Sebastian Abt Hochschule Darmstadt / CASED CAST-Workshop Forensik und Internetkriminalität Darmstadt, 16.12.2010
MOTIVATION 2
Motivation Internetnutzung Jährlicher Trafficzuwachs des Internets beträgt ca. 50%. (Quelle: AMS-IX) (Quelle: DE-CIX) (Quelle: LINX) 3
Motivation Dienste- & Endgeräte-Heterogenität 4
Motivation Entwicklung Stärkere Netzkonvergenz Steigendes Umsatzpotenzial bei Providern (Single-Stopp-Shopping) Zunehmende Abhängigkeit von Verfügbarkeit und Performanz des Internets Attraktives Betätigungsfeld für Underground Economy Entgegenwirken durch Provider erforderlich 5
Anhang 1: Anhang 1: Motivation G Data Whitepaper 2009 Underground Economy Preisliste für Unterground-Artikel Preisliste für Unterground-Artikel G Data Whitepaper 2009 gutem Verhandlungsgeschick bestimmt wird. gutem Verhandlungsgeschick bestimmt wird. Zunehmende Professionalisierung Gefälschte Ausweise/Führerscheine Hacking just for fun ist Gefälschte außer Ausweise/Führerscheine Mode Ertragspotenzial durch Identitätsdiebstahl Kreditkartendiebstahl Erpressung / DoS Click-Fraud Spam... Botnetze als zu Grunde WoW-Account liegende je nach Umfang der Daten Infrastruktur und Level der Charaktere im Die Übersicht enthält Preise für Waren und Dienstleistungen, wie sie im Zeitraum von Juni und Juli Die 2009 Übersicht in Untergrundforen enthält Preise gehandelt für Waren wurden. und Dienstleistungen, Es gibt eine weite wie Preisspanne, sie im Zeitraum die von Rabatten Juni und und Juli 2009 in Untergrundforen gehandelt wurden. Es gibt eine weite Preisspanne, die von Rabatten und Produkt Min. Preis Max. Preis Produkt RAT abhängig von Features Min. 20,00 Preis Max. 100,00 Preis RAT Stealer abhängig s.o. von Features 20,00 5,00 100,00 40,00 Stealer s.o. 50,00 5,00 2.500,00 40,00 abhängig von Qualität der Fälschung 50,00 2.500,00 abhängig Bot-Datei von Preis Qualität nach Features der Fälschung und Programmierer 20,00 100,00 Bot-Datei Bot-Quellcode Preis nach Features und Programmierer 200,00 20,00 800,00 100,00 Bot-Quellcode 200,00 800,00 Dienstleistung Min. Preis Max. Preis Dienstleistung Hosting nach Umfang der Dienstleistung, Min. 5,00 Preis Max. 9.999,00 Preis Hosting von Webspace nach bis Umfang zu mehreren der Dienstleistung, Servern alles möglich 5,00 9.999,00 von FUD-Service Webspace bis zu mehreren Servern alles möglich 10,00 40,00 FUD-Service DDoS-Attacke pro Stunde 10,00 150,00 40,00 DDoS-Attacke Bot-Installs pro pro 1000 Stunde die Preise richten sich nach der geografischen 50,00 10,00 250,00 150,00 Bot-Installs Lage pro 1000 die Preise richten sich nach der geografischen 50,00 250,00 Lage 1 Million Spam-Mails an spezielle Adressaten, 300,00 800,00 1 z.b. Million Spieler Spam-Mails erhöhen den an spezielle Preis Adressaten, z.b. Spieler erhöhen den Preis 300,00 800,00 Daten Min. Preis Max. Preis Datenbanken für den Preis relevant sind genaue Inhalte und Umfang Min. 10,00 Preis Max. 250,00 Preis Datenbanken der Datenbank, für es geht den Preis um den relevant Kauf einer sind genaue Datenbank Inhalte und Umfang 10,00 250,00 der Kreditkartendaten Datenbank, es geht Preise um richten den Kauf sich einer nach Datenbank Vollständigkeit der Daten. 2 300 Kreditkartendaten Nur eine CC-Nummer Preise und Datum richten sind sich nicht nach viel Vollständigkeit Wert. Je mehr der Daten. 