Cursul XIII. Securitate WLAN.

Botnets

SSA cursul 13 - M. Joldos - T.U. Cluj 1

Reţele wireless. Tipuri� Infrastructură

� Maşinile client stabilesc o conexiune radio cu un dispozitiv special numit punct de acces (access point, AP)

� AP sunt conectate la rețele cu fir, ceea ce furnizează un gateway spre internet

� Sunt cele mai mai comune

� Peer-to-peer� Mai multe maşini se interconectează� Folosite de obicei în reţele adhoc şi la partajarea

conexiunii internet

SSA cursul 13 - M. Joldos - T.U. Cluj 2

SSID� Pot coexista mai multe reţele wireless

� Fiecare reţea este identificată printr-un Service Set ID (SSID) de 32 caractere

� SSID implicit tipic este numele producătorului� SSIDs sunt difuzate adesea pentru a permite clienţilor potenţiali să

descopere reţeaua� SSIDs nu sunt semnate, permit atac prin falsificare (spoofing

attack)� Se amplasează un AP neautorizat într-o locaţie publică (d.e., cafenea,

aeroport)� Se foloseşte SSID-ul unui ISP� Se pregăteşte o pagină de login asemănătoare cu a ISP� Se aşteaptă ca clienții să se conecteze la AP şi să se autentifice� Eventual se înaintează sesiunea spre reţeaua ISP� Atacul este facilitat de valorile implicite de conectare automată

SSA cursul 13 - M. Joldos - T.U. Cluj 3

Securitatea WLAN

� IEEE 802.11� Set de standarde pentru comunicarea în WLAN în benzile de

5 GHz şi 2.4 GHz.� Cele mai populare: 802.11b, 802.11g.� Securitate slabă la început

� Securitatea 802.11� Două subsisteme:

� Tehnică de încapsulare a datelor numită WEP(Wired Equivalent Privacy)

� Algoritm de autentificare cu cheie partajată (Shared Key Authentication)

� Slăbiciuni severe în WEP.� WPA, WPA2, 802.11i

SSA cursul 13 - M. Joldos - T.U. Cluj 4

Trasul cu urechea şi falsificarea

MAC� Întregul trafic poate fi ascultat

� Se foloseşte de obicei “autentificarea” bazată pe MAC pentru identificarea maşinilor aprobate în reţea

� Sunt posibile atacuri bazate pe falsificarea adresei de MAC, ca în reţelele cu fir

� Sesiunile sunt menţinute active după deconectări scurte

� Dacă clientul ISP nu termină o sesiune explicit, falsificarea MAC permite preluarea sesiunii

SSA cursul 13 - M. Joldos - T.U. Cluj 5

Wardriving şi warchalking� Cautarea de WLAN-uri (din maşină)

� Unii folosesc GPS pentru a jurnaliza locaţiile descoperite, apoi le postează online

� Software utilizabil în acest scop: NetStumbler(Windows), KisMac (Macs) Kismet (Linux)

� Se folosesc antenele pentru a mări zona de descoperire

� Legea este neclară dacă nu sunt transmise informaţii şi nu se folosesc servicii de reţea

� Warchalking implică scrierea de marcaje pe trotuar pentru a indica reţelele fără fir şi info asociate lor

SSA cursul 13 - M. Joldos - T.U. Cluj 6

WEP� Setup

� AP şi clientul partajează cheia de 40 biţi, K

� Cheia nu se schimbă într-o sesiune WEP

� Cifrarea� Se calculează suma de

control CRC-32 a mesajului M

� Se alege in vector de iniţializare de 24 biţi, IV

� Se creează textul cifratC = (M || crc(M)) ⊕

S(K,IV)

