Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Dns Blackholing
1. DNS Blackholing
ochrona sieci dostępowych przed skutkami
infekcji złośliwym oprogramowaniem
Patryk Dawidziuk IT BCE / LogicalTrust
2. botnet
botnet - armia komputerów zainfekowanych złośliwym
oprogramowaniem (malware)
najczęściej trojany
w wielu wariantach, serwują spam, phishing, itp.
3. botnet
botnet w domu, w ogrodzie i w kosmosie
...w domu (domowy komputer zainfekowany trojanem)
...w ogrodzie (ledwo wyjdziemy do ogródka z
hotspotem boty zabierają nam komputer)
w komputerach nasa (bez oprogramowania AV, bo “po
co tam” :-/ )
4. botnet
zalety posiadania botnetu
spam, phishing, fraud
terroryzm (“podobno macie problem z dostępem do
sieci”, patrz dowcip o skinheadach którzy uratowali
staruszkę) czyli DDoS, DoS i inne ataki
kradzież tożsamości, danych osobowych, numerów
kart kredytowych
6. metoda scentralizowana
boty po uruchomieniu pytają o domenę, w celu
uzyskania adresu IP do którego się mają podłączyć
przeważnie dostają jeden (w wariantach zmutowanych
kilka - 3 do 5, rzadko więcej)
adresy IP zmieniają się często (bardzo często)
domeny w zasadzie nie zmieniają się
7. metoda p-2-p
fast-flux - hosty skanują sieć w poszukiwaniu
pośredników, którzy wiedzą więcej i łączą się do nich,
jeden serwer C&C, który może być gdziekolwiek (np.
na zarażonym hoście, czy na pośredniku)
hydraflux - upgrade fast-fluxa, gdzie jest wiele
serwerów C&C połączonych ze sobą
8. części wspólne
domeny nie zmieniają się (czasem jest ich kilka, ale
ogólnie nie zmieniają się)
adresy IP potrafią się zmieniać raz na kilka minut
ale tylko w ramach tej samej domeny
9. wykrywanie wroga
boty najczęściej skanują sieć (lokalną i każdą inną) w
poszukiwaniu kolejnych ofiar
wykrycie specyficznego rodzaju skanu oznacza
niechciane towarzystwo
11. dns blackholing
boty pytają o domenę, boty dostają adres IP,
inny niż by tego sobie życzył właściciel domeny
nigdzie się nie łączą i nie są groźne
tak, jest to możliwe
12. dns blackholing
klienci dostępowi żeby się gdziekolwiek połączyć
potrzebują (dostają na kartce, lub po dhcp):
adres IP, domyślną bramę, maskę podsieci oraz...
serwery DNS, najczęściej dwa (yes, yes, yes!)
15. dns blackholing
niby dlaczego to ma działać?
trojany najczęściej wolałyby zostać niewykryte
zmianę dnsów jest stosunkowo prosto i szybko
wykryć
... i decydowanie zbyt łatwo naprawić
... więc trojany tego nie dotykają (przeważnie)
16. dns blackholing
Ciemna Strona Mocy
malware dobierające się do routerów sprzętowych
podmieniając dnsy
użytkownicy uważający, że najlepsze są dnsy NASKu
(nieważne, że są 15 hopów i 200ms dalej)
ale od czego są filtry i redirekty ;-)
... ignorując powyższe, działa zasada Pareto (w tym przypadku
95/5)
17. dns blackholing
wszystko przepięknie, ale skąd wziąć jadowite domeny
do blokowania?
[blok autoreklamowy]
http://www.malwaredomains.org
a skąd wiem, że są one jadowite i ktoś mi np. nie
zablokuje onetu czy wp?
18. dns blackholing
można samemu
sieć honeypotów na nieużywanych adresach IP
... połączona z sieciami honeypotów kolegów
analizy malware dostępne na www firmy Sunbelt do
obejrzenia przez uczestników (stąd wiemy, dlaczego ktoś
dodał domenę)
wewnętrzne zaufanie
19. dns blackholing
w jedności siła
im więcej uczestników tym lepiej,
... ale dobra jest i mikroskala
... nawet tylko we własnym domu
idealnie byłoby globalnie
takie nowoczesne /etc/hosts (blokujące reklamy)
20. dns blackholing
skuteczność z życia wzięta
przejęta sieć na 1.2k użyszkodników,
około 150 do 200 osób zainfekowanych (skanujących i komunikujących
się z różnymi serwerami C&C [w sumie 4 różnych botnetów], niektóre
hosty były zainfekowane kilkoma botami)
po włączeniu dns blackholingu (w wariancie ‘twardym’ z wymuszeniem
korzystania z naszych dnsów) po dwóch dobach skanujących zostało 3,
ale nie łaczyli się do żadnego serwera C&C (więc raczej wormy).
w sieci zaczęły same z siebie działać telefony voip które wcześniej
wykazywały zastanawiającą zbieżność ze stanem plam na Słońcu ;-)
21. dns blackholing
pozytywne efekty wdrożenia
boty nie działają bez głowy
nie ma spamu
nie ma ataków ddos
nic nie ma, wszystko zlikwidowane ;-)
24. konfiguracja binda (9)
/etc/bind/named.conf – główny konfig dnsblackholing.conf – plik domeny
zone quot;niedobradomena.plquot; IN { $TTL 15m
type master; @ IN SOA ns1.domena.pl. admin.domena.pl. (
file „dnsblackholing.conf” 2006112402 ; serial
}; 4h ; refresh
30m ; retry
14d ; expire
15m ; negative_ttl
)
@ IN NS ns1.domena.pl.
@ IN NS ns2.domena.pl.
@ IN A 127.0.0.1
* IN A 127.0.0.1