2 300 Nur mitgeliefert eine CC-Nummer werden, desto und Datum höher ist sind der nicht Preis. viel Wert. Je mehr Daten mitgeliefert 1 Million E-Mail-Adressen werden, desto höher verifizierte ist der Adressen Preis. oder von Interessen- 30,00 250,00 1 Gruppen Million E-Mail-Adressen kosten mehr verifizierte Adressen oder von Interessen- Gruppen kosten mehr 30,00 250,00 Accounts Min. Preis Max. Preis Accounts Steam-Account Preis richtet sich nach Menge der installierten Spiele Min. 2,00 Preis Max. 50,00 Preis Steam-Account Preis richtet sich nach Menge der installierten Spiele 2,00 5,00 30,00 50,00 WoW-Account je nach Umfang der Daten und Level der Charaktere im 5,00 30,00 Account Packstation-Account Preise richten sich nach Umfang der vorhanden 50,00 150,00 Packstation-Account Daten und danach,ob er Preise gefaked richten wurde sich oder nach gestohlen Umfang der vorhanden 50,00 150,00 Daten PayPal-Account und danach,ob je mehr er gefaked Daten von wurde den oder Account gestohlen vorhanden sind, desto 1,00 25,00 PayPal-Account höher Provider-basierte ist Preis je mehr Daten von Botnetzdetektion: den Account vorhanden sind, desto 1,00 25,00 höher ist der Preis 6 Click & Status Buy-Account Quo s.o. und Herausforderungen 10,00 35,00 Click E-Mail-Accounts & Buy-Account mit privaten s.o. Mails Preise variieren je nach Händler 10,00 1,00 35,00 5,00 E-Mail-Accounts mit privaten Mails Preise variieren je nach Händler 1,00 5,00 (Quelle: G Data Whitepaper 2009 - Underground Economy)
BOTNETZE 7
Botnetze Verwendung und Entstehung Infrastruktur der Underground Economy 1. Bestimmen der Botnetz-Architektur 2. Infektion von Endgeräten Remote Exploits Malware per Mail Drive-by Downloads USB-Sticks 3. Scheduling von Aufgaben Distributed Denial of Service Spam Infektionen... 8
Botnetze Zentralisierte Architektur Bot registriert sich bei C&C-Server Botmaster sendet Nachrichten an C&C- Server C&C-Server übermittelt Nachrichten an Bot botmaster C&C Traffic Angriffs Traffic Einfacher Architektur C&C-Server stellen Schwachpunkt dar C&C server C&C server IRC (Push) Bot betritt IRC-Channel (JOIN) bots bots bots.ddos.syn 192.168.1.10 80 900! bots bots HTTP (Pull) GET /cnc/mybot/vxdf01/de! Antwort enthält Command victim 9
Botnetze Dezentralisierte Architektur Kein zentraler Kommunikationsmittelpunkt (C&C-Server) Botmaster kommuniziert mit vereinzelten Bots Bots kommunizieren ad-hoc, z.b. Peer-to-Peer Komplexere Architektur Stärkere Überlebensfähigkeit C&C Traffic Angriffs Traffic bots bots bots botmaster bots bots bots victim 10
Europe, Middle East, and Africa Data Sheet Bot-infected computers A bot-infected computer is considered active on a given day if it carries out at least one attack on that day. This does not have to be continuous; rather, a single such computer can be active on a number of different days. In 2009, Symantec observed an average of 19,500 active bots per day in the EMEA region (figure 1), which is a 39 percent decrease from 2008, when 32,188 active bots were detected. In 2009, active bots in the EMEA region accounted for 48 percent of all active bots observed globally. Botnetze Bedrohungslage Active bot-infected computers by day 90,000 80,000 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0 Europe, Middle East, and Africa Data Sheet Bot-infected computers by country Global 7 per. moving average In 2009, the EMEA region accounted for 48 percent of all bot-infected computers detected globally. Within the region, Germany had the highest percentage of bot-infected computers, with 14 percent of the regional total (table 5). This