Bots Reloaded! Pedro Bueno, SANS GCIA SANS Internet Storm Center

Documentos relacionados
SANS ISC Bots e Botnets

SANS ISC Formas de Combates a Bots e Botnets

Segurança de Redes de Computadores

Segurança: Tendências Atuais e Recomendações do NBSO

André Luis Staroski Clovis Cristiano Brignoli Fabiano F. Maciel Guimarães

TECNOLOGIA DA INFORMAÇÃO

Segurança na Rede Estácio - II Semana de Informática - Out/05

O papel do IT Service Desk como 1ª linha de defesa contra Ciberataques. Cristiano Breder

474QU35 J1y4n y4r

Inicialmente as redes passaram a ser utilizadas principalmente para o compartilhamento de periféricos, principalmente discos rígidos.

Aula 4. Ivan Sendin. 30 de agosto de FACOM - Universidade Federal de Uberlândia SEG-4.

e Commerce Malware IPsec Firewall ICP POPs Esteganografia VPN Vulnerabilidades RC4 EC TN NP LNCC Segurança na Rede p.3/20

Firewall. Prof. Marciano dos Santos Dionizio

Hands-on: Implantação de monitoramento por Sflow

A Resposta a Incidentes no Processo de Desenvolvimento Seguro. Daniel Araújo Melo -

DoS, DDoS & Botnets. Alunos: Lucas Gomes, Marcos Seefelder, Vinicius Campos Professor: Otto Carlos Muniz Bandeira Duarte

IDS - Implementando o SNORT Open Source

A evolução dos ataques de negação de serviço (DoS). Por: Rildo Antonio de Souza - CAIS/RNP

Estruturas de Comunicação de Dados Aula 3 Camadas de Aplicação e Transporte

BITDEFENDER GRAVITYZONE. Diogo Calazans Diretor Comercial

NetFlow para clientes do POP-RS

Criptografia e Certificação Digital Oitava Aula. Prof. Frederico Sauer, D.Sc.

Avaliando o impacto de ataques simultâneos ao sistema de gerenciamento de Cloud Computing com árvore de ataque

Monitoração Distribuída com Nagios e Gearman

Instalacao do Zabbix 2.x em Ambiente CentOS

O cenário atual de ameaças na América Latina e quais serão os desafios futuros. Franzvitor Fiorim, Diretor Técnico, Trend Micro Brasil

Covert channels: o que são, o que fazem e como se prevenir contra eles

4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP

Pré-Processadores Grupo SNORT-BR

Ataque em Sistemas Distribuídos Site :

Redes de Computadores

RELATÓRIO ANUAL Destaques do Tratamento de Incidentes em 2010

Checkhosts Monitoramento e Gerência de Sistemas

Soluções Técnicas em Segurança. Andre Landim Yuri Alexandro

Bacharel em Ciência da Computação, 2 Prof. Esp. Ciências da Computação, ICET/Feevale,

Lista de exercícios - 1º bimestre 2016 REDES

Instalação do VOL Backup para Sistemas Unix-Like

INTERNET P R O F. M A R C O A N T Ô N I O PROF. MARCO ANTÔNIO

Gerenciamento e Interoperabilidade de Redes

PRÁTICA DE NAT/PROXY - LINUX 1. TOPOLOGIA DE REDE PARA TODOS OS CENÁRIOS DIFERENÇAS NO ROTEIRO EM RELAÇÃO A IMAGEM DO DVD

Instalacao do Zabbix em Ambiente CentOS

Este tutorial está publicado originalmente em

Dectando falha no IMAP para explorar com exploits do Metasploit. Inj3cti0n P4ck3t

Segurança da Informação p.1/25

5º Fórum Brasileiro de CSIRTs 23 de setembro de 2016 São Paulo, SP

Redes de Computadores I. Sockets e Arquitetura HTTP

Os vírus se espalham através de (MORIMOTO, 2011, p. 403):

AnubisNetworks Labs Agregação, correlação e processamento inteligente e detecção em tempo real e prevenção de ataques no ciber espaço

Covert Channels: o que são, o que fazem e como se prevenir contra eles. Ivo de Carvalho Peixinho Perito Criminal Federal

