Reţele wireless. Tipuri -...

Cursul XIII. Securitate WLAN.

Botnets

SSA cursul 13 - M. Joldos - T.U. Cluj 1

Reţele wireless. Tipuri� Infrastructură

� Maşinile client stabilesc o conexiune radio cu un dispozitiv special numit punct de acces (access point, AP)

� AP sunt conectate la rețele cu fir, ceea ce furnizează un gateway spre internet

� Sunt cele mai mai comune

� Peer-to-peer� Mai multe maşini se interconectează� Folosite de obicei în reţele adhoc şi la partajarea

conexiunii internet


SSID� Pot coexista mai multe reţele wireless

� Fiecare reţea este identificată printr-un Service Set ID (SSID) de 32 caractere

� SSID implicit tipic este numele producătorului� SSIDs sunt difuzate adesea pentru a permite clienţilor potenţiali să

descopere reţeaua� SSIDs nu sunt semnate, permit atac prin falsificare (spoofing

attack)� Se amplasează un AP neautorizat într-o locaţie publică (d.e., cafenea,

aeroport)� Se foloseşte SSID-ul unui ISP� Se pregăteşte o pagină de login asemănătoare cu a ISP� Se aşteaptă ca clienții să se conecteze la AP şi să se autentifice� Eventual se înaintează sesiunea spre reţeaua ISP� Atacul este facilitat de valorile implicite de conectare automată


Securitatea WLAN

� IEEE 802.11� Set de standarde pentru comunicarea în WLAN în benzile de

5 GHz şi 2.4 GHz.� Cele mai populare: 802.11b, 802.11g.� Securitate slabă la început

� Securitatea 802.11� Două subsisteme:

� Tehnică de încapsulare a datelor numită WEP(Wired Equivalent Privacy)

� Algoritm de autentificare cu cheie partajată (Shared Key Authentication)

� Slăbiciuni severe în WEP.� WPA, WPA2, 802.11i


Trasul cu urechea şi falsificarea

MAC� Întregul trafic poate fi ascultat

� Se foloseşte de obicei “autentificarea” bazată pe MAC pentru identificarea maşinilor aprobate în reţea

� Sunt posibile atacuri bazate pe falsificarea adresei de MAC, ca în reţelele cu fir

� Sesiunile sunt menţinute active după deconectări scurte

� Dacă clientul ISP nu termină o sesiune explicit, falsificarea MAC permite preluarea sesiunii


Wardriving şi warchalking� Cautarea de WLAN-uri (din maşină)

� Unii folosesc GPS pentru a jurnaliza locaţiile descoperite, apoi le postează online

� Software utilizabil în acest scop: NetStumbler(Windows), KisMac (Macs) Kismet (Linux)

� Se folosesc antenele pentru a mări zona de descoperire

� Legea este neclară dacă nu sunt transmise informaţii şi nu se folosesc servicii de reţea

� Warchalking implică scrierea de marcaje pe trotuar pentru a indica reţelele fără fir şi info asociate lor


WEP� Setup

� AP şi clientul partajează cheia de 40 biţi, K

� Cheia nu se schimbă într-o sesiune WEP

� Cifrarea� Se calculează suma de

control CRC-32 a mesajului M

� Se alege in vector de iniţializare de 24 biţi, IV

� Se creează textul cifratC = (M || crc(M)) ⊕

S(K,IV)

� Autentificarea clientului� AP trimite o provocare

aleatoare în clar spre client

� Clientul răspunde cu provocarea criptată

� Transmisia� Se trimite IV || C


Punctele slabe ale WEP


Generator de numere pseudo-

aleatoare

Cheie de criptare, K

Octet aleator, b

⊕⊕⊕⊕Octet de date text în clar, p

Octet de date text cifrat, c

c1 = p1 ⊕⊕⊕⊕ b c2 = p2 ⊕⊕⊕⊕ b

Când p1 şi p2 sunt cifrate cu acelaşi octet “aleator”, b:

c1 ⊕⊕⊕⊕ c2 = (p1 ⊕⊕⊕⊕ b) ⊕⊕⊕⊕ (p2 ⊕⊕⊕⊕ b) = p1 ⊕⊕⊕⊕ p2

Atacul prin modificarea mesajului� Modificarea mesajului

� Fiind dat un şir arbitrar, dorim să înlocuim mesajul M cu M ⊕ z

� Omul la mijloc înlocuieşte textul cifrat C cu C’= C ⊕ (z ||crc(z))