is the same percentage as 2008, when Germany ranked second in this category. Globally in 2009, Germany ranked fifth with 7 percent of the worldwide total. Jan 1, 2009 Feb 22, 2009 Apr 15, 2009 Jun 6, 2009 Jul 28, 2009 Sep 18, 2009 Nov 9, 2009 Dec 31, 2009 EMEA 48% der aktiven Bots weltweit auf EMEA- Systemen detektiert. Date EMEA Rank Percentage 2009 2008 Figure Country 1. Active bot-infected computers, 2009 EMEA and 2008 global EMEA 2009 Global Source: Symantec 1 2 Germany 14% 14% 7% 2 3 Italy 12% 11% 6% Symantec also measures 3 distinct 1 bot-infected Spain computers, which 12% are computers 15% that were 6% active at least once during the 4 reporting 4 period. Poland There were 3,249,704 12% distinct bot-infected 10% computers 6% recorded in the EMEA region in 2009. This is 32 percent less than the 4,776,967 observed in EMEA in 2008. It is 5 5 Turkey 7% 9% 3% worth noting that bot activity in EMEA in 2009 again closely mirrored global bot activity, as was the 6 7 France 7% 6% 3% case in 2008, except for the substantial drop in global activity in 2009 from September to November. 7 8 Portugal 5% 4% 2% This dip is discussed in detail in the concurrent volume of the Symantec Global Internet Security Threat 8 6 United Kingdom 5% 8% 2% Report and is mainly attributed to the shutdown of several botnets at this time, as well as changing 9 13 Hungary 1% propagation patterns. 8 4% 2% 10 9 Israel 3% 3% 1% Deutschland ist Vorreiter in der Anzahl Botinfizierter Systeme in EMEA. (Quelle: Symantec Table 5. Bot-infected EMEA Internet computers Security by country, Threat EMEA Report (2009)) Source: Symantec Italy had the second-highest number of bot-infected computers in EMEA in 2009, with 12 percent of the total. Italy accounted for 6 percent of the worldwide total in 2009, which made it the sixth-ranked 11
Botnetze Bedrohungslage Europe, Middle East, and Africa Data Sheet (Quelle: Arbor Networks ATLAS (8.12.2010)) 2009 Activity Rank EMEA Rank 2009 2008 Country Percentage 2009 2008 Malicious Code Spam Zombies Phishing Hosts Bots Attack Origin 1 2 3 4 5 6 7 8 9 10 1 2 8 6 3 4 7 5 14 18 Germany United Kingdom Russia Poland Spain Italy Turkey France Romania Hungary 12% 9% 8% 7% 7% 7% 6% 6% 4% 2% 14% 11% 6% 6% 9% 8% 6% 7% 2% 1% 10 1 5 11 6 8 4 9 14 38 4 8 1 2 6 5 3 14 9 16 1 4 3 5 7 10 11 6 2 9 1 8 11 4 3 2 5 6 31 9 1 2 6 8 5 4 7 3 11 16 Table (Quelle: 1. Malicious Symantec activity EMEA by country, Internet EMEA Security Threat Report (2009)) Source: Symantec Corporation The United Kingdom ranked second for malicious activity in the EMEA region in 2009, with 9 percent of the regional total. This is a decrease from 11 percent in 2008, when it also ranked second. Globally, the 12
Most Significant Operational Threats Respondents were asked to rank which threats they believe would pose the largest operational problems over the next 12 months (Figure 4). Displacing bots and botnet-enabled activities from last year, services, host or link DDoS threats took the top spot at nearly 35 percent, followed by botnets and bot-enabled activities at 21 percent. Additional concerns, in descending order, included credentials theft, DNS cache poisoning, route hijacking, system or infrastructure compromise, and worms. Worldwide Infrastructure Security Report, Volume V Link, Host or Services DDoS Survey Respondents 35% 30% Largest Anticipated Threat Next 12 Months Credential/Identity Theft BGP Route Hijacking (Malicious or