DESCRIÇÃO E JUSTIFICATIVAS TECNICAS SOBRE A INFLUÊNCIA DO SISTEMA OPERACIONAL NA SEGURANÇA DOS SERVIÇOS IPS

Antispam corporativo e Gateway

INSTALACAO PRODUTOS DIGIVOICE NO ISSABEL PREPARAÇÃO DO SISTEMA

Redes de Computadores e Aplicações Camada de aplicação IGOR ALVES

Criando um servidor de log

Security Fabric Segurança de dentro para fora

Ferramentas de Segurança. Sumário

(In)segurança Utilizando Software Livre. Maycon Maia Vitali

Sistemas de Detecção de Intrusão

Sistemas de Detecção de Intrusão

Gerência de Redes de Computadores Zabbix Instalação. Prof. Alex Furtunato

O essencial do comando mysqladmin, através de 18 exemplos

Como Mudar a Senha do Roteador Pelo IP o.1.1. Configure e Altere a Senha do seu Roteador acessando o IP Acesse o Site e Confira!

Gerenciamento de Segurança

Departamento de Electrónica, Telecomunicações e Informática, Universidade de Aveiro Pedro Correia. Caracterização Estatística de Botnets

Ementa Oficial do. Curso Pentest: Técnicas de Invasão Básico

Faculdade de Engenharia da Computação

SNORT IDS para todos os níveis

IPS com Snort Inline

Cisco FirePOWER pesquisa defeitos procedimentos de geração do arquivo

IoT-FND: Incapaz de verificar a Conexão ao base de dados. Exceção: java.sql.sqlexception: ORA-28001: a senha expirou

Aula 2 Malwares. Prof. Mayk Choji. Técnicas de Segurança em Redes. UniSALESIANO Araçatuba

TorBot - Protecting the Tor Network against Malicious Traffic. EnSI - VII Encontro de Segurança em Informática do CERT.Bahia

Transferência de arquivo ASA com exemplo de configuração FXP

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp

02/07/2013. Definição de Rede. Compartilhando Dados. Usos de uma Rede NOÇÕES DE REDE: CONCEITOS BÁSICOS

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Capítulo 11 Sumário. Serviço de Correio Eletrônico - SMTP e POP3. Serviço de Páginas - Protocolo HTTP, Linguagem HTML

Transcript name: 1. Introduction to DB2 Express-C

TZB. womenswear+ RETAIL PREVIEW summer18. the future,now

Técnicas utilizadas para burlar Firewalls. João Marcelo Ceron Emerson Virti Liane Tarouco Leandro Bertholdo

Prática NAT/Proxy. Edgard Jamhour. Esses exercícios devem ser executados através do servidor de máquinas virtuais: espec.ppgia.pucpr.

Tutorial para Instalação do dotproject

TZB. womenswear+ vazado. RETAIL PREVIEW spring18. the future,now

Ana Paula Tomás. Departamento de Ciência de Computadores Faculdade de Ciências da Universidade do Porto 2010/2011

Arquitetura de um sistema integrado de defesa cibernética para detecção. de botnets

Configuração de Tradução de Endereço de Rede e Tradução de Endereço de Porta Estática para Suportar um Servidor Interno de Web

TOTVS Utilização dos Aplicativos. Arquitetura e Instalação

Desafios de defesa cibernética na Internet do Futuro. Antonio M. Moreiras

Serviço que permite acesso a documentos multimídia. As chamadas páginas da Web, os sites.

CRIANDO REGRAS PARA O SNORT

# Início Instalação e Configuração Servidor Antivírus Symantec Endpoint #

Botnets: Características e Métodos de Detecção Através do Tráfego de Rede

INTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro

Capacitação IPv6.br. Serviços em IPv6. Serviços rev

Cybersegurança: mais fácil do se pensa

Protocolo HTTP. Eduardo Ferreira dos Santos. Fevereiro, Ciência da Computação Centro Universitário de Brasília UniCEUB 1 / 22

2017 Relatório Anual de Ameaças

Transcrição:

Bots Reloaded! Pedro Bueno, SANS GCIA SANS Internet Storm Center pbueno@isc.sans.org