� Înlocuirea textului ţintă� Este posibilă dacă ştim poziţia textului în mesaj� D.e, schimbarea datei în email

� Motivul vulnerabilităţii� Suma de control CRC se dsitribuie peste XOR (C = (M ||

crc(M)) ⊕ S(K,IV))� CRC nu este o funcţie de dispersie criptografică


Atacul cu redirectarea IP� Atacatorul convinge AP să

decripteze pachetul� Metoda:

� Se ascultă un pachet IP care intră (inbound)

� Se retrimite pachetul la maşina externă controlată de atacator

� Se recepţionează pachetul decriptat de AP

� Se repetă cu pachete în ieşire (outbound)

� Se ghiceşte adresa destinaţie � Din subreţeaua LAN

� Se schimbă adresa desstinaţie� Se modifică destinaţia

originală D spre maşina externă D’ controlată de atacator

� Se foloseşte metoda de modificare anterioară

� Se schimbă suma de control a pachetului� Diferenţa între suma nouă şi

cea veche este cunoscutăx’− x= (D’H + D’L) − (DH + DL)� Se ghiceşte x’⊕ x

� Succes după câteva încercări


Vectori de iniţializare (IV) refolosiţi� IV refolosiţi implică refolosirea cheii (keystream=secvenţă

pseudo-aleatoare de caractere) � Atacatorul obţine XOR a două mesaje� Atacatorul poate recupera şi mesajele şi cheia� Cheia recuperată se pot folosi la injecţia de trafic

� IV implicit� Câteva implementări cu greşeli a generării IV� D.e. Pornirea de la zero la pornirea dispozitivului şi apoi

incrementare repetată cu unu� IV aleator

� Lungimea mică (24 biţi) duce la repetare în scurt timp chiar dacă IV este generat aleator

� D.e. Se aşteaptă coliziuni cu probabilitate mare după 212 ≅ 4000 de transmisii


Falsificarea autentificării� Atacatorul vrea să se dea drept un client legitim

� Nu cunoaşte cheia secretă K

� Poate asculta mesajele de autentificare

� Atacul� Obţine provocarea R şi cea criptată

C = (R || crc(R)) ⊕ S(K,IV)

� Calculează cheia S(K,IV) = (R || crc(R)) ⊕ C

� Refoloseşte cheia S(K,IV) la recepţia mesajului provocare de la AP


Wi-Fi Protected Access: WPA, WPA2

� WPA� Implementează parţial IEEE 802.11i� Cifru flux RC4 cu cheie de 128-biţi şi vector de iniţializare (IV) de

48-bit.� Suportă şi alte feluri de autentificare (d.e. Nume şi parolă)� Schimbă dinamic cheile în sesiune� Are o metodă criptografică de verificare a integrităţii� Contor pentru cadre pentru a preveni atacurile cu reluare

� WPA2� Implementează obligatoriu 802.11i� Criptare, gestiunea cheilor, integritate� MAC furnizat de Counter Mode with Cipher Block Chaining

(CCMP), algoritm bazat pe AES


Temporal Key Integrity Protocol(TKIP)

& Message Integrity Code(MIC)

� TKIP

-amestecarea per-packet a cheii

-verificarea integrităţii mesajului

-mecanism de “rekeying”

� MIC este numit şi MAC (message authentication code)


CCMP: AES

� Counter Mode with Cipher Block Chaining Message Authentication Code Protocol

� Gestiunea cheilor şi integritatea mesajelor se face într-o singură componentă construită în jurul AES

� Advanced Encryption Standard� Cifru bloc

� SubBytes, ShiftRows, MixColumns, AddRoundKey

� Singurele atacuri care pot avea succes: atacuri asupra implementării fizice


Protocoale WAP

� Wireless Application Protocol

� Aplicaţii principale: pentru telefoane mobile şi PDA, � Dispozitive cu putere de prelucrare redusă şi

memorie relativ mică.

� Reţele fără fir cu lărgime de bandă mică.

� De la nivelul transport la nivelul aplicaţie


Stive WAP

� WML: Wireless Markup Language

� WSP: Wireless Session Protocol

� WTP: Wireless Transport Protocol

� WTLS: Wireless Transport Layer Security

� WCMP: Wireless Control Management Protocol

� WDP: Wireless Datagram Protocol


Moduri nerecomandate de securizare a

WLAN

� “Autentificare” prin MAC

� “Ascunderea” SSID (Service Set IDentifier)

� Dezactivarea DHCP

� Amplasarea antenei şi suprimarea semnalului

� Folosirea WLAN bazate pe 802.11a sau Bluetooth


Moduri nerecomandate de securizare a WLAN.

“Autentificarea” prin MAC

� Nu este de fapt autentificare

� Tot ce se întâmplă este filtrarea adresei MAC

� Adresele MAC sunt transmise în clar

� Extrem de uşor de captat

� Extrem de uşor de clonat şi învins

� Extrem de dificil de gestionat filtrarea MAC



WLAN. Falsificarea MAC



WLAN. “Ascunderea” SSID

� SSID nu se poate “ascunde”

� Tot ce se întâmplă este suprimarea semnalului “far” al punctului de acces

� Patru alte emisii SSID nu sunt suprimate� Probe requests

� Probe responses

� Association requests

� Re-association requests

� SSIDs trebuie transmise în clar; altfel 802.11 nu poate funcţiona



WLAN. Dezactivarea DHCP

� Dezactivarea DHCP (Dynamic Host Configuration Protocol) şi forţarea folosirii adreselor IP statice nu ajută

� Schemele IP folosite sunt uşor de descoperit de vreme ce adresele IP sunt trimise în clar

� Durează mai puţin de 1 minut să se determine schema de adresare şi să se introducă o adresă IP statică



Amplasarea antenei şi suprimarea semnalului

� Amplasarea antenei şi suprimarea semnalului nucriptează datele

� Antena hackerului e mai bună

� Antenele direcţionale cu câştig mare pot culege semnale slabe de la kilometri distanţă

� Scăderea puterii de emisie poate afecta utilizatorii legitimi mai mult decât pe atacatori

� Vopselele/tapetele speciale Wi-Fi nu sunt 100% sigure şi sunt foarte scumpe



Trecerea la 802.11a sau la BLuetooth

� 802.11a este un mecanism de transport asemănător lui 802.11b sau 802.11g

� 802.11a nu are nimic de a face cu securitatea

� Dacă hackerul are echipament capabil de 5 GHz 802.11a ...

� Bluetooth este mai mult o alternativă wireless USB� Se poate folosi la reţele wireless dar nu a fost proiectat ca

înlocuitor pentru 802.11.x


Uneltele hackerului de wireless� Software

� Auditor CD

� Kismet

� ASLEAP

� Void11, Aireplay, Airedump, and Aircrack

� Hardware� Adaptoare de cardbus ieftine, compatibile

� Antene omnidirecţionale cu câştig mare

� Antene direcţionale cu câştig mare

� Laptop


Uneltele hackerului de wireless. Auditor CD

� Linux CD bootabil cu toate uneltele de securitate

� Tot ce e nevoie pentru a penetra majoritatea reţelelor LAN wireless şi înca altele

� Menţionat ca favorit al FBI

� Relativ uşor de folosit


Uneltele hackerului de wireless. Kismet

� Kismet este o unealtă de audit pentru LAN wireless sub UNIX

� Poate “vedea” SSIDs ascunse

� Poate vedea adrese MAC

� Poate vedea scheme IP

� Poate captura pachete în stare brută

� Există interfaţă grafică


Uneltele hackerului de wireless. ASLEAP

� ASLEAP sparge autentificarea Cisco LEAP� Exploatează autentificarea slabă din MSCHAPv2 (Microsoft

Challenge-Handshake Authentication Protocol� Foloseşte tabele de dispersie indexate precalculate� Verifică 45 milioane de parole pe secundă� Actualizat să suporte spargerea PPTP (Point to point

tunneling protocol) VPN


Uneltele hackerului de wireless. Void11, Aireplay, Airedump, and Aircrack� Set nou de unelte care sporeşte viteza de spargere a

WEP

� Void11 forţează utilizatorii să se re-autentifice

� Aireplay monitorizează sesiunea de reautentificare căutând cereri ARP (Address resolution protocol) şi apoi redă cererea pentu a declanşa răspunsuri de la maşini legitime

� Airedump capturează toate pachetele în stare brută

� Aircrack are nevoie doar de cca 200,000 pachete în loc de 10,000,000 necesare uneltelor anterioare lui


Cele mai bune căi de securizare a

WLAN � Criptografia de calitate permite comunicaţii sigure

peste medii de comunicare nesigure

� Urmaţi principile de cele mai bune practici criptografice� Autentificare tare

� Cifrare tare

� Standardele WPA şi WPA2



WLAN. Autentificarea tare

� Este adesea trecută cu vederea

� Metodele de autentificare sigure folosesc toate tunele SSL sau TLS

� TLS este succesorul lui SSL

� SSL sau TLS necesită certificate digitale

� Certificatele digitale implică de obicei o formă de PKI şi de gestiune a certificatelor



WLAN. Autentificarea tare

� WLANs folosesc de obicei 802.1x şi EAP (Extensible Authentication Protocol)

� Tipurile standard uzuale de EAP sunt EAP-TLS(Transport Layer Security), EAP-TTLS (Tunneled Transport Layer Security) şi PEAP (Protected EAP)

� LEAP (Lightweight EAP) şi EAP-FAST nu sunt standard

� EAP-TLS necesită certificate server şi client

� EAP-TTLS şi PEAP necesită doar certificate pe partea de client


Cele mai bune căi de securizare a WLAN.

Autentificarea tare şi serverele RADIUS

� Autentificarea EAP necesită suport RADIUS (Remote Authentication in Dial-In User Service) în punctul de acces şi unul sau mai multe servere RADIUS

� Microsoft Windows 2003+ Server are o componentă RADIUS complet funcţională numită IAS� Suportă EAP-TLS şi PEAP

� Windows 2000 suportă doar EAP-TLS

� Se integrează uşor în domenii NT sau Active Directory

� Open source FreeRadius suportă o gamă largă de tipuri EAP



WLAN. Criptarea tare

� Criptarea este bine înţeleasă

� Nu se cunosc metode de spargere a criptării de calitate

� 3DES este încă considerată solidă, dar este lentă

� AES este succesorul oficial al DES şi este solid la 128, 192, sau 256 bits



WLAN. Criptarea tare în WLAN� RC4 este cunoscut ca slab

� WEP foloseşte o formă de criptare RC4

� WEP dinamic face mai dificilă spargerea WEP

� TKIP este un algoritm WEP rescris

� Nu sunt cunoscute metode împotriva TKIP, dar există atacuri la orizont posibile teoretic

� Criptarea AES, obligatorie în cele mai noi standarde WLAN, este solidă



WLAN. Standardele WPA şi WPA2� WPA a folosit o versiune redusă a 802.11i

� WPA2 foloseşte standardul 802.11i ratificat

� WPA şi WPA2 sunt tipuri EAP certificate� EAP-TLS (primul certificat)

� EAP-TTLS

� PEAPv0/EAP-MSCHAPv2 (cunoscut ca PEAP)

� PEAPv1/EAP-GTC

� EAP-SIM

� WPA necesită capabilitate TKIP cu AES opţional

� WPA2 necesită atât capabilitate TKIP cât şi AES


Reţele de bots


Ce sunt botnets� Botnet = rețea de roboți software (bots) care rulează pe

mașini "zombie" și sunt controlaţi de rețele de comandă și control (C&C)� Compoziţie: min 1 bot server/controlor și 1+ clienţi bot, de

obicei de ordinul miilor.� Partea principală a fiecărui client bot: un interpretor de

comenzi care este capabil să primească comenzi independent și să le execute.

� Abilitate fundamentală: de a acționa coordonat împreună cu toate/unele părți ale botnet.

� Gestionată de un comandant (botherder/botmaster).� Avantajoase pentru hackeri: botnets pot executa ordine pe

mașini care nu le sunt conectate direct => este dificilă investigarea și urmărirea în justiție


Statistici (disputate)� Numărul total de botnets și dimensiunea lor sunt

controversate� 2005/6: sute de mii de bots

� 1/4 dintre mașini sunt actualmente parte a botnets

� rețelele cresc rapid

� Unele surse susţin că rețelele își reduc dimensiunile� pentru a evita detectarea


Ciclul de viață al unei botnet


Mașina este exploatată și devine bot

Noua mașină se alătură

celorlaltor și informează deținătorul

Descarcă modulul anti AV

Securizează noul client

bot

Ascultă comenzile

de la serverul/perechea de

C&C

Obține modulul cu încărcatura

Execută comenzile

Raportează rezultatul

la C&C

La comandă șterge dovezile

și abandon

ează clientul

Comportamente de atac� Infectarea unor noi maşini

� Folosesc ingineria socială şi distribuţia de email rău intenţionat sau alte forme de comunicare electronică (d.e. Instant Messaging)

� Exemplu - Email trimis cu cod de botnet deghizat ca ataşament inofensiv.

� Furtul de informaţii personale� Folosesc tehnologiile de jurnalizare a tastării (Keylogger) şi ascultare a

traficului de reţea (Network sniffing) pe sistemele compromise pentru a spiona utilizatorii şi a culege informaţie cu caracter personal

� Proxy pentru phishing şi pentru email mesolicitat (spam)� Puterea de calcul agregată şi capabilitatea proxy permit surselor de mail

nesolicitat să afecteze grupuri mai mari fără a fi depistaţi.

� Refuzul servirii, distribuit (DDoS)� Afectează sau elimină disponibilitatea unei reţele pentru a extroca sau a

întrerupe afacerile

� Notă: Phishing = cale de obţinere de informaţii cum sunt nume de utilizatori, parole sau detalii ale carţilor de credit prin deghizarea ca entităţi de încredere în comunicatii electronice.


Cum sunt infectate maşinile� Vulnerabilităţi ale SO

� Exploatări

� Nu este nevoie de utilizator

� Pot fi blocate de pereţii antifoc şi sisteme de pevenire a intruziunilor pe gazdă

� Atacuri pe partea de client� Descărcătoare nesolicitate trimise prin mail sau IM

� La rulare instalează bot

� Situri hăcuite

� Exploatează factorul uman


Comanda şi Controlul (C&C)� Esenţială pentru funcţionarea şi suportul botnet� Trei feluri – Centralizată, P2P şi Randomizată (ultima,

model teoretic)� Cea mai slabă verigă a botnet, deoarece:

� Eliminarea botmaster distruge botnet� Nivelul ridicat al activităţii botmaster îl face mai uşor

detectabil decât pe bots

� C&C Centralizată� Simplu de desfăşurat (deploy), ieftină, latenţă mică

pentru atacuri la scară mare� Cel mai uşor de eliminat


Trei paşi de autentificare

� Bot spre IRC Server

� IRC Server spreBot

� Botmaster spreBot

SSA cursul 13 - M. Joldos - T.U. Cluj 44(*) : Pas opţional

Exemplu de C&C Centralizată

C&C Peer to Peer� Caracteristici:

� Rezistentă la căderi, greu de descoperit, greu de apărat. � Face dificilă lansarea atacurilor la scară mare deoarece tehnologiile P2P

suportă actualmente doar grupuri foarte mici (< 50 peers)� Exemplu: Folosirea reţelei Overnet de către botnet Storm (din oct.

2007)este extrem de dinamică. Peers vin şi pleacă şi îşi pot schimba OIDs (Overnet Identifier) frecvent. Pentru a sta “bine conectaţi” peers trebuie să se caute pe sine pentru a găsi peers apropiaţi


Nod Stor

m

Bootstrapping Peer

Round 2

Round 1

Round 4

Round 3


Connect:

Folosit de un peer pentru a raporta OID propriu la alţi peers şi a primi o listă de peers relativ apropiati de acesta.

Search:

Folosite de un peer pentru a afla resurse pe alte noduri pe baza OID.

Publicize:

Folosite de un peer pentru a raporta proprietatea resurselor reţelei (OIDs) astfel ca alţi peers să poată găsi ulterior resursa

Transmiterea mesajelor în Overnet

(Message Passing)� Overnet are trei tipuri de mesaje de bază pentru a

facilita functionarea corespunzătoare a reţelei:


Mecanisme de adunare (rallying)�Adrese de IP pre-construite (hard-coded)

� Bot comunică folosind adrese IP ale C&C preconstruite. � Uşor de apărat împotriva acerstei tehnici deoarece adresele IP sunt uşor de

detectat şi blocat.

� Nume de domeniu DNS dinamice� Domenii C&C preconstruite atribuite de furnizori de DNS dinamic. � Detecţia mai dificilă atunci când botmaster îşi schimbă aleator locaţia� Este uşor de reluat atacul cu un alt nume de domeniu, neblocat� Dacă conexiunea eşuează, bot face cereri DNS pentru a obţine noua adresă

C&C pentru redirectare.

� Serviciu DNS distribuit� Cel mai greu de detectat şi distrus. Cel mai nou. Sofisticat.� Botnets rulează servicii DNS la care autorităţile nu pot ajunge� Bots folosesc adresele de DNS pentru a rezolva serverele de C&C� Folosesc numere mari de porturi pentru a evita detectarea de către

dispozitivele de securitate şi de către gateways


Protocoale de comunicare� În majoritatea cazurilor botnets folosesc protocoale de

comunicare bine definite şi acceptate. Înţelegerea acestor protocoale:� Ajută la determinarea originii unui atac botnet şi a software

folosit� Permite cercetătorilor să decodifice conversaţiile dintre

bots şi stăpâni

� Două protocoale de comunicare principale folosite la atacuri bot:� IRC � HTTP


IRC (Internet Relay Chat)� 1988 - pentru conversatii unul-la-mai-mulţi sau mai-

mulţi-la-mai-multi, (dar poate şi unul-la-unul) (Pentru BBS)

� Client/server -- TCP Port 6667

� Se folosesc canale (uneori protejate prin parole) pentru comunicarea între părţi� Mod invizibil

(fară listare, incognito)

� Doar pe bază de invitaţie(trebuie sa fii invitat ca să participi)


Protocoale de comunicare. IRC� Botnets IRC au fost versiunea predominantă� Majoritatea reţelelor corporaţiilor nu permit trafic

IRC astfel că cererile IRC pot determina dacă e bot intern sau extern� Cererile IRC spre exterior (outbound) indică prezenţa unei

maşini infectate pe reţea� Cererile IRC spre interior (inbound) semnifică recrutarea

unei maşini din reţea


Protocoale de comunicare. HTTP � Din cauza prevalenţei folosirii HTTP este mai greu de

urmărit o botnet care utilizează protocoale HTTP

� Folosirea HTTP poate permite unei botnet să evite restricţiile pereţilor antifoc care afectează botnets peIRC

� Detectarea botnets HTTP este mai dificilă, dar nu imposibilă deoarece câmpurile de antet şi încărcătura nu se potrivesc cu transmisiile uzuale

� Opţiuni nou aparute sunt protocoalele IM şi P2P – se aşteapta ca folosirea acestora să crească în viitor


Exemplu de botnet HTTP: Fast-flux Networks


� Schemă folosită uzual� Utilizată pentru a controla botnets cu sute sau chiar mii de

noduri

Infrastructura de C&C. Botnet HTTP� Bot ia legătura cu serverul C&C cu info proprie inclusă în URL

� Atacatorii trimit comenzi via răspunsul HTTP.


Infrastructura de C&C. Botnet IM� Trimite comanda tuturor bots din lista via IM

� Botmaster trimite doar un număr mic de mesaje� Fiecare destinatar trimite la contactele proprii


Comportamente observabile� Trei categorii:

� Bazate pe reţea� Corelate global� Bazate pe gazdă

� Bazate pe gazdă: comportamentul Botnet se poate observa pe maşina gazdă.� Prezintă activităţi asemănătoare viruşilor� La executare, Botnets lansează o secvenţa de rutine:

� Modifică registries� Modifică fişiere sistem� Crează conexiuni necunoscute în reţea� Dezafectează programele antivirus


Comportamente observabile. Bazate pe reţea

� Şabloanele observate pe reţea se pot folosi la detectarea Botnets� IRC & HTTP sunt cele mai comune forme de comunicare a

Botnets� Detectabile prin identificarea şabloanelor de trafic anormal.

� Comunicaţii IRC în zone nedorite� Conversaţii IRC neinteligibile

� Numele de domeniu DNS� Interogări DNS pentru localizarea serverului C&C� Gazde care interoghează nume de domeniu improprii� O adresă IP asociata unui nume de domeniu se schimbă

periodic� Traficul

� În salve uneori, inexistent mai tot timpul� Răspunsuri anormal de rapide comparativ cu cele umane� Atacuri (d.e: DoS) – Multe pachete de TCP SYN nevalide cu

adrese sursă nevalide


Comportamente observabile. Corelate global

� Caracteristicile globale sunt legate de fundamente. Botnets� E improbabil să se schimbe dacă nu se re-proiectează şi

re-implementează� Cea mai valoroasă cale de detecţie

� Comportamentul este la fel indiferent dacă botnetscomunică via IRC sau HTTP� Interogările DNS global cresc din cauza atribuirii noilor

servere de C&C� Dezorganizarea secvenţelor de pachete de la surse la

destinaţii


Tehnici de evitare a detecţiei� Sofisticarea botnets le permite să evite

� Motoarele AV (antivirus)� IDS bazate pe semnături� IDS bazate pe detecţia anomaliilor

� Tehnici folosite� Compresoare pentru executabile (executable packers)� Rootkits: tip mascat de software rău intenţionat destinat

să ascundă existenţa anumitor procese sau programe faţă de metodele de detecţie normale (d.e. Folosing Task Manager)şi a permite accesul conitnuu privilegiat la o maşină

� Protocoale


Tehnici de evitare a detecţiei� Renunţarea la utilizarea IRC

� Luarea controlului asupra:� HTTP

� VoIP

� IPV6

� ICMP

� Protocoalelor Skype


Tehnici de evitare a detecţiei� Skype, cel mai bun botnet?

� Extrem de popular, 9M+ utilizatori, în medie 4M+ conectaţi

� Capabilităţi foarte bune de străpungere a pereţilor antifoc

� Au flux de la sursă la destinaţie obscur şi persistent

� Furnizează API de reţea

� Oferă conectivitate în reţea şi obscuritate

� Rezistent prin proiectare

� Are nevoie doar de porecle pentru comunicare

� Cum?

� Se exploatează Skype

� Se instalează bot ca Skype plugin

� Se generează tokenul de autorizare a plugin şi se execută


Combaterea tehnicilor de evitare�Prevenirea

�Descoperirea serverelor de C&C şi distrugerea lor

�Cea mai eficientă metodă de prevenire şi vindecare:�Combinarea mecanismelor de detecţie

tradiţionale cu cele bazate pe detectarea comportamentelor anormale în reţea


Reţele wireless. Tipuri -...

Documents

Transcript of Reţele wireless. Tipuri -...