Unintentional) ISPs: Bots, Botnets, AV and Malware DNS Cache Poisoning Network-based worms 40% have declined significantly as a perceived threat over the last several years. This is to be expected given a concerted and effective effort by operating system vendors to decrease wormable vulnerabilities, and in part reflects the 30% continued shift to client-side infections and Web 2.0 worms affecting popular sites and services, such as Twitter and Facebook. Coincidentally, the 20th anniversary of the Morris Worm in November 2008 coincided with an out-of-cycle patch from Microsoft 20% to address a wormable vulnerability described in Microsoft Security Bulletin MS08-067, a vulnerability for which exploits were seen nearly immediately10% in the wild. It cannot be understated that MS08-067 in late 2008 was considered an anomaly. DNS cache poisoning dropped 0% observably in the rankings as a primary concern, perhaps in large part because of little observed exploit activity in the wild, and certainly because the previous year s survey feedback period squarely overlapped with the disclosure of new cache (Quelle: poisoning Arbor FigureNetworks 18: techniques. Observed World Bots The Wide increase Past Infrastructure 12 Months in relative Security prioritization Report (2009)) of system/infrastructure compromise and credentials theft reflects thesource: growing Arbor awareness Networks, Inc. of and emphasis on security vulnerabilities in infrastructure components in general and within the security research community 16. Dezember in particular. The 2010 increasing numbers of vulnerabilities and fixes announced The by major Other infrastructure category included vendors phishing, is the single drop sites largest and factor an array in raising of other public malicious consciousness activities. of this threat category. As previously indicated, respondents were also provided with a free-form text entry field under this line of questions, as well Botnets System/Infrastructure Compromise the rest of the survey, it is20% simply meant to be somewhat representative of the network operator perspective on the issue. 15% Respondents were asked10% what activities they have personally observed bots performing over the past year (Figure 18). 5% 0% Worms We asked respondents an array of questions ranging from botnet sizing, to distribution of anti-virus (AV) and malware, to walled garden and quarantine techniques. 25% Some of the data sets returned are clearly more useful than others, but we will share the lot of it here nonetheless. Most of the information in this section is shared as is, with very few author conclusions provided. As with Botnet Activities Not surprisingly, spam and DDoS share the top spot, followed by click fraud, ID theft and an array of other nefarious activities. Survey Respondents 50% Observed Bots Past 12 Months Figure 4: Largest Anticipated Threat Next 12 Months Source: DDoSArbor Attacks Networks, Inc. Spam Clickfraud ID Theft Other Botnetze Bedrohungslage Botnetze stellen aus Sicht von Netzbetreibern zweit größte Gefährdung des Internets für 2010 dar. Vornehmliche Nutzung von Botnetzen zur Durchführung von DDoS-Attacken und zum Versand von Spam. 13
PROVIDER-BASIERTE BOTNETZDETEKTION 14
Provider-basierte Detektion Host-basierte Detektion offensichtlich nicht ausreichend Weakest-Link Prinzip Kein AV-Scanner Veraltete Signaturen Böswilliges Verhalten Systeme werden nicht von Provider betrieben Limitierte Sicht auf Ereignisse Netz-basierte Botnetzdetektion Detektion innerhalb des SP-Netzwerks 15