Pra começar... Malware development is accelerating due to efficient and open collaboration, moving from months and years to weeks and days --Johannes Ullrich, CTO do SANS Internet Storm Center (ISC)

Agenda Introdução ao ISC Sensores Distribuídos e DShield.org Analise dos Dados e a Lista dos Handlers Bots Explosão 2004/2005 Variantes PhatBot/Sdbot Novidades e Tendências Botnets Funcionamento Novas Tendências Detecção Conclusões

O Internet Storm Center

Entendendo o website do ISC

Handlers List Grupo de 30 profissionais de segurança Geograficamente dispersos (América do Norte e Sul, Europa, Asia) background (ISP, governo, financeiro, educacional) A cada dia um handler é designado a ser o 'handler do dia Para enviar noticias, dúvidas ou questionamentos aos handlers, utilize o formulário de contato( http: //isc.sans.org/contact.php )

Malwares Bots são Malwares...mas afinal...o que é um Malware? Malware is a set of instructions that run on your computer and make your system do something that an attacker want it to do. --Ed Skoudis ISC Handler e Autor do livro Malware: Fighting Malicious Code

Bots! Novos Packers IPv6 Código Fonte Livre SpamBots Google Analytics

Bots Por que vimos uma onda de Bots/Malwares em 2004/2005? Em abril de 2004, mais de 900 variantes do GaoBot Em 2005, aumento de mais de 175% de variantes em relação a 2004

Bots...em 2005: De Janeiro a Junho de 2005: 4268 Novas Variantes de Bots! Fonte: F-Secure Agobot * Spybot * Aebot * Aimbot * Alcobot * Babot * Badbot * Bbot * Bigbot * Evilbot * Gobot * Msbot * ShellBot * Psybot * Rbot * Sbot * Sdbot * Aebot * GTBot * Nyrobot * Robobot * Rsbot * Vbbot * Padobot * Kazabot * Gunbot * IRCBot...

Caso Mytob = Mydoom + SdBot

BOTS! Criação de Malwares Explosão observada desde 2004! Ainda uma grande ameaça... Target scanning Múltiplos Exploits Sofisticado mecanismo de Controle ( tipicamente IRC e Web, e em algumas vezes P2P) Mesmo código + diferente Packer = novo bot! Packer e Protectors: UPX, Upack, Yoda, Themida... Anti-VM, Anti-Debugger...

Criação de Malwares 2004/2005: O biênio dos Bots! AGO/GAObot, Phatbot, SDbot, RxBot, rbot, SpyBot, Global Threat... Busca por: Múltiplas vulnerabilidades, Backdoors deixadas por outros vírus (MyDoom...) Múltiplas portas abertas para realizar o ataque: 2745, 1025, 3127, 6129, 5000, 80... Nosso exemplo: AGO/GAObot Phatbot Agobot == Gaobot == Gobot == Polybot == Phatbot

Criação de Malwares Família Ago/Gao/PhatBot Características: Base de conhecimento de exploits: Porta 135 exploits antigos Porta 445 exploits antigos Porta 80 exploits antigos IIS Porta 3127 Backdoor MyDoom Porta 2745 Backdoor Beagle Porta 6129 exploit para Dameware... Incorporação do exploit do LSASS dias antes do Sasser! Controle via IRC de forma anônima Podem fazer sniffing...

Malwares e o ISC Detecção de novas tendencias de Bots O ISC recebe cerca de 40 milhões de Logs por dia e 1 bilhão por mês, o que facilita a detecção de novas tendências. Triggers que avisam quando determinados padrões ultrapassam um limite ou saem de um padrão já observado Gráficos e dados que ilustram as mudanças de comportamentos de tráfego.

Malwares e o ISC Exemplo 1: Porta 2967 Symantec AV client

Malwares e o ISC

Criação de Malwares Caso Bots Por que esses bots representam uma evolução na criação de Malwares? 2004/2005 Versões com código fonte parcialmente disseminado e livre, com a possibilidade de alterar o original, fazendo sua própria variante! 2005/2006 2006 IPv6! Novos packers Novos Protectors Anti-VM, Anti-Debuggers... Utilização em Phishing 2.0 Maior organização com utilização de mecanismos como Google Analytics! Geo Location Unique Visitors...

