Aktuelle Verfahren zur IRC und P2P Botnetzerkennung und -bekämpfung. IRC: Bernhard Waldecker P2P: Wolfgang Reidlinger

Transkript

1 Aktuelle Verfahren zur IRC und P2P Btnetzerkennung und -bekämpfung IRC: Bernhard Waldecker P2P: Wlfgang Reidlinger

2 Agenda Einleitung/Erklärung Hstbasierte Erkennungsverfahren Netzwerkbasierte Erkennungserfahren: IRC Spezielle Eigenschaften vn P2P Btnetzen Btnetzabwehr P2P Btnet Tracking Btnetze und deren Schwachstellen Aktuelle Prdukte zur Btnetzerkennung Wlfgang Reidlinger Bernhard Waldecker 2

3 Einleitung Wlfgang Reidlinger Bernhard Waldecker 3

4 Einleitung Prbleme die verursacht werden durch Btnetze: Spam s Distributed Denial-f-Service (DDOS) Angriffe Identitätsdiebstähle Usw. Größe der Btnetze hat sich verringert, Anzahl der kleinen Btnetze ist gestiegen (8) Kleinere Btnetze sind schwieriger zu detektieren Wlfgang Reidlinger Bernhard Waldecker 4

5 Einleitung Kmmunikatinsarchitektur spielt eine wichtige Rlle, 3 Arten (7): Zentral: Internet Relay Chat (IRC) Zentral: Hypertext Transfer Prtkll (HTTP) Dezentral: Peer-t-Peer (P2P) Infizierung des Systems: 1. Btmaster identifiziert neues mögliches Opfer 2. Angriff auf Opfer wird gestartet 3. Nach einem erflgreichen Angriff, lädt der neue Bt die entsprechenden Binaries vn einem zugehörigen Btnetzserver und installiert diese 4. Weitere Schritte sind Abhängig vn der Architektur Wlfgang Reidlinger Bernhard Waldecker 5

6 Btnetzerkennung Hstbasierte Verfahren Netzwerkbasierende Verfahren Kmbinierte Verfahren Wlfgang Reidlinger Bernhard Waldecker 6

7 Hstbasierte Verfahren Wlfgang Reidlinger Bernhard Waldecker 7

8 Hstbasierte Verfahren Erkennung vn möglichen Anmalien der Änderungen am Filesystem des jeweiligen Hsts AntiViren Sftware (für jede Schadsftware) Signatur ntwendig Reaktive Maßnahme Schwäche: Abänderung des Quellcdes, smit müssen Signatur nicht mehr zutreffen (2) Schwäche: je geringer die Verbreitung, dest niedriger die Wahrscheinlichkeit einer Signatur (1) Lösung: Sftware auf Verhalten mit bisher bekannter Malware untersuchen (2) Wlfgang Reidlinger Bernhard Waldecker 8

9 Hstbasierte Verfahren Auffindung vn ungewllten Files neuen bzw. mdifizierten Files gelöschten Files Sammlung und Analyse vn Malware Binaries mittels Hneypts (3) Extrahieren vn zb IRC relevanten Daten wie Username, Kanalname, DNS der IP Wlfgang Reidlinger Bernhard Waldecker 9

10 Netzwerkbasierende Verfahren Wlfgang Reidlinger Bernhard Waldecker 10

11 IRC: Netzwerkbasierende Verfahren Allgemeines Untersuchung des Netzwerkverkehrs auf Anmalien Prtkll spezifische Eigenheiten relevante Pakete: IRC und TCP Vertical Crrelatin (2) Erkennung einzelner bzw. individueller infizierter Systeme Schwäche: wie bei AntiViren Sftware Hrizntal Crrelatin (2) Detektin vn zwei der mehreren infizierten Systemen anhand der Ähnlichkeit des Netzwerkverkehrs Schwäche: einzelner der unterschiedliche Bts können nicht erkannt werden Wlfgang Reidlinger Bernhard Waldecker 11