� Autentificarea clientului� AP trimite o provocare

aleatoare în clar spre client

� Clientul răspunde cu provocarea criptată

� Transmisia� Se trimite IV || C

SSA cursul 13 - M. Joldos - T.U. Cluj 7

Punctele slabe ale WEP

SSA cursul 13 - M. Joldos - T.U. Cluj 8

Generator de numere pseudo-

aleatoare

Cheie de criptare, K

Octet aleator, b

⊕⊕⊕⊕Octet de date text în clar, p

Octet de date text cifrat, c

c1 = p1 ⊕⊕⊕⊕ b c2 = p2 ⊕⊕⊕⊕ b

Când p1 şi p2 sunt cifrate cu acelaşi octet “aleator”, b:

c1 ⊕⊕⊕⊕ c2 = (p1 ⊕⊕⊕⊕ b) ⊕⊕⊕⊕ (p2 ⊕⊕⊕⊕ b) = p1 ⊕⊕⊕⊕ p2

Atacul prin modificarea mesajului� Modificarea mesajului

� Fiind dat un şir arbitrar, dorim să înlocuim mesajul M cu M ⊕ z

� Omul la mijloc înlocuieşte textul cifrat C cu C’= C ⊕ (z ||crc(z))

� Înlocuirea textului ţintă� Este posibilă dacă ştim poziţia textului în mesaj� D.e, schimbarea datei în email

� Motivul vulnerabilităţii� Suma de control CRC se dsitribuie peste XOR (C = (M ||

crc(M)) ⊕ S(K,IV))� CRC nu este o funcţie de dispersie criptografică

SSA cursul 13 - M. Joldos - T.U. Cluj 9

Atacul cu redirectarea IP� Atacatorul convinge AP să

decripteze pachetul� Metoda:

� Se ascultă un pachet IP care intră (inbound)

� Se retrimite pachetul la maşina externă controlată de atacator

� Se recepţionează pachetul decriptat de AP

� Se repetă cu pachete în ieşire (outbound)

� Se ghiceşte adresa destinaţie � Din subreţeaua LAN

� Se schimbă adresa desstinaţie� Se modifică destinaţia

originală D spre maşina externă D’ controlată de atacator

� Se foloseşte metoda de modificare anterioară

� Se schimbă suma de control a pachetului� Diferenţa între suma nouă şi

cea veche este cunoscutăx’− x= (D’H + D’L) − (DH + DL)� Se ghiceşte x’⊕ x

� Succes după câteva încercări

SSA cursul 13 - M. Joldos - T.U. Cluj 10

Vectori de iniţializare (IV) refolosiţi� IV refolosiţi implică refolosirea cheii (keystream=secvenţă

pseudo-aleatoare de caractere) � Atacatorul obţine XOR a două mesaje� Atacatorul poate recupera şi mesajele şi cheia� Cheia recuperată se pot folosi la injecţia de trafic

� IV implicit� Câteva implementări cu greşeli a generării IV� D.e. Pornirea de la zero la pornirea dispozitivului şi apoi

incrementare repetată cu unu� IV aleator

� Lungimea mică (24 biţi) duce la repetare în scurt timp chiar dacă IV este generat aleator

� D.e. Se aşteaptă coliziuni cu probabilitate mare după 212 ≅ 4000 de transmisii

SSA cursul 13 - M. Joldos - T.U. Cluj 11

Falsificarea autentificării� Atacatorul vrea să se dea drept un client legitim

� Nu cunoaşte cheia secretă K

� Poate asculta mesajele de autentificare

� Atacul� Obţine provocarea R şi cea criptată

C = (R || crc(R)) ⊕ S(K,IV)

� Calculează cheia S(K,IV) = (R || crc(R)) ⊕ C

� Refoloseşte cheia S(K,IV) la recepţia mesajului provocare de la AP

SSA cursul 13 - M. Joldos - T.U. Cluj 12

Wi-Fi Protected Access: WPA, WPA2

� WPA� Implementează parţial IEEE 802.11i� Cifru flux RC4 cu cheie de 128-biţi şi vector de iniţializare (IV) de

48-bit.� Suportă şi alte feluri de autentificare (d.e. Nume şi parolă)� Schimbă dinamic cheile în sesiune� Are o metodă criptografică de verificare a integrităţii� Contor pentru cadre pentru a preveni atacurile cu reluare

� WPA2� Implementează obligatoriu 802.11i� Criptare, gestiunea cheilor, integritate� MAC furnizat de Counter Mode with Cipher Block Chaining