Criação de Malwares Caso Bots

Bots e Phishing Phishing 2.0 Novo Uso ainda relativamente pequeno... Tenta by-passar : OTP IP GeoLocation Uso de Botnets!

Bots e Phishing Phishing 2.0 (cont.)

Criação de Malwares Versões com código fonte parcialmente disseminado e livre (GPL!)

Criação de Malwares Possibilidade de acrescentar módulos com novas funcionalidades e exploits, chamados de Mods

Criação de Malwares Referência dos Comandos: 23

Criação de Malwares Modificação fácil do código fonte

Criação de Malwares

Criação de Malwares

Criação de Malwares Muitos arquivos de códigos fontes Muitos arquivos de headers Muitos arquivos de configuração Muitos parâmetros de configuração Muitos Mods Enfim... Muito complicado criar sua própria versão...

Criação de Malwares Mas o boom dos bots é justificado: FAQ Compilação Em Win32 Em Linux instruções do uso do GCC Detalhamento dos módulos Plataformas Testadas

Criação de Malwares

Criação de Malwares FAQ! Parâmetros do server Parâmetros do Usuário

Criação de Malwares

Repositório de Bots

Bots em perl... O Brasil é um dos lideres em bots em perl. Report recebido pelo SANS ISC em 17 de Março: Hi, Just discovered this attack against one of our IDS customers. The attacking IP. Xxx.xxx.xxx.xxx. It's another bot. IRC server at: linuz.xxxxxxxxxxx.net Channel xxxxxx seems to have been removed, however the file are still available at xxx.xxxxxxxxxxxx.org Regards, xxxx@xxxxxx Content : my $processo = '/usr/sbin/httpd'; $0="$processo"."\0"x16;; my $pid=fork; exit if $pid; die "Problema com o fork: $!" unless defined($pid);

Botnets Simples: Vários bots sob o domínio de um atacante == BotNet Botnets permitem ataques de DDoS de vários tipos: Ataques ICMP; Ataques TCP; Ataques UDP; Ataques HTTP (Reload, Reload, Revolutions, Reload...);

Botnets Controle Remoto através de, por exemplo, canais de IRC: Internet Relay Chat Servers, Canais, Nicks, Senhas... Identidade do Owner permanece Anônima psybnc?? Portas padrões do IRC: 6665-6669, sendo a mais comum 6667 Quem bloqueia a porta 6667?...e as portas 9991, 1122, 9999...??? Tamanhos variados : 500,150k 1.5M!

Botnets Mas...qual o objetivo? Lucro (algumas botnets são criadas apenas para serem vendidas) Spam, PWS... Pirataria (warez, vídeos, livros...) Lucro (DDoS for hire!) Quer pagar quanto!? Poder no CyberSpace...(Controle de um exército próprio...)

Uso das Botnets Fonte: F-Secure Weblog (http://www.f-secure.com/weblog)

Uso das Botnets...Saad Echouafni, head of a satellite communications company, is wanted in Los Angeles, California for allegedly hiring computer hackers to launch attacks against his company's competitors. On August 25, 2004, Echouafni was indicted by a federal grand jury in Los Angeles in connection with the first successful investigation of a large-scale distributed denial of service attack (DDOS) used for a commercial purpose in the United States......That business, as well as others both private and government in the United States, were temporarily disrupted by these attacks which resulted in losses ranging from $200,000 to over $1 million... Fonte: FBI

Botnets Informações do Botnet

Botnets 40

RxBot Base de 17 exploits!

Botnets Atividades Bots

Botnets [17:11] <randomnick>.up [17:11] <[x]12212893> [MAIN]: Uptime: 1d 8h 50m. [17:11] <[x]55483161> [MAIN]: Uptime: 2d 8h 18m. [17:11] <[x]32705837> [MAIN]: Uptime: 2d 6h 49m. [17:11] <[x]66729140> [MAIN]: Uptime: 0d 4h 2m. [17:11] <[x]62694986> [MAIN]: Uptime: 0d 7h 0m. [17:11] <[x]77045269> [MAIN]: Uptime: 23d 8h 10m. [17:11] <[x]10568877> [MAIN]: Uptime: 0d 8h 8m. [17:11] <[x]43332600> [MAIN]: Uptime: 0d 5h 8m. [17:11] <[x]38093578> [MAIN]: Uptime: 0d 9h 14m. [17:11] <[x]59464173> [MAIN]: Uptime: 29d 9h 14m. [17:11] <[x]59968649> [MAIN]: Uptime: 23d 8h 9m. [17:11] <[x]29780258> [MAIN]: Uptime: 0d 6h 29m. [17:11] <[x]70324359> [MAIN]: Uptime: 23d 8h 10m.

