Embed Size (px)
Citation preview
DNS jako niedoceniana broń
ISP w walce ze złośliwym
oprogramowaniem
PRZEMEK JAROSZEWSKI
CERT POLSKA / NASK
PLNOG14, WARSZAWA, 2-3 MARCA 2015 R.
whoami
programista, psycholog społeczny
kierownik Zespołu Reagowania na Incydenty Naruszające
Bezpieczeństwo Teleinformatyczne w CERT Polska
od 2001 w NASK, od początku związany z tematami bezpieczeństwa
szkolenia, współpraca z organami ścigania
współorganizator konferencji SECURE
DNS a złośliwe oprogramowanie
Dla ustalenia uwagi…
O czym będzie?
o roli DNS w monitorowaniu i zwalczaniu malware’u
o dostępnych rozwiązaniach, znanych od kilku[nastu] lat
o tym, co robi CERT Polska (oraz trochę o tym, co robią inni) i co można
zrobić razem
O czym nie będzie?
o atakach na protokół DNS i o DNSSEC
o atakach na infrastrukturę i wykorzystaniu zmian DNS przez malware
o DNSBL
DNS a malware i botnety
Infrastruktura jest ulotna (VPSy, przejęte routery, hosty)
Nazwy domenowe są trwalsze i tanie
polityki rejestrów
bezpłatne subdomeny
name tasting
DGA jako wyjście awaryjne
DNS propaguje się względnie szybko, pozwalając na działanie
„poniżej poziomu radaru”
Identyfikacja złośliwych domen
analiza złośliwego oprogramowana (ruch sieciowy, konfiguracje, RE)
obserwacja ruchu DNS, np.:
domeny młodsze niż 3 dni o dużym wzroście liczby zapytań?
domeny .pl o dużym wzroście liczby zapytań z zagranicy?
wykrywanie DGA
analiza podobieństw nazw
analiza rejestracji nazw domenowych, np.:
dane właściciela
serwery nazw
Passive DNS
Idea (Florian Weimer, 2004): informacje z zapytań pomiędzy resolverem
i serwerami nazw są archiwizowane w bazie danych (wraz z odciskiem czasu)
Nie są przechowywane dane użytkowników (kto pytał)
Możliwości przykładowych zapytań:
historia rekordów (A, NS, MX) dla danej nazwy
lista hostów dla danego IP
lista domen obsługiwanych przez dany NS
Dokładność i użyteczność silnie zależna od tego, z jak dużego ruchu
pochodzą dane
Passive DNS - Aktorzy
Zbieranie danych
każdy, kto ma własny resolver
w praktyce przede wszystkim ISP
Analiza danych
zespoły CERT
firmy antywirusowe / antymalware
„niezależni” analitycy i researcherzy
Operatorzy bazy danych
każdy, kto ma interes w ich analizie
firmy oferujące usługi komercyjne
Reagowanie – DNS Blackholing
Idea: Zidentyfikowane „złe” nazwy domenowe rozwiązujemy na
błędny adres, zwykle prywatny
logowanie możliwość identyfikacji problemowych klientów w sieci
granularność na poziomie konkretnej nazwy hosta
listy „złych” domen łatwo dostępne
dość łatwe do obejścia
może być świetną osługą opt-out
DNS Sinkholing
Idea: Zamiast pod zły adres, wybrane nazwy przekierowujemy do
serwera sinkhole (na poziomie resolvera lub w NS przejętej domeny)
większy narzut, ale większe możliwości analizy
odcinamy możliwości aktualizacji malware’u
szczególnie uzasadnione wewnątrz korporacji
ostrożnie z prywatnością użytkowników
Propozycje CERT Polska
Sinkhole
sinkhole.cert.pl obsługuje ponad 500 domen w różnych TLD
identyfikujemy kilkanaście rodzajów złośliwego oprogramowania
w szczycie ok. 700 klientów / s.
dane na bieżąco udostępniane przez n6
jądro architektury (NS, podstawowe moduły) udostępniamy do
wykorzystania
Więcej: Tomasz Bukowski. The Art of Sinkholing – prezentacja z
konferencji FIRST 2014: http://goo.gl/i3fi4V
DNS Blackholing – Model I
(Prawie) Passive DNS dostajemy w bonusie
DNS Blackholing – Model II
zone "razdrochi.ru"
{
type master;
file "/etc/namedb/blockeddomain.hosts„
};
$TTL 86400; one day
@ IN SOA bhdns.mojadomena.pl. bhdns.mydomain.ca. (
1 ; serial
28800 ; refresh 8 hours
7200 ; retry 2 hours
864000 ; expire 10 days
86400 ; min ttl 1 day
)
NS bhdns.mydomain.ca.
A 127.0.0.1
* IN A 127.0.0.1
… oraz inne konfiguracje
rekursywny resolver CERT Polska? niechętnie, ale…
s/Black/Sink/ – chętnie, w dowolnym wariancie
z wykorzystaniem sinkhole.cert.pl jako NS
lokalny Passive DNS Duplicator? możliwe…
Inne propozycje? Pytania? Komentarze?
Zapraszam do kontaktu
web: www.cert.pl, n6.cert.pl
mail: [email protected]
twitter: @CERT_Polska, @CERT_Polska_en
facebook: fb.com/CERT.Polska
youtube: CERTPolska