Spannungsverhältnis Provider-basierte Detektion Herausforderungen Privatsphäre Geschwindigkeit Akkuratheit Kosten 16
Geschwindigkeit Provider-basierte Detektion Herausforderungen Hohe Trafficraten (n * 10 Gbit/s, 100 Gbit/s) Zeitnahe Detektion Attack Outbreak Attack Mitigation Network Scans Attack Detection Attack Characterization Attack Analysis time Pre-Attack Phase Attack Phase Post-Attack Phase 17
Provider-basierte Detektion Herausforderungen rt he ly ll n st, a of x- g- o- y al c- rt he 5- Akkuratheit unlcassified 10.6% Heterogene legitime Traffic-Pattern Hohe Raten legitimen Traffics Geringer Botnet-Traffic HTTP 57.6% otherdpd 10% BitTorrent 8.5% edonkey 5% NNTP 4.8% Figure 5: Application Mix for trace SEP. well known 3.6% (Quelle: Maier et al., On Dominant Characteris0cs of Residen0al Broadband Internet Traffic (IMC09)) (Quelle: Team Cymru (8.12.2010)) deep packet inspection and traffic management systems at selected customers sites to assess the application usage [45, 46, 40]. Cache- 18
Provider-basierte Detektion Kosten Überprovisionierte Netze bei Providern DDoS kann transportiert werden Spam fällt nicht auf Dediziertes Personal teuer Infrastruktur teuer Komplexität und Fehleranfälligkeit steigen Survey Respondents 60% 50% 40% 30% 20% 10% 0% Herausforderungen Size of Dedicated Security Staff 1 2-4 Tier 1 Tier 2, 3 or Regional Figure 17: Size of Dedicated Staff Source: Arbor Networks, Inc. 5-8 9-14 15 or more Education or Academic Hosting Provider Content or CDN Worldwide Infrastructure Security Report, None Other (Quelle: Arbor Networks World Wide Infrastructure Security Report (2009)) 19
Privatsphäre Provider-basierte Detektion Legitimer Traffic enthält sensible Daten E-Mail Voice over IP Nutzung von Webseiten Telekommunikationsgeheimnis Herausforderungen Grundsätzlicher Mitschnitt und Analyse von IP-Verkehr gestattet? 20
Kondensierung auf... Provider-basierte Detektion Herausforderung Art, Umfang und Dauer gespeicherter Daten Positionierung und Dimensionierung der Detektionssysteme De-centralization ISP scope Core Aggregation Access Customer Increasing bandwidth and traffic levels 21
Provider-basierte Detektion Aktuelle Lage ernüchternd Im Mittel wenig bis gar keine expliziten Aktivitäten zur Botnetdetektion Jedoch einige erfreulich aktive Ausnahmen Wenig kommerzielle Systeme erhältlich Individuelle Erweiterung existierender Systeme Primär Schutz vor DDoS Status Quo Wird als Risiko für eigene Infrastruktur angesehen Linderung von Symptomen! 22
Provider-basierte Detektion Honeypods / Honeynets / Darknets Betrieb von Honeypods in ungenutzten Adressbereichen (Darknet) Mitschnitt (tcpdump) der ein- und ausgehenden Datenpakete Ermöglicht tiefgehende Analyse Status Quo Derzeit primär zur Erzeugung von Blacklisten / zum source-based Blackholing 23
Provider-basierte Detektion Log-Analyse / -korrelation Log-Analyse Netz-zentrischer Dienste (Radius/DHCP, DNS, SMTP) Instantaner Anstieg an Mail-Bounces Massiver Mailversand (Outbound) Erhöhte DNS-Abfragen Erhöhte Anzahl an Dial-In Versuchen Detektion kompromittierter Systeme im eigenen Netz Status Quo 24
Provider-basierte Detektion Betrieb von offline Cleaning-Center Ausleiten von verdächtigem Netzwerktraffic Einsatz ursprünglich zur Filterung von Angriffen Analyse von verdächtigen Hosts Status Quo Analyse (und Bereinigung) Eingehender Traffic Legitimer Traffic Kunde 25