12 IRC: Netzwerkbasierende Verfahren Erkennungsverfahren: Anmalien Anmalie = Abweichung der eine besndere Auffälligkeit zum üblichen Netzwerkverkehr 1. Methde (4) Hhe Netzwerklast, verursacht durch Netzwerkscans Mangel an Servern P2P Applikatinen Beispiel: Spambt Gegenüberstellung der gesendeten und empfangen s Wlfgang Reidlinger Bernhard Waldecker 12

13 IRC: Netzwerkbasierende Verfahren Erkennungsverfahren: Anmalien 2. Methde (5) Kürzere Antwrtzeit des IRC Clients zum Cmmand & Cntrll Server Average byte frequency ver 256 ASCIIs fr nrmale IRC flrws (5) Average byte frequency ver 256 ASCIIs fr btnet IRC flrws (5) Wlfgang Reidlinger Bernhard Waldecker 13

14 IRC: Netzwerkbasierende Verfahren Erkennungsverfahren: IRC spezifische Eigenheiten Möglich durch die Standardisierung des IRC Prtklls RFC 2810, RFC 1459 uvm. Beispiele für Kmmunikatinskmmands NICK, JOIN, USER, QUIT, MODE Nicknamen müssen pr Kanal ein Unikat sein (6) Btmaster erstellen die Usernamen aus einem knstanten zb Name des Trjaners der Name des Landes und einem variablen Teil zb Zufallszahl Methden zur Detektin häufig autmatisiert zb Rishi der IDS/IPS Snrt Wlfgang Reidlinger Bernhard Waldecker 14

15 IRC: Netzwerkbasierende Verfahren Erkennungsverfahren: IRC spezifische Eigenheiten Beispiel Rishi (6) Früheste mögliche Erkennung vn der Kmmunikatin: Kntakt mit C&C nach Infizierung TCP Pakte werden auf standardisierte Kmmands untersucht Im Erflgsfall werden flgende Parameter extrahiert und in cnnectin bject gespeichert: Timestamp Quell IP und Prt des Clients Ziel IP und Prt des Servers Gewählter Kanal Nicknamen Analyse der Nicknamen Merkmale zb Snderzeichen, Nummernflgen 52 Regular Expressins Punktevergabe: 0 bis 15 Punkte, ab 10 Punkten möglicher Bt Wlfgang Reidlinger Bernhard Waldecker 15

16 IRC: Netzwerkbasierende Verfahren Erkennungsverfahren: IRC spezifische Eigenheiten Beispiel Rishi (6) Wlfgang Reidlinger Bernhard Waldecker 16

17 IRC: Netzwerkbasierende Verfahren Erkennungsverfahren: IRC spezifische Eigenheiten Beispiel Rishi (6) White- und Blacklist statische und dynamische Einträge Whitelist: dynamische Einträge für 0 Punkte Blacklist: dynamische Einträge ab 10 Punkten Schwächen wenn Bts verwenden reguläre Nicknamen verwenden IRC Prtkllabhängikeiten, d.h., keine Abänderung vn zb den Kmmands Hardware Limitierung: bei zu vielen Paketen können IRC Pakte übersehen werden Wlfgang Reidlinger Bernhard Waldecker 17

18 Quellen: (1) Deutsches Bundesamt fuer Sicherheit in der Infrmatinstechnik (BSI) (2009). BSI-Lagebericht IT-Sicherheit 2009 (2) Wurzinger, P. / Bilge, L. / Hlz, T. / Gebel, J. / Kruegel, C. / Kirda, E. (2009). Autmatically Generating Mdels fr Btnet Detectin TR-iSecLab (3) Zhuge, J. / Hlz, T. / Han, X. / Gu, J. / Zu, W. (2007). Characterizing the IRC-based Btnet Phenmenn (4) Binkley, J. R. / Singh, S. (2006). An Algrithm fr Anmaly-based Btnet Detectin. In: Prceedings f USENIX Steps t Reducing Unwanted Traffic n the Internet Wrkshp (SRUTI), S (5) Lu, W. / Tavallaee, M. / Rammidi, G. / Ghrbani, A. A. (2009). BtCp: An Online Btnet Traffic Classifier. In: CNSR 09: Prceedings f the 2009 Seventh Annual Cmmunicatin Netwrks and Services Research Cnference, S , Washingtn, DC, USA. IEEE Cmputer Sciety. (6) Gebel, J. / Hlz, T. (2007). Rishi: Identify Bt Cntaminated Hsts by IRC Nickname Evaluatin. In: HtBts 07: Prceedings f the first cnference n First Wrkshp n Ht Tpics in Understanding Btnets, Berkeley, CA, USA. USENIX Assciatin (7) Hlz, T. (2009). Tracking and Mitigatin f Malicius Remte Cntrl Netwrks. PhD thesis, Universitaet Mannheim (8) Deutsches Bundesamt fuer Sicherheit in der Infrmatinstechnik (BSI) (2007). BSI-Lagebericht IT-Sicherheit 2007 Wlfgang Reidlinger Bernhard Waldecker 18

19 Spezielle Eigenschaften vn P2P Btnetzen Benötigen keinen zentralen C&C Server Unempfindlicher auf Störungen vn Außen Jeder Bt ist Client und Server zugleich Äußerst stabile Kmmunikatinsstruktur Wlfgang Reidlinger Bernhard Waldecker 19

20 Btnetzabwehr Keine Symptmbehandlung DDS Attacken, Spam Attacken snstige Attacken Organisatrische Maßnahmen Patchlevel der Systeme Aktuelle Virensignaturen der AVs Blacklists für bekannte C&C Server DEP Aktivieren Warum s schwere? Infektinsvektr bei neuen Bts meist unbekannt (Applikatin, Service) Schadcde wird durch Cde Mrphing verändert Zer Day Explits Wlfgang Reidlinger Bernhard Waldecker 20

21 P2P Btnet Tracking Aufspüren, analysieren und infiltrieren, abschwächen Btstrapping Prcess Bt- / Malware Sample infectin vectr ermitteln vulnerable applicatins simulieren virtuelle Umgebung Hneybt mit Bt infizieren alle Aktivitäten am Netz und System aufzeichnen und analysieren Infiltratin and Analysis Entwicklung eines speziell angepassten P2P-Clients Verbindung zum Btnetz (Btmaster) Kmmands aufzeichnen und analysieren Mitigatin Größe des Btnetzes ermitteln Störung der Kntrllinfrastruktur ( Kmmunikatinsprtkll der Server) Wlfgang Reidlinger Bernhard Waldecker 21

22 Btnetze und deren Schwachstellen Schwachstellen swie deren Gegenmaßnahmen Unverschlüsselte Übertragung vn Kmmands Implementierung vn Public Key Cryptgraphy Kmmunikatin über wenige zentrale Server Antwrt waren P2P Btnetze Authentifizierung der Bts am Btnetz Implementierung vn Authentifizierungsmethden Wlfgang Reidlinger Bernhard Waldecker 22

23 Aktuelle Prdukte zur Btnetzerkennung BtHunter Entwicklung vn Cllege f Cmputing Gergia Institute f Technlgie und SRI Internatinal Verfahren wurde zum Patent angemeldet erhältlich für Linux, Windws, Mac OS X und FreeBSD Hauptspnsr ist das US-Army Research Office (ARO) BtSniffer Entwickelt am Cllege f Cmputing Gergia Institute f Technlgie benötigt keine Kenntnis vn Bt Signaturen beschränkt auf Bts mit IRC und HTTP Kmmunikatin Wlfgang Reidlinger Bernhard Waldecker 23

24 Aktuelle Prdukte zur Btnetzerkennung BtPrbe Entwicklung vn Texas A&M University, SRI Internatinal und Gergia Institute f Technlgy Erkennt speziell verschleierte und selten stattfindende C&C Kmmunikatin Erkennt IRC Bts, P2P swie HTTP Funktinalität ist in Planung Unterscheidet C&C vn Mensch-zu-Mensch Kmmunikatin BtMiner Benötigt kein Bt Signaturen Erkennt IRC, HTTP und P2P Bt Kmmunikatin Wlfgang Reidlinger Bernhard Waldecker 24

25 Vielen Dank für Ihre Aufmerksamkeit. Fragen im Anschluss, der an: Wlfgang Reidlinger: Bernhard Waldecker: Wlfgang Reidlinger Bernhard Waldecker 25