(CCMP), algoritm bazat pe AES

SSA cursul 13 - M. Joldos - T.U. Cluj 13

Temporal Key Integrity Protocol(TKIP)

& Message Integrity Code(MIC)

� TKIP

-amestecarea per-packet a cheii

-verificarea integrităţii mesajului

-mecanism de “rekeying”

� MIC este numit şi MAC (message authentication code)

SSA cursul 13 - M. Joldos - T.U. Cluj 14

CCMP: AES

� Counter Mode with Cipher Block Chaining Message Authentication Code Protocol

� Gestiunea cheilor şi integritatea mesajelor se face într-o singură componentă construită în jurul AES

� Advanced Encryption Standard� Cifru bloc

� SubBytes, ShiftRows, MixColumns, AddRoundKey

� Singurele atacuri care pot avea succes: atacuri asupra implementării fizice

SSA cursul 13 - M. Joldos - T.U. Cluj 15

Protocoale WAP

� Wireless Application Protocol

� Aplicaţii principale: pentru telefoane mobile şi PDA, � Dispozitive cu putere de prelucrare redusă şi

memorie relativ mică.

� Reţele fără fir cu lărgime de bandă mică.

� De la nivelul transport la nivelul aplicaţie

SSA cursul 13 - M. Joldos - T.U. Cluj 16

Stive WAP

� WML: Wireless Markup Language

� WSP: Wireless Session Protocol

� WTP: Wireless Transport Protocol

� WTLS: Wireless Transport Layer Security

� WCMP: Wireless Control Management Protocol

� WDP: Wireless Datagram Protocol

SSA cursul 13 - M. Joldos - T.U. Cluj 17

Moduri nerecomandate de securizare a

WLAN

� “Autentificare” prin MAC

� “Ascunderea” SSID (Service Set IDentifier)

� Dezactivarea DHCP

� Amplasarea antenei şi suprimarea semnalului

� Folosirea WLAN bazate pe 802.11a sau Bluetooth

SSA cursul 13 - M. Joldos - T.U. Cluj 18

Moduri nerecomandate de securizare a WLAN.

“Autentificarea” prin MAC

� Nu este de fapt autentificare

� Tot ce se întâmplă este filtrarea adresei MAC

� Adresele MAC sunt transmise în clar

� Extrem de uşor de captat

� Extrem de uşor de clonat şi învins

� Extrem de dificil de gestionat filtrarea MAC

SSA cursul 13 - M. Joldos - T.U. Cluj 19

Moduri nerecomandate de securizare a

WLAN. Falsificarea MAC

SSA cursul 13 - M. Joldos - T.U. Cluj 20

Moduri nerecomandate de securizare a

WLAN. “Ascunderea” SSID

� SSID nu se poate “ascunde”

� Tot ce se întâmplă este suprimarea semnalului “far” al punctului de acces

� Patru alte emisii SSID nu sunt suprimate� Probe requests

� Probe responses

� Association requests

� Re-association requests

� SSIDs trebuie transmise în clar; altfel 802.11 nu poate funcţiona

SSA cursul 13 - M. Joldos - T.U. Cluj 21

Moduri nerecomandate de securizare a

WLAN. Dezactivarea DHCP

� Dezactivarea DHCP (Dynamic Host Configuration Protocol) şi forţarea folosirii adreselor IP statice nu ajută

� Schemele IP folosite sunt uşor de descoperit de vreme ce adresele IP sunt trimise în clar

� Durează mai puţin de 1 minut să se determine schema de adresare şi să se introducă o adresă IP statică

SSA cursul 13 - M. Joldos - T.U. Cluj 22

Moduri nerecomandate de securizare a WLAN.

Amplasarea antenei şi suprimarea semnalului

� Amplasarea antenei şi suprimarea semnalului nucriptează datele

� Antena hackerului e mai bună

� Antenele direcţionale cu câştig mare pot culege semnale slabe de la kilometri distanţă

� Scăderea puterii de emisie poate afecta utilizatorii legitimi mai mult decât pe atacatori

� Vopselele/tapetele speciale Wi-Fi nu sunt 100% sigure şi sunt foarte scumpe

SSA cursul 13 - M. Joldos - T.U. Cluj 23

Moduri nerecomandate de securizare a WLAN.