Botnets Botnet for Dummies! (Também conhecido como Botnet-Howto!) Fireball553399: Anyways, once you're in as root, CD to any folder you want Fireball553399: cd /root Fireball553399: mkdir irc Fireball553399: cd irc proscalem: ok made dir ircd proscalem: made ircd by mistake is that ok? Fireball553399: Yeah Fireball553399: It doesn't really matter where you make it proscalem: ok done Fireball553399: K, when you're in /root/ircd Fireball553399: wget http://unrealircd.alert-net.com/unreal3.2.3.tar.gz Fireball553399: wget basically just downloads files from the intern proscalem: done Fireball553399: When it's done, go Fireball553399: tar -xf Unreal3.2.3.tar.gz Fireball553399: A tarball (.tar) means a compressed file, basically *nix's version of WinZip Fireball553399: tar -xf means extract the files

Botnets Mas como detectar? Conhecendo seu inimigo! Entender o funcionamento dos Bots Know your Enemy Tracking Botnets Analises de Bots - LURHQ http://www.lurhq.com/phatbot.html Handlers Diaries no ISC ( )

Botnets Mas como detectar: IDSs (canais, comandos...) Como funciona um IRC (o que é um canal, modes, nicks, whois, list...) Regras de ids para os comportamentos em canais Snort chat.rules Bleeding Snort Bot rules alert tcp $HOME_NET any -> any 6667 (msg: "BLEEDING-EDGE ATTACK RESPONSE Likely Botnet Activity"; flow: to_server,established; content:"privmsg"; nocase; tag: session,50,packets; pcre:"/(cheguei gazelas meh que tao Status Tempo Total pacotes Total bytes M?dia de envio portas? aberta)/i"; classtype: string-detect; sid: 2001620; rev:4; ) Atenção as portas fora 6666:7000!MoskeMongo.BIZ *** Listener on *:59, clients 11. is PERM!MoskeMongo.BIZ *** Listener on *:443, clients 1145. is PERM!MoskeMongo.BIZ *** Listener on *:6667, clients 133. is PERM

Tendências Aumento cada vez maior de Botnets em portas conhecidas, como porta 80! (principalmente por SpamBots!) Detecção simples: nmap -A -p 80 192.168.1.0/24 Interesting ports on 192.168.1.45: PORT STATE SERVICE VERSION 80/tcp open irc ircu ircd Service Info: Host: megaserver

Botnets Packet Dumps...

Botnets

Botnets

Combates a Bots e Botnets A verificação pode ser feita com qualquer cliente IRC ( ex. mirc) Alguns cuidados necessários: Nunca verifique de dentro de sua empresa/orgão Por que?? Alguns comandos podem ser retirados dos servidores (ex. /list) Por que??

Combates e Bots e Botnets Tamanho não é Documento! O que vale mais: Uma Botnet com 50000 máquinas ou uma com 1000 máquinas? Parece obvio, mas não é!

Botnets Mas, e como reportar botnets? 1) Contato com o ISP responsável 2) Através do Contact Form do ISC (/contact.php) Envie informações completas sobre o Botnet Qual o servidor Qual o Canal Senha do servidor/canal AS do IP do Botnet ( utilize o whois do Team Cymru, whois.cymru.com) /diary.php?date=2004-10-21

Conclusão Participe! Envie logs para o DShield (http://www.dshield.org/howto.php) Envie suas observações para o ISC (/contact.php ) Aprenda a fazer um hardening do seu sistema (http://www.sans.org/rr) pbueno@isc.sans.org / bueno@ieee.org

FIM [FIM!] pbueno@isc.sans.org / pbueno@gmail.com 61 8421-0581

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback