Cautarea de WLAN-uri (din maşină)
� Unii folosesc GPS pentru a jurnaliza locaţiile descoperite, apoi le postează online
� Software utilizabil în acest scop: NetStumbler(Windows), KisMac (Macs) Kismet (Linux)
� Se folosesc antenele pentru a mări zona de descoperire
� Legea este neclară dacă nu sunt transmise informaţii şi nu se folosesc servicii de reţea
� Warchalking implică scrierea de marcaje pe trotuar pentru a indica reţelele fără fir şi info asociate lor
SSA cursul 13 - M. Joldos - T.U. Cluj 6
WEP� Setup
� AP şi clientul partajează cheia de 40 biţi, K
� Cheia nu se schimbă într-o sesiune WEP
� Cifrarea� Se calculează suma de
control CRC-32 a mesajului M
� Se alege in vector de iniţializare de 24 biţi, IV
� Se creează textul cifratC = (M || crc(M)) ⊕
S(K,IV)
� Autentificarea clientului� AP trimite o provocare
aleatoare în clar spre client
� Clientul răspunde cu provocarea criptată
� Transmisia� Se trimite IV || C
SSA cursul 13 - M. Joldos - T.U. Cluj 7
Punctele slabe ale WEP
SSA cursul 13 - M. Joldos - T.U. Cluj 8
Generator de numere pseudo-
aleatoare
Cheie de criptare, K
Octet aleator, b
⊕⊕⊕⊕Octet de date text în clar, p
Octet de date text cifrat, c
c1 = p1 ⊕⊕⊕⊕ b c2 = p2 ⊕⊕⊕⊕ b
Când p1 şi p2 sunt cifrate cu acelaşi octet “aleator”, b:
c1 ⊕⊕⊕⊕ c2 = (p1 ⊕⊕⊕⊕ b) ⊕⊕⊕⊕ (p2 ⊕⊕⊕⊕ b) = p1 ⊕⊕⊕⊕ p2
Atacul prin modificarea mesajului� Modificarea mesajului
� Fiind dat un şir arbitrar, dorim să înlocuim mesajul M cu M ⊕ z
� Omul la mijloc înlocuieşte textul cifrat C cu C’= C ⊕ (z ||crc(z))
� Înlocuirea textului ţintă� Este posibilă dacă ştim poziţia textului în mesaj� D.e, schimbarea datei în email
� Motivul vulnerabilităţii� Suma de control CRC se dsitribuie peste XOR (C = (M ||
crc(M)) ⊕ S(K,IV))� CRC nu este o funcţie de dispersie criptografică
SSA cursul 13 - M. Joldos - T.U. Cluj 9
Atacul cu redirectarea IP� Atacatorul convinge AP să
decripteze pachetul� Metoda:
� Se ascultă un pachet IP care intră (inbound)
� Se retrimite pachetul la maşina externă controlată de atacator
� Se recepţionează pachetul decriptat de AP
� Se repetă cu pachete în ieşire (outbound)
� Se ghiceşte adresa destinaţie � Din subreţeaua LAN
� Se schimbă adresa desstinaţie� Se modifică destinaţia
originală D spre maşina externă D’ controlată de atacator
� Se foloseşte metoda de modificare anterioară
� Se schimbă suma de control a pachetului� Diferenţa între suma nouă şi
cea veche este cunoscutăx’− x= (D’H + D’L) − (DH + DL)� Se ghiceşte x’⊕ x
� Succes după câteva încercări
SSA cursul 13 - M. Joldos - T.U. Cluj 10
Vectori de iniţializare (IV) refolosiţi� IV refolosiţi implică refolosirea cheii (keystream=secvenţă
pseudo-aleatoare de caractere) � Atacatorul obţine XOR a două mesaje� Atacatorul poate recupera şi mesajele şi cheia� Cheia recuperată se pot folosi la injecţia de trafic
� IV implicit� Câteva implementări cu greşeli a generării IV� D.e. Pornirea de la zero la pornirea dispozitivului şi apoi
incrementare repetată cu unu� IV aleator
� Lungimea mică (24 biţi) duce la repetare în scurt timp chiar dacă IV este generat aleator
� D.e. Se aşteaptă coliziuni cu probabilitate mare după 212 ≅ 4000 de transmisii
SSA cursul 13 - M. Joldos - T.U. Cluj 11
Falsificarea autentificării� Atacatorul vrea să se dea drept un client legitim
� Nu cunoaşte cheia secretă K
� Poate asculta mesajele de autentificare
� Atacul� Obţine provocarea R şi cea criptată
C = (R || crc(R)) ⊕ S(K,IV)
� Calculează cheia S(K,IV) = (R || crc(R)) ⊕ C
� Refoloseşte cheia S(K,IV) la recepţia mesajului provocare de la AP
SSA cursul 13 - M. Joldos - T.U. Cluj 12
Wi-Fi Protected Access: WPA, WPA2
� WPA� Implementează parţial IEEE 802.11i� Cifru flux RC4 cu cheie de 128-biţi şi vector de iniţializare (IV) de
48-bit.� Suportă şi alte feluri de autentificare (d.e. Nume şi parolă)� Schimbă dinamic cheile în sesiune� Are o metodă criptografică de verificare a integrităţii� Contor pentru cadre pentru a preveni atacurile cu reluare
� WPA2� Implementează obligatoriu 802.11i� Criptare, gestiunea cheilor, integritate� MAC furnizat de Counter Mode with Cipher Block Chaining
(CCMP), algoritm bazat pe AES
SSA cursul 13 - M. Joldos - T.U. Cluj 13
Temporal Key Integrity Protocol(TKIP)
& Message Integrity Code(MIC)
� TKIP
-amestecarea per-packet a cheii
-verificarea integrităţii mesajului
-mecanism de “rekeying”
� MIC este numit şi MAC (message authentication code)
SSA cursul 13 - M. Joldos - T.U. Cluj 14
CCMP: AES
� Counter Mode with Cipher Block Chaining Message Authentication Code Protocol
� Gestiunea cheilor şi integritatea mesajelor se face într-o singură componentă construită în jurul AES
� Advanced Encryption Standard� Cifru bloc
� SubBytes, ShiftRows, MixColumns, AddRoundKey
� Singurele atacuri care pot avea succes: atacuri asupra implementării fizice
SSA cursul 13 - M. Joldos - T.U. Cluj 15
Protocoale WAP
� Wireless Application Protocol
� Aplicaţii principale: pentru telefoane mobile şi PDA, � Dispozitive cu putere de prelucrare redusă şi
memorie relativ mică.
� Reţele fără fir cu lărgime de bandă mică.
� De la nivelul transport la nivelul aplicaţie
SSA cursul 13 - M. Joldos - T.U. Cluj 16
Stive WAP
� WML: Wireless Markup Language
� WSP: Wireless Session Protocol
� WTP: Wireless Transport Protocol
� WTLS: Wireless Transport Layer Security
� WCMP: Wireless Control Management Protocol
� WDP: Wireless Datagram Protocol
SSA cursul 13 - M. Joldos - T.U. Cluj 17
Moduri nerecomandate de securizare a
WLAN
� “Autentificare” prin MAC
� “Ascunderea” SSID (Service Set IDentifier)
� Dezactivarea DHCP
� Amplasarea antenei şi suprimarea semnalului
� Folosirea WLAN bazate pe 802.11a sau Bluetooth
SSA cursul 13 - M. Joldos - T.U. Cluj 18
Moduri nerecomandate de securizare a WLAN.
“Autentificarea” prin MAC
� Nu este de fapt autentificare
� Tot ce se întâmplă este filtrarea adresei MAC
� Adresele MAC sunt transmise în clar
� Extrem de uşor de captat
� Extrem de uşor de clonat şi învins
� Extrem de dificil de gestionat filtrarea MAC
SSA cursul 13 - M. Joldos - T.U. Cluj 19
Moduri nerecomandate de securizare a
WLAN. Falsificarea MAC
SSA cursul 13 - M. Joldos - T.U. Cluj 20
Moduri nerecomandate de securizare a
WLAN. “Ascunderea” SSID
� SSID nu se poate “ascunde”
� Tot ce se întâmplă este suprimarea semnalului “far” al punctului de acces
� Patru alte emisii SSID nu sunt suprimate� Probe requests
� Probe responses
� Association requests
� Re-association requests
� SSIDs trebuie transmise în clar; altfel 802.11 nu poate funcţiona
SSA cursul 13 - M. Joldos - T.U. Cluj 21
Moduri nerecomandate de securizare a
WLAN. Dezactivarea DHCP
� Dezactivarea DHCP (Dynamic Host Configuration Protocol) şi forţarea folosirii adreselor IP statice nu ajută
� Schemele IP folosite sunt uşor de descoperit de vreme ce adresele IP sunt trimise în clar
� Durează mai puţin de 1 minut să se determine schema de adresare şi să se introducă o adresă IP statică
SSA cursul 13 - M. Joldos - T.U. Cluj 22
Moduri nerecomandate de securizare a WLAN.
Amplasarea antenei şi suprimarea semnalului
� Amplasarea antenei şi suprimarea semnalului nucriptează datele
� Antena hackerului e mai bună
� Antenele direcţionale cu câştig mare pot culege semnale slabe de la kilometri distanţă
� Scăderea puterii de emisie poate afecta utilizatorii legitimi mai mult decât pe atacatori
� Vopselele/tapetele speciale Wi-Fi nu sunt 100% sigure şi sunt foarte scumpe
SSA cursul 13 - M. Joldos - T.U. Cluj 23
Moduri nerecomandate de securizare a WLAN.
Trecerea la 802.11a sau la BLuetooth
� 802.11a este un mecanism de transport asemănător lui 802.11b sau 802.11g
� 802.11a nu are nimic de a face cu securitatea
� Dacă hackerul are echipament capabil de 5 GHz 802.11a ...
� Bluetooth este mai mult o alternativă wireless USB� Se poate folosi la reţele wireless dar nu a fost proiectat ca
înlocuitor pentru 802.11.x
SSA cursul 13 - M. Joldos - T.U. Cluj 24
Uneltele hackerului de wireless� Software
� Auditor CD
� Kismet
� ASLEAP
� Void11, Aireplay, Airedump, and Aircrack
� Hardware� Adaptoare de cardbus ieftine, compatibile
� Antene omnidirecţionale cu câştig mare
� Antene direcţionale cu câştig mare
� Laptop
SSA cursul 13 - M. Joldos - T.U. Cluj 25
Uneltele hackerului de wireless. Auditor CD
� Linux CD bootabil cu toate uneltele de securitate
� Tot ce e nevoie pentru a penetra majoritatea reţelelor LAN wireless şi înca altele
� Menţionat ca favorit al FBI
� Relativ uşor de folosit
SSA cursul 13 - M. Joldos - T.U. Cluj 26
Uneltele hackerului de wireless. Kismet
� Kismet este o unealtă de audit pentru LAN wireless sub UNIX
� Poate “vedea” SSIDs ascunse
� Poate vedea adrese MAC
� Poate vedea scheme IP
� Poate captura pachete în stare brută
� Există interfaţă grafică
SSA cursul 13 - M. Joldos - T.U. Cluj 27
Uneltele hackerului de wireless. ASLEAP
� ASLEAP sparge autentificarea Cisco LEAP� Exploatează autentificarea slabă din MSCHAPv2 (Microsoft
Challenge-Handshake Authentication Protocol� Foloseşte tabele de dispersie indexate precalculate� Verifică 45 milioane de parole pe secundă� Actualizat să suporte spargerea PPTP (Point to point
tunneling protocol) VPN
SSA cursul 13 - M. Joldos - T.U. Cluj 28
Uneltele hackerului de wireless. Void11, Aireplay, Airedump, and Aircrack� Set nou de unelte care sporeşte viteza de spargere a
WEP
� Void11 forţează utilizatorii să se re-autentifice
� Aireplay monitorizează sesiunea de reautentificare căutând cereri ARP (Address resolution protocol) şi apoi redă cererea pentu a declanşa răspunsuri de la maşini legitime
� Airedump capturează toate pachetele în stare brută
� Aircrack are nevoie doar de cca 200,000 pachete în loc de 10,000,000 necesare uneltelor anterioare lui
SSA cursul 13 - M. Joldos - T.U. Cluj 29
Cele mai bune căi de securizare a
WLAN � Criptografia de calitate permite comunicaţii sigure
peste medii de comunicare nesigure
� Urmaţi principile de cele mai bune practici criptografice� Autentificare tare
� Cifrare tare
� Standardele WPA şi WPA2
SSA cursul 13 - M. Joldos - T.U. Cluj 30
Cele mai bune căi de securizare a
WLAN. Autentificarea tare
� Este adesea trecută cu vederea
� Metodele de autentificare sigure folosesc toate tunele SSL sau TLS
� TLS este succesorul lui SSL
� SSL sau TLS necesită certificate digitale
� Certificatele digitale implică de obicei o formă de PKI şi de gestiune a certificatelor
SSA cursul 13 - M. Joldos - T.U. Cluj 31
Cele mai bune căi de securizare a
WLAN. Autentificarea tare
� WLANs folosesc de obicei 802.1x şi EAP (Extensible Authentication Protocol)
� Tipurile standard uzuale de EAP sunt EAP-TLS(Transport Layer Security), EAP-TTLS (Tunneled Transport Layer Security) şi PEAP (Protected EAP)
� LEAP (Lightweight EAP) şi EAP-FAST nu sunt standard
� EAP-TLS necesită certificate server şi client
� EAP-TTLS şi PEAP necesită doar certificate pe partea de client
SSA cursul 13 - M. Joldos - T.U. Cluj 32
Cele mai bune căi de securizare a WLAN.
Autentificarea tare şi serverele RADIUS
� Autentificarea EAP necesită suport RADIUS (Remote Authentication in Dial-In User Service) în punctul de acces şi unul sau mai multe servere RADIUS
� Microsoft Windows 2003+ Server are o componentă RADIUS complet funcţională numită IAS� Suportă EAP-TLS şi PEAP
� Windows 2000 suportă doar EAP-TLS
� Se integrează uşor în domenii NT sau Active Directory
� Open source FreeRadius suportă o gamă largă de tipuri EAP
SSA cursul 13 - M. Joldos - T.U. Cluj 33
Cele mai bune căi de securizare a
WLAN. Criptarea tare
� Criptarea este bine înţeleasă
� Nu se cunosc metode de spargere a criptării de calitate
� 3DES este încă considerată solidă, dar este lentă
� AES este succesorul oficial al DES şi este solid la 128, 192, sau 256 bits
SSA cursul 13 - M. Joldos - T.U. Cluj 34
Cele mai bune căi de securizare a
WLAN. Criptarea tare în WLAN� RC4 este cunoscut ca slab
� WEP foloseşte o formă de criptare RC4
� WEP dinamic face mai dificilă spargerea WEP
� TKIP este un algoritm WEP rescris
� Nu sunt cunoscute metode împotriva TKIP, dar există atacuri la orizont posibile teoretic
� Criptarea AES, obligatorie în cele mai noi standarde WLAN, este solidă
SSA cursul 13 - M. Joldos - T.U. Cluj 35
Cele mai bune căi de securizare a
WLAN. Standardele WPA şi WPA2� WPA a folosit o versiune redusă a 802.11i
� WPA2 foloseşte standardul 802.11i ratificat
� WPA şi WPA2 sunt tipuri EAP certificate� EAP-TLS (primul certificat)
� EAP-TTLS
� PEAPv0/EAP-MSCHAPv2 (cunoscut ca PEAP)
� PEAPv1/EAP-GTC
� EAP-SIM
� WPA necesită capabilitate TKIP cu AES opţional
� WPA2 necesită atât capabilitate TKIP cât şi AES
SSA cursul 13 - M. Joldos - T.U. Cluj 36
Reţele de bots
SSA cursul 13 - M. Joldos - T.U. Cluj 37
Ce sunt botnets� Botnet = rețea de roboți software (bots) care rulează pe
mașini "zombie" și sunt controlaţi de rețele de comandă și control (C&C)� Compoziţie: min 1 bot server/controlor și 1+ clienţi bot, de
obicei de ordinul miilor.� Partea principală a fiecărui client bot: un interpretor de
comenzi care este capabil să primească comenzi independent și să le execute.
� Abilitate fundamentală: de a acționa coordonat împreună cu toate/unele părți ale botnet.
� Gestionată de un comandant (botherder/botmaster).� Avantajoase pentru hackeri: botnets pot executa ordine pe
mașini care nu le sunt conectate direct => este dificilă investigarea și urmărirea în justiție
SSA cursul 13 - M. Joldos - T.U. Cluj 38
Statistici (disputate)� Numărul total de botnets și dimensiunea lor sunt
controversate� 2005/6: sute de mii de bots
� 1/4 dintre mașini sunt actualmente parte a botnets
� rețelele cresc rapid
� Unele surse susţin că rețelele își reduc dimensiunile� pentru a evita detectarea
SSA cursul 13 - M. Joldos - T.U. Cluj 39
Ciclul de viață al unei botnet
SSA cursul 13 - M. Joldos - T.U. Cluj 40
Mașina este exploatată și devine bot
Noua mașină se alătură
celorlaltor și informează deținătorul
Descarcă modulul anti AV
Securizează noul client
bot
Ascultă comenzile
de la serverul/perechea de
C&C
Obține modulul cu încărcatura
Execută comenzile
Raportează rezultatul
la C&C
La comandă șterge dovezile
și abandon
ează clientul
Comportamente de atac� Infectarea unor noi maşini
� Folosesc ingineria socială şi distribuţia de email rău intenţionat sau alte forme de comunicare electronică (d.e. Instant Messaging)
� Exemplu - Email trimis cu cod de botnet deghizat ca ataşament inofensiv.
� Furtul de informaţii personale� Folosesc tehnologiile de jurnalizare a tastării (Keylogger) şi ascultare a
traficului de reţea (Network sniffing) pe sistemele compromise pentru a spiona utilizatorii şi a culege informaţie cu caracter personal
� Proxy pentru phishing şi pentru email mesolicitat (spam)� Puterea de calcul agregată şi capabilitatea proxy permit surselor de mail
nesolicitat să afecteze grupuri mai mari fără a fi depistaţi.
� Refuzul servirii, distribuit (DDoS)� Afectează sau elimină disponibilitatea unei reţele pentru a extroca sau a
întrerupe afacerile
� Notă: Phishing = cale de obţinere de informaţii cum sunt nume de utilizatori, parole sau detalii ale carţilor de credit prin deghizarea ca entităţi de încredere în comunicatii electronice.
SSA cursul 13 - M. Joldos - T.U. Cluj 41
Cum sunt infectate maşinile� Vulnerabilităţi ale SO
� Exploatări
� Nu este nevoie de utilizator
� Pot fi blocate de pereţii antifoc şi sisteme de pevenire a intruziunilor pe gazdă
� Atacuri pe partea de client� Descărcătoare nesolicitate trimise prin mail sau IM
� La rulare instalează bot
� Situri hăcuite
� Exploatează factorul uman
SSA cursul 13 - M. Joldos - T.U. Cluj 42
Comanda şi Controlul (C&C)� Esenţială pentru funcţionarea şi suportul botnet� Trei feluri – Centralizată, P2P şi Randomizată (ultima,
model teoretic)� Cea mai slabă verigă a botnet, deoarece:
� Eliminarea botmaster distruge botnet� Nivelul ridicat al activităţii botmaster îl face mai uşor
detectabil decât pe bots
� C&C Centralizată� Simplu de desfăşurat (deploy), ieftină, latenţă mică
pentru atacuri la scară mare� Cel mai uşor de eliminat
SSA cursul 13 - M. Joldos - T.U. Cluj 43
Trei paşi de autentificare
� Bot spre IRC Server
� IRC Server spreBot
� Botmaster spreBot
SSA cursul 13 - M. Joldos - T.U. Cluj 44(*) : Pas opţional
Exemplu de C&C Centralizată
C&C Peer to Peer� Caracteristici:
� Rezistentă la căderi, greu de descoperit, greu de apărat. � Face dificilă lansarea atacurilor la scară mare deoarece tehnologiile P2P
suportă actualmente doar grupuri foarte mici (< 50 peers)� Exemplu: Folosirea reţelei Overnet de către botnet Storm (din oct.
2007)este extrem de dinamică. Peers vin şi pleacă şi îşi pot schimba OIDs (Overnet Identifier) frecvent. Pentru a sta “bine conectaţi” peers trebuie să se caute pe sine pentru a găsi peers apropiaţi
SSA cursul 13 - M. Joldos - T.U. Cluj 45
Nod Stor
m
Bootstrapping Peer
Round 2
Round 1
Round 4
Round 3
SSA cursul 13 - M. Joldos - T.U. Cluj 46
Connect:
Folosit de un peer pentru a raporta OID propriu la alţi peers şi a primi o listă de peers relativ apropiati de acesta.
Search:
Folosite de un peer pentru a afla resurse pe alte noduri pe baza OID.
Publicize:
Folosite de un peer pentru a raporta proprietatea resurselor reţelei (OIDs) astfel ca alţi peers să poată găsi ulterior resursa
Transmiterea mesajelor în Overnet
(Message Passing)� Overnet are trei tipuri de mesaje de bază pentru a
facilita functionarea corespunzătoare a reţelei:
SSA cursul 13 - M. Joldos - T.U. Cluj 47
Mecanisme de adunare (rallying)�Adrese de IP pre-construite (hard-coded)
� Bot comunică folosind adrese IP ale C&C preconstruite. � Uşor de apărat împotriva acerstei tehnici deoarece adresele IP sunt uşor de
detectat şi blocat.
� Nume de domeniu DNS dinamice� Domenii C&C preconstruite atribuite de furnizori de DNS dinamic. � Detecţia mai dificilă atunci când botmaster îşi schimbă aleator locaţia� Este uşor de reluat atacul cu un alt nume de domeniu, neblocat� Dacă conexiunea eşuează, bot face cereri DNS pentru a obţine noua adresă
C&C pentru redirectare.
� Serviciu DNS distribuit� Cel mai greu de detectat şi distrus. Cel mai nou. Sofisticat.� Botnets rulează servicii DNS la care autorităţile nu pot ajunge� Bots folosesc adresele de DNS pentru a rezolva serverele de C&C� Folosesc numere mari de porturi pentru a evita detectarea de către
dispozitivele de securitate şi de către gateways
SSA cursul 13 - M. Joldos - T.U. Cluj 48
Protocoale de comunicare� În majoritatea cazurilor botnets folosesc protocoale de
comunicare bine definite şi acceptate. Înţelegerea acestor protocoale:� Ajută la determinarea originii unui atac botnet şi a software
folosit� Permite cercetătorilor să decodifice conversaţiile dintre
bots şi stăpâni
� Două protocoale de comunicare principale folosite la atacuri bot:� IRC � HTTP
SSA cursul 13 - M. Joldos - T.U. Cluj 49
IRC (Internet Relay Chat)� 1988 - pentru conversatii unul-la-mai-mulţi sau mai-
mulţi-la-mai-multi, (dar poate şi unul-la-unul) (Pentru BBS)
� Client/server -- TCP Port 6667
� Se folosesc canale (uneori protejate prin parole) pentru comunicarea între părţi� Mod invizibil
(fară listare, incognito)
� Doar pe bază de invitaţie(trebuie sa fii invitat ca să participi)
SSA cursul 13 - M. Joldos - T.U. Cluj 50
Protocoale de comunicare. IRC� Botnets IRC au fost versiunea predominantă� Majoritatea reţelelor corporaţiilor nu permit trafic
IRC astfel că cererile IRC pot determina dacă e bot intern sau extern� Cererile IRC spre exterior (outbound) indică prezenţa unei
maşini infectate pe reţea� Cererile IRC spre interior (inbound) semnifică recrutarea
unei maşini din reţea
SSA cursul 13 - M. Joldos - T.U. Cluj 51
Protocoale de comunicare. HTTP � Din cauza prevalenţei folosirii HTTP este mai greu de
urmărit o botnet care utilizează protocoale HTTP
� Folosirea HTTP poate permite unei botnet să evite restricţiile pereţilor antifoc care afectează botnets peIRC
� Detectarea botnets HTTP este mai dificilă, dar nu imposibilă deoarece câmpurile de antet şi încărcătura nu se potrivesc cu transmisiile uzuale
� Opţiuni nou aparute sunt protocoalele IM şi P2P – se aşteapta ca folosirea acestora să crească în viitor
SSA cursul 13 - M. Joldos - T.U. Cluj 52
Exemplu de botnet HTTP: Fast-flux Networks
SSA cursul 13 - M. Joldos - T.U. Cluj 53
� Schemă folosită uzual� Utilizată pentru a controla botnets cu sute sau chiar mii de
noduri
Infrastructura de C&C. Botnet HTTP� Bot ia legătura cu serverul C&C cu info proprie inclusă în URL
� Atacatorii trimit comenzi via răspunsul HTTP.
SSA cursul 13 - M. Joldos - T.U. Cluj 54
Infrastructura de C&C. Botnet IM� Trimite comanda tuturor bots din lista via IM
� Botmaster trimite doar un număr mic de mesaje� Fiecare destinatar trimite la contactele proprii
SSA cursul 13 - M. Joldos - T.U. Cluj 55
Comportamente observabile� Trei categorii:
� Bazate pe reţea� Corelate global� Bazate pe gazdă
� Bazate pe gazdă: comportamentul Botnet se poate observa pe maşina gazdă.� Prezintă activităţi asemănătoare viruşilor� La executare, Botnets lansează o secvenţa de rutine:
� Modifică registries� Modifică fişiere sistem� Crează conexiuni necunoscute în reţea� Dezafectează programele antivirus
SSA cursul 13 - M. Joldos - T.U. Cluj 56
Comportamente observabile. Bazate pe reţea
� Şabloanele observate pe reţea se pot folosi la detectarea Botnets� IRC & HTTP sunt cele mai comune forme de comunicare a
Botnets� Detectabile prin identificarea şabloanelor de trafic anormal.
� Comunicaţii IRC în zone nedorite� Conversaţii IRC neinteligibile
� Numele de domeniu DNS� Interogări DNS pentru localizarea serverului C&C� Gazde care interoghează nume de domeniu improprii� O adresă IP asociata unui nume de domeniu se schimbă
periodic� Traficul
� În salve uneori, inexistent mai tot timpul� Răspunsuri anormal de rapide comparativ cu cele umane� Atacuri (d.e: DoS) – Multe pachete de TCP SYN nevalide cu
adrese sursă nevalide
SSA cursul 13 - M. Joldos - T.U. Cluj 57
Comportamente observabile. Corelate global
� Caracteristicile globale sunt legate de fundamente. Botnets� E improbabil să se schimbe dacă nu se re-proiectează şi
re-implementează� Cea mai valoroasă cale de detecţie
� Comportamentul este la fel indiferent dacă botnetscomunică via IRC sau HTTP� Interogările DNS global cresc din cauza atribuirii noilor
servere de C&C� Dezorganizarea secvenţelor de pachete de la surse la
destinaţii
SSA cursul 13 - M. Joldos - T.U. Cluj 58
Tehnici de evitare a detecţiei� Sofisticarea botnets le permite să evite
� Motoarele AV (antivirus)� IDS bazate pe semnături� IDS bazate pe detecţia anomaliilor
� Tehnici folosite� Compresoare pentru executabile (executable packers)� Rootkits: tip mascat de software rău intenţionat destinat
să ascundă existenţa anumitor procese sau programe faţă de metodele de detecţie normale (d.e. Folosing Task Manager)şi a permite accesul conitnuu privilegiat la o maşină
� Protocoale
SSA cursul 13 - M. Joldos - T.U. Cluj 59
Tehnici de evitare a detecţiei� Renunţarea la utilizarea IRC
� Luarea controlului asupra:� HTTP
� VoIP
� IPV6
� ICMP
� Protocoalelor Skype
SSA cursul 13 - M. Joldos - T.U. Cluj 60
Tehnici de evitare a detecţiei� Skype, cel mai bun botnet?
� Extrem de popular, 9M+ utilizatori, în medie 4M+ conectaţi
� Capabilităţi foarte bune de străpungere a pereţilor antifoc
� Au flux de la sursă la destinaţie obscur şi persistent
� Furnizează API de reţea
� Oferă conectivitate în reţea şi obscuritate
� Rezistent prin proiectare
� Are nevoie doar de porecle pentru comunicare
� Cum?
� Se exploatează Skype
� Se instalează bot ca Skype plugin
� Se generează tokenul de autorizare a plugin şi se execută
SSA cursul 13 - M. Joldos - T.U. Cluj 61
Combaterea tehnicilor de evitare�Prevenirea
�Descoperirea serverelor de C&C şi distrugerea lor
�Cea mai eficientă metodă de prevenire şi vindecare:�Combinarea mecanismelor de detecţie
tradiţionale cu cele bazate pe detectarea comportamentelor anormale în reţea
SSA cursul 13 - M. Joldos - T.U. Cluj 62