Provider-basierte Detektion Status Quo Kommunikation / Kollaboration Community stark Personen-fixiert Shadow-Server Projekt Team Cymru / nsp-sec Sehr restriktiv: Vertrauenswürdigkeit, Glaubwürdigkeit und Reputation Zugang nur per Votum mindestens zweier Mitglieder und keinem Widerspruch Offener Austausch von Daten, Informationen, Tools und Heads-Up s Security by Obscurity 26
Zusammenfassung Provider-basierte Detektion Kaum Bestrebungen zur dedizierten Botnetzdetektion in Provider-Netzen Derzeit Vorkehrungen zur DDoS-Detektion und Mitigation Kaum Transfer zwischen Forschung und Industrie Status Quo Wenig Inter-Provider Kommunikation, speziell bei mittleren und kleinen ISPs Status Quo und Herausforderungen 27
UNSERE VISION 28
Verteilter Detektionsansatz Unsere Vision Verteilter, mehrstufiger Ansatz Sensoren in Service-Provider Netzen und Unternehmensnetzwerken Platzierung an strategischen Punkten 29
Verteilter Detektionsansatz Automatisierter Datenaustausch Unsere Vision Verteilter, mehrstufiger Ansatz Horizontal: Service-Provider/Service-Provider Vertikal: Service-Provider/Unternehmen 30
Unsere Vision Verteilter, mehrstufiger Ansatz Mehrstufiger Detektionsansatz Analyseverfahren und Datenbasis in Abhängigkeit von Konfidenz, Eskalationsstufe und Gefahrenlage Großflächige high-level Datenanalyse auf Basis von Flowdaten (Netflow, IPFIX, sflow) bzw. Traffic-Aggregaten bei Providern Feingranulare Paketanalyse (Deep Packet Inspection) und aktives Testing in Unternehmensnetzen 31
Unsere Vision Sensoren im Providernetz Flowdaten-Export auf Netzkomponenten Transportnetzwerk gleichzeitig Sensornetzwerk Breite Sicht auf Ereignisse Out-of-the-box Funktionalität, d.h. kostenneutral Hardware-gestützte Sensoren FPGA, GPU Aggregierte Traffic-Informationen 32
Unsere Vision Flowdaten Definierendes 5-Tupel: Flow = (IP src, IP dst, Port src, Port dst, L4Type) Flow Keys 2009-11-08 11:00:24.859 0.000 UDP 195.5.6.10:53 -> 62.216.168.9:63568 1 174 1 2009-11-08 11:00:24.859 0.000 UDP 199.166.219.2:53 -> 62.216.168.9:14527 1 111 1 2009-11-08 11:00:25.050 0.000 UDP 85.199.132.75:34594 -> 62.216.168.9:53 1 72 1 2009-11-08 11:00:54.007 0.384 TCP 208.83.137.118:2703 -> 62.216.168.11:38438 6 517 1 2009-11-08 11:00:54.392 0.384 TCP 208.83.139.204:2703 -> 62.216.168.11:45088 6 638 1 33
Unsere Vision Flowdaten Traffic Host B Host A 2009-11-08 11:00:24.859 0.000 UDP 195.5.6.10:53 -> 62.216.168.9:63568 1 174 1 2009-11-08 11:00:24.859 0.000 UDP 199.166.219.2:53 -> 62.216.168.9:14527 1 111 1 2009-11-08 11:00:25.050 0.000 UDP 85.199.132.75:34594 -> 62.216.168.9:53 1 72 1 2009-11-08 11:00:54.007 0.384 TCP 208.83.137.118:2703 -> 62.216.168.11:38438 6 517 1 2009-11-08 11:00:54.392 0.384 TCP 208.83.139.204:2703 -> 62.216.168.11:45088 6 638 1 34
Unsere Vision Entwicklung einer Collector-Plattform Honeynet/Darknet zum Sammeln von Flow- und tcpdump-referenzdaten Provider-übergreifender Einsatz Analyse der Daten Training von ML- Algorithmen Vergleich des Informationsgehaltes der Daten Primary uplink Tunnel connections (IPSec, GRE, IPIP) Upstream firewall and router Application layer devices NTP server DNS server ntp data dns data Internal Gateway smtp data Application layer devices Mail server Aktuelle Arbeit Transparent proxy 00100110100100101001 Physical machines Flow Collector Honeypots and malware collection Virtual machine host Storage devices 35
Danke! Fragen? Sebastian Abt sebastian.abt@h-da.de