Trecerea la 802.11a sau la BLuetooth

� 802.11a este un mecanism de transport asemănător lui 802.11b sau 802.11g

� 802.11a nu are nimic de a face cu securitatea

� Dacă hackerul are echipament capabil de 5 GHz 802.11a ...

� Bluetooth este mai mult o alternativă wireless USB� Se poate folosi la reţele wireless dar nu a fost proiectat ca

înlocuitor pentru 802.11.x

SSA cursul 13 - M. Joldos - T.U. Cluj 24

Uneltele hackerului de wireless� Software

� Auditor CD

� Kismet

� ASLEAP

� Void11, Aireplay, Airedump, and Aircrack

� Hardware� Adaptoare de cardbus ieftine, compatibile

� Antene omnidirecţionale cu câştig mare

� Antene direcţionale cu câştig mare

� Laptop

SSA cursul 13 - M. Joldos - T.U. Cluj 25

Uneltele hackerului de wireless. Auditor CD

� Linux CD bootabil cu toate uneltele de securitate

� Tot ce e nevoie pentru a penetra majoritatea reţelelor LAN wireless şi înca altele

� Menţionat ca favorit al FBI

� Relativ uşor de folosit

SSA cursul 13 - M. Joldos - T.U. Cluj 26

Uneltele hackerului de wireless. Kismet

� Kismet este o unealtă de audit pentru LAN wireless sub UNIX

� Poate “vedea” SSIDs ascunse

� Poate vedea adrese MAC

� Poate vedea scheme IP

� Poate captura pachete în stare brută

� Există interfaţă grafică

SSA cursul 13 - M. Joldos - T.U. Cluj 27

Uneltele hackerului de wireless. ASLEAP

� ASLEAP sparge autentificarea Cisco LEAP� Exploatează autentificarea slabă din MSCHAPv2 (Microsoft

Challenge-Handshake Authentication Protocol� Foloseşte tabele de dispersie indexate precalculate� Verifică 45 milioane de parole pe secundă� Actualizat să suporte spargerea PPTP (Point to point

tunneling protocol) VPN

SSA cursul 13 - M. Joldos - T.U. Cluj 28

Uneltele hackerului de wireless. Void11, Aireplay, Airedump, and Aircrack� Set nou de unelte care sporeşte viteza de spargere a

WEP

� Void11 forţează utilizatorii să se re-autentifice

� Aireplay monitorizează sesiunea de reautentificare căutând cereri ARP (Address resolution protocol) şi apoi redă cererea pentu a declanşa răspunsuri de la maşini legitime

� Airedump capturează toate pachetele în stare brută

� Aircrack are nevoie doar de cca 200,000 pachete în loc de 10,000,000 necesare uneltelor anterioare lui

SSA cursul 13 - M. Joldos - T.U. Cluj 29

Cele mai bune căi de securizare a

WLAN � Criptografia de calitate permite comunicaţii sigure

peste medii de comunicare nesigure

� Urmaţi principile de cele mai bune practici criptografice� Autentificare tare

� Cifrare tare

� Standardele WPA şi WPA2

SSA cursul 13 - M. Joldos - T.U. Cluj 30

Cele mai bune căi de securizare a

WLAN. Autentificarea tare

� Este adesea trecută cu vederea

� Metodele de autentificare sigure folosesc toate tunele SSL sau TLS

� TLS este succesorul lui SSL

� SSL sau TLS necesită certificate digitale

� Certificatele digitale implică de obicei o formă de PKI şi de gestiune a certificatelor

SSA cursul 13 - M. Joldos - T.U. Cluj 31

Cele mai bune căi de securizare a

WLAN. Autentificarea tare

� WLANs folosesc de obicei 802.1x şi EAP (Extensible Authentication Protocol)

� Tipurile standard uzuale de EAP sunt EAP-TLS(Transport Layer Security), EAP-TTLS (Tunneled Transport Layer Security) şi PEAP (Protected EAP)

� LEAP (Lightweight EAP) şi EAP-FAST nu sunt standard

� EAP-TLS necesită certificate server şi client

� EAP-TTLS şi PEAP necesită doar certificate pe partea de client

SSA cursul 13 - M. Joldos - T.U. Cluj 32

Cele mai bune căi de securizare a WLAN.

Autentificarea tare şi serverele RADIUS

� Autentificarea EAP necesită suport RADIUS (Remote Authentication in Dial-In User Service) în punctul de acces şi unul sau mai multe servere RADIUS

� Microsoft Windows 2003+ Server are o componentă RADIUS complet funcţională numită IAS� Suportă EAP-TLS şi PEAP

� Windows 2000 suportă doar EAP-TLS

� Se integrează uşor în domenii NT sau Active Directory

� Open source FreeRadius suportă o gamă largă de tipuri EAP

SSA cursul 13 - M. Joldos - T.U. Cluj 33

Cele mai bune căi de securizare a

WLAN. Criptarea tare

� Criptarea este bine înţeleasă

� Nu se cunosc metode de spargere a criptării de calitate

� 3DES este încă considerată solidă, dar este lentă

� AES este succesorul oficial al DES şi este solid la 128, 192, sau 256 bits

SSA cursul 13 - M. Joldos - T.U. Cluj 34

Cele mai bune căi de securizare a

WLAN. Criptarea tare în WLAN� RC4 este cunoscut ca slab

� WEP foloseşte o formă de criptare RC4

� WEP dinamic face mai dificilă spargerea WEP

� TKIP este un algoritm WEP rescris

� Nu sunt cunoscute metode împotriva TKIP, dar există atacuri la orizont posibile teoretic

� Criptarea AES, obligatorie în cele mai noi standarde WLAN, este solidă

SSA cursul 13 - M. Joldos - T.U. Cluj 35

Cele mai bune căi de securizare a

WLAN. Standardele WPA şi WPA2� WPA a folosit o versiune redusă a 802.11i

� WPA2 foloseşte standardul 802.11i ratificat

� WPA şi WPA2 sunt tipuri EAP certificate� EAP-TLS (primul certificat)

� EAP-TTLS

� PEAPv0/EAP-MSCHAPv2 (cunoscut ca PEAP)

� PEAPv1/EAP-GTC

� EAP-SIM

� WPA necesită capabilitate TKIP cu AES opţional

� WPA2 necesită atât capabilitate TKIP cât şi AES

SSA cursul 13 - M. Joldos - T.U. Cluj 36

Reţele de bots

SSA cursul 13 - M. Joldos - T.U. Cluj 37

Ce sunt botnets� Botnet = rețea de roboți software (bots) care rulează pe

mașini "zombie" și sunt controlaţi de rețele de comandă și control (C&C)� Compoziţie: min 1 bot server/controlor și 1+ clienţi bot, de

obicei de ordinul miilor.� Partea principală a fiecărui client bot: un interpretor de

comenzi care este capabil să primească comenzi independent și să le execute.

� Abilitate fundamentală: de a acționa coordonat împreună cu toate/unele părți ale botnet.

� Gestionată de un comandant (botherder/botmaster).� Avantajoase pentru hackeri: botnets pot executa ordine pe

mașini care nu le sunt conectate direct => este dificilă investigarea și urmărirea în justiție

SSA cursul 13 - M. Joldos - T.U. Cluj 38

Statistici (disputate)� Numărul total de botnets și dimensiunea lor sunt

controversate� 2005/6: sute de mii de bots

� 1/4 dintre mașini sunt actualmente parte a botnets

� rețelele cresc rapid

� Unele surse susţin că rețelele își reduc dimensiunile� pentru a evita detectarea

SSA cursul 13 - M. Joldos - T.U. Cluj 39

Ciclul de viață al unei botnet

SSA cursul 13 - M. Joldos - T.U. Cluj 40

Mașina este exploatată și devine bot

Noua mașină se alătură

celorlaltor și informează deținătorul

Descarcă modulul anti AV

Securizează noul client

bot

Ascultă comenzile

de la serverul/perechea de

C&C

Obține modulul cu încărcatura

Execută comenzile

Raportează rezultatul

la C&C

La comandă șterge dovezile

și abandon

ează clientul

Comportamente de atac� Infectarea unor noi maşini

� Folosesc ingineria socială şi distribuţia de email rău intenţionat sau alte forme de comunicare electronică (d.e. Instant Messaging)

� Exemplu - Email trimis cu cod de botnet deghizat ca ataşament inofensiv.

� Furtul de informaţii personale� Folosesc tehnologiile de jurnalizare a tastării (Keylogger) şi ascultare a

traficului de reţea (Network sniffing) pe sistemele compromise pentru a spiona utilizatorii şi a culege informaţie cu caracter personal

� Proxy pentru phishing şi pentru email mesolicitat (spam)� Puterea de calcul agregată şi capabilitatea proxy permit surselor de mail

nesolicitat să afecteze grupuri mai mari fără a fi depistaţi.

� Refuzul servirii, distribuit (DDoS)� Afectează sau elimină disponibilitatea unei reţele pentru a extroca sau a

întrerupe afacerile

� Notă: Phishing = cale de obţinere de informaţii cum sunt nume de utilizatori, parole sau detalii ale carţilor de credit prin deghizarea ca entităţi de încredere în comunicatii electronice.

SSA cursul 13 - M. Joldos - T.U. Cluj 41

Cum sunt infectate maşinile� Vulnerabilităţi ale SO

� Exploatări

� Nu este nevoie de utilizator

� Pot fi blocate de pereţii antifoc şi sisteme de pevenire a intruziunilor pe gazdă

� Atacuri pe partea de client� Descărcătoare nesolicitate trimise prin mail sau IM

� La rulare instalează bot

� Situri hăcuite

� Exploatează factorul uman

SSA cursul 13 - M. Joldos - T.U. Cluj 42

Comanda şi Controlul (C&C)� Esenţială pentru funcţionarea şi suportul botnet� Trei feluri – Centralizată, P2P şi Randomizată (ultima,

model teoretic)� Cea mai slabă verigă a botnet, deoarece:

� Eliminarea botmaster distruge botnet� Nivelul ridicat al activităţii botmaster îl face mai uşor

detectabil decât pe bots

� C&C Centralizată� Simplu de desfăşurat (deploy), ieftină, latenţă mică

pentru atacuri la scară mare� Cel mai uşor de eliminat

SSA cursul 13 - M. Joldos - T.U. Cluj 43

Trei paşi de autentificare

� Bot spre IRC Server

� IRC Server spreBot

� Botmaster spreBot

SSA cursul 13 - M. Joldos - T.U. Cluj 44(*) : Pas opţional

Exemplu de C&C Centralizată

C&C Peer to Peer� Caracteristici:

� Rezistentă la căderi, greu de descoperit, greu de apărat. � Face dificilă lansarea atacurilor la scară mare deoarece tehnologiile P2P

suportă actualmente doar grupuri foarte mici (< 50 peers)� Exemplu: Folosirea reţelei Overnet de către botnet Storm (din oct.

2007)este extrem de dinamică. Peers vin şi pleacă şi îşi pot schimba OIDs (Overnet Identifier) frecvent. Pentru a sta “bine conectaţi” peers trebuie să se caute pe sine pentru a găsi peers apropiaţi

SSA cursul 13 - M. Joldos - T.U. Cluj 45

Nod Stor

m

Bootstrapping Peer

Round 2

Round 1

Round 4

Round 3

SSA cursul 13 - M. Joldos - T.U. Cluj 46

Connect:

Folosit de un peer pentru a raporta OID propriu la alţi peers şi a primi o listă de peers relativ apropiati de acesta.

Search:

Folosite de un peer pentru a afla resurse pe alte noduri pe baza OID.

Publicize:

Folosite de un peer pentru a raporta proprietatea resurselor reţelei (OIDs) astfel ca alţi peers să poată găsi ulterior resursa

Transmiterea mesajelor în Overnet

(Message Passing)� Overnet are trei tipuri de mesaje de bază pentru a

facilita functionarea corespunzătoare a reţelei:

SSA cursul 13 - M. Joldos - T.U. Cluj 47

Mecanisme de adunare (rallying)�Adrese de IP pre-construite (hard-coded)

� Bot comunică folosind adrese IP ale C&C preconstruite. � Uşor de apărat împotriva acerstei tehnici deoarece adresele IP sunt uşor de

detectat şi blocat.

� Nume de domeniu DNS dinamice� Domenii C&C preconstruite atribuite de furnizori de DNS dinamic. � Detecţia mai dificilă atunci când botmaster îşi schimbă aleator locaţia� Este uşor de reluat atacul cu un alt nume de domeniu, neblocat� Dacă conexiunea eşuează, bot face cereri DNS pentru a obţine noua adresă

C&C pentru redirectare.

� Serviciu DNS distribuit� Cel mai greu de detectat şi distrus. Cel mai nou. Sofisticat.� Botnets rulează servicii DNS la care autorităţile nu pot ajunge� Bots folosesc adresele de DNS pentru a rezolva serverele de C&C� Folosesc numere mari de porturi pentru a evita detectarea de către

dispozitivele de securitate şi de către gateways

SSA cursul 13 - M. Joldos - T.U. Cluj 48

Protocoale de comunicare� În majoritatea cazurilor botnets folosesc protocoale de

comunicare bine definite şi acceptate. Înţelegerea acestor protocoale:� Ajută la determinarea originii unui atac botnet şi a software

folosit� Permite cercetătorilor să decodifice conversaţiile dintre

bots şi stăpâni

� Două protocoale de comunicare principale folosite la atacuri bot:� IRC � HTTP

SSA cursul 13 - M. Joldos - T.U. Cluj 49

IRC (Internet Relay Chat)� 1988 - pentru conversatii unul-la-mai-mulţi sau mai-

mulţi-la-mai-multi, (dar poate şi unul-la-unul) (Pentru BBS)

� Client/server -- TCP Port 6667

� Se folosesc canale (uneori protejate prin parole) pentru comunicarea între părţi� Mod invizibil

(fară listare, incognito)

� Doar pe bază de invitaţie(trebuie sa fii invitat ca să participi)

SSA cursul 13 - M. Joldos - T.U. Cluj 50

Protocoale de comunicare. IRC� Botnets IRC au fost versiunea predominantă� Majoritatea reţelelor corporaţiilor nu permit trafic

IRC astfel că cererile IRC pot determina dacă e bot intern sau extern� Cererile IRC spre exterior (outbound) indică prezenţa unei

maşini infectate pe reţea� Cererile IRC spre interior (inbound) semnifică recrutarea

unei maşini din reţea

SSA cursul 13 - M. Joldos - T.U. Cluj 51

Protocoale de comunicare. HTTP � Din cauza prevalenţei folosirii HTTP este mai greu de

urmărit o botnet care utilizează protocoale HTTP

� Folosirea HTTP poate permite unei botnet să evite restricţiile pereţilor antifoc care afectează botnets peIRC

� Detectarea botnets HTTP este mai dificilă, dar nu imposibilă deoarece câmpurile de antet şi încărcătura nu se potrivesc cu transmisiile uzuale

� Opţiuni nou aparute sunt protocoalele IM şi P2P – se aşteapta ca folosirea acestora să crească în viitor

SSA cursul 13 - M. Joldos - T.U. Cluj 52

Exemplu de botnet HTTP: Fast-flux Networks

SSA cursul 13 - M. Joldos - T.U. Cluj 53

� Schemă folosită uzual� Utilizată pentru a controla botnets cu sute sau chiar mii de

noduri

Infrastructura de C&C. Botnet HTTP� Bot ia legătura cu serverul C&C cu info proprie inclusă în URL

� Atacatorii trimit comenzi via răspunsul HTTP.

SSA cursul 13 - M. Joldos - T.U. Cluj 54

Infrastructura de C&C. Botnet IM� Trimite comanda tuturor bots din lista via IM

� Botmaster trimite doar un număr mic de mesaje� Fiecare destinatar trimite la contactele proprii

SSA cursul 13 - M. Joldos - T.U. Cluj 55

Comportamente observabile� Trei categorii:

� Bazate pe reţea� Corelate global� Bazate pe gazdă

� Bazate pe gazdă: comportamentul Botnet se poate observa pe maşina gazdă.� Prezintă activităţi asemănătoare viruşilor� La executare, Botnets lansează o secvenţa de rutine:

� Modifică registries� Modifică fişiere sistem� Crează conexiuni necunoscute în reţea� Dezafectează programele antivirus

SSA cursul 13 - M. Joldos - T.U. Cluj 56

Comportamente observabile. Bazate pe reţea

� Şabloanele observate pe reţea se pot folosi la detectarea Botnets� IRC & HTTP sunt cele mai comune forme de comunicare a

Botnets� Detectabile prin identificarea şabloanelor de trafic anormal.

� Comunicaţii IRC în zone nedorite� Conversaţii IRC neinteligibile

� Numele de domeniu DNS� Interogări DNS pentru localizarea serverului C&C� Gazde care interoghează nume de domeniu improprii� O adresă IP asociata unui nume de domeniu se schimbă

periodic� Traficul

� În salve uneori, inexistent mai tot timpul� Răspunsuri anormal de rapide comparativ cu cele umane� Atacuri (d.e: DoS) – Multe pachete de TCP SYN nevalide cu

adrese sursă nevalide

SSA cursul 13 - M. Joldos - T.U. Cluj 57

Comportamente observabile. Corelate global

� Caracteristicile globale sunt legate de fundamente. Botnets� E improbabil să se schimbe dacă nu se re-proiectează şi

re-implementează� Cea mai valoroasă cale de detecţie

� Comportamentul este la fel indiferent dacă botnetscomunică via IRC sau HTTP� Interogările DNS global cresc din cauza atribuirii noilor

servere de C&C� Dezorganizarea secvenţelor de pachete de la surse la

destinaţii

SSA cursul 13 - M. Joldos - T.U. Cluj 58

Tehnici de evitare a detecţiei� Sofisticarea botnets le permite să evite

� Motoarele AV (antivirus)� IDS bazate pe semnături� IDS bazate pe detecţia anomaliilor

� Tehnici folosite� Compresoare pentru executabile (executable packers)� Rootkits: tip mascat de software rău intenţionat destinat

să ascundă existenţa anumitor procese sau programe faţă de metodele de detecţie normale (d.e. Folosing Task Manager)şi a permite accesul conitnuu privilegiat la o maşină

� Protocoale

SSA cursul 13 - M. Joldos - T.U. Cluj 59

Tehnici de evitare a detecţiei� Renunţarea la utilizarea IRC

� Luarea controlului asupra:� HTTP

� VoIP

� IPV6

� ICMP

� Protocoalelor Skype

SSA cursul 13 - M. Joldos - T.U. Cluj 60

Tehnici de evitare a detecţiei� Skype, cel mai bun botnet?

� Extrem de popular, 9M+ utilizatori, în medie 4M+ conectaţi

� Capabilităţi foarte bune de străpungere a pereţilor antifoc

� Au flux de la sursă la destinaţie obscur şi persistent

� Furnizează API de reţea

� Oferă conectivitate în reţea şi obscuritate

� Rezistent prin proiectare

� Are nevoie doar de porecle pentru comunicare

� Cum?

� Se exploatează Skype

� Se instalează bot ca Skype plugin

� Se generează tokenul de autorizare a plugin şi se execută

SSA cursul 13 - M. Joldos - T.U. Cluj 61

Combaterea tehnicilor de evitare�Prevenirea

�Descoperirea serverelor de C&C şi distrugerea lor

�Cea mai eficientă metodă de prevenire şi vindecare:�Combinarea mecanismelor de detecţie

tradiţionale cu cele bazate pe detectarea comportamentelor anormale în reţea

SSA cursul 13 - M. Joldos - T.U. Cluj 62