SlideShare a Scribd company logo

Dns Blackholing

Logicaltrust pl
Logicaltrust pl

ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem

Technology
1 of 26
Download to read offline
DNS Blackholing ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem Patryk Dawidziuk IT BCE / LogicalTrust
botnet botnet - armia komputerów zainfekowanych złośliwym oprogramowaniem (malware) najczęściej trojany w wielu wariantach, serwują spam, phishing, itp.
botnet botnet w domu, w ogrodzie i w kosmosie ...w domu (domowy komputer zainfekowany trojanem) ...w ogrodzie (ledwo wyjdziemy do ogródka z hotspotem boty zabierają nam komputer) w komputerach nasa (bez oprogramowania AV, bo “po co tam” :-/ )
botnet zalety posiadania botnetu spam, phishing, fraud terroryzm (“podobno macie problem z dostępem do sieci”, patrz dowcip o skinheadach którzy uratowali staruszkę) czyli DDoS, DoS i inne ataki kradzież tożsamości, danych osobowych, numerów kart kredytowych
mechanizmy komunikacji scentralizowany boty łączą się do jednego (lub kilku) serwerów C&C p2p: fast-flux hydraflux inne, nowe, niewykryte
metoda scentralizowana boty po uruchomieniu pytają o domenę, w celu uzyskania adresu IP do którego się mają podłączyć przeważnie dostają jeden (w wariantach zmutowanych kilka - 3 do 5, rzadko więcej) adresy IP zmieniają się często (bardzo często) domeny w zasadzie nie zmieniają się
metoda p-2-p fast-flux - hosty skanują sieć w poszukiwaniu pośredników, którzy wiedzą więcej i łączą się do nich, jeden serwer C&C, który może być gdziekolwiek (np. na zarażonym hoście, czy na pośredniku) hydraflux - upgrade fast-fluxa, gdzie jest wiele serwerów C&C połączonych ze sobą
części wspólne domeny nie zmieniają się (czasem jest ich kilka, ale ogólnie nie zmieniają się) adresy IP potrafią się zmieniać raz na kilka minut ale tylko w ramach tej samej domeny
wykrywanie wroga boty najczęściej skanują sieć (lokalną i każdą inną) w poszukiwaniu kolejnych ofiar wykrycie specyficznego rodzaju skanu oznacza niechciane towarzystwo
wnioski blokowanie adresów IP nie ma sensu blokowanie domeny ma dużo sensu aaale jak zablokować domenę?
dns blackholing boty pytają o domenę, boty dostają adres IP, inny niż by tego sobie życzył właściciel domeny nigdzie się nie łączą i nie są groźne tak, jest to możliwe
dns blackholing klienci dostępowi żeby się gdziekolwiek połączyć potrzebują (dostają na kartce, lub po dhcp): adres IP, domyślną bramę, maskę podsieci oraz... serwery DNS, najczęściej dwa (yes, yes, yes!)
dns blackholing kto ma router ten ma władzę
dns blackholing kto ma dnsa i router ten ma władzę absolutną ;-)
dns blackholing niby dlaczego to ma działać? trojany najczęściej wolałyby zostać niewykryte zmianę dnsów jest stosunkowo prosto i szybko wykryć ... i decydowanie zbyt łatwo naprawić ... więc trojany tego nie dotykają (przeważnie)
dns blackholing Ciemna Strona Mocy malware dobierające się do routerów sprzętowych podmieniając dnsy użytkownicy uważający, że najlepsze są dnsy NASKu (nieważne, że są 15 hopów i 200ms dalej) ale od czego są filtry i redirekty ;-) ... ignorując powyższe, działa zasada Pareto (w tym przypadku 95/5)
dns blackholing wszystko przepięknie, ale skąd wziąć jadowite domeny do blokowania? [blok autoreklamowy] http://www.malwaredomains.org a skąd wiem, że są one jadowite i ktoś mi np. nie zablokuje onetu czy wp?
dns blackholing można samemu sieć honeypotów na nieużywanych adresach IP ... połączona z sieciami honeypotów kolegów analizy malware dostępne na www firmy Sunbelt do obejrzenia przez uczestników (stąd wiemy, dlaczego ktoś dodał domenę) wewnętrzne zaufanie
dns blackholing w jedności siła im więcej uczestników tym lepiej, ... ale dobra jest i mikroskala ... nawet tylko we własnym domu idealnie byłoby globalnie takie nowoczesne /etc/hosts (blokujące reklamy)
dns blackholing skuteczność z życia wzięta przejęta sieć na 1.2k użyszkodników, około 150 do 200 osób zainfekowanych (skanujących i komunikujących się z różnymi serwerami C&C [w sumie 4 różnych botnetów], niektóre hosty były zainfekowane kilkoma botami) po włączeniu dns blackholingu (w wariancie ‘twardym’ z wymuszeniem korzystania z naszych dnsów) po dwóch dobach skanujących zostało 3, ale nie łaczyli się do żadnego serwera C&C (więc raczej wormy). w sieci zaczęły same z siebie działać telefony voip które wcześniej wykazywały zastanawiającą zbieżność ze stanem plam na Słońcu ;-)
dns blackholing pozytywne efekty wdrożenia boty nie działają bez głowy nie ma spamu nie ma ataków ddos nic nie ma, wszystko zlikwidowane ;-)
dns blackholing a wszystko to bez jakiejkolwiek ingerencji w komputer klienta
dns blackholing konfiguracja
konfiguracja binda (9) /etc/bind/named.conf – główny konfig dnsblackholing.conf – plik domeny zone quot;niedobradomena.plquot; IN { $TTL 15m type master; @ IN SOA ns1.domena.pl. admin.domena.pl. ( file „dnsblackholing.conf” 2006112402 ; serial }; 4h ; refresh 30m ; retry 14d ; expire 15m ; negative_ttl ) @ IN NS ns1.domena.pl. @ IN NS ns2.domena.pl. @ IN A 127.0.0.1 * IN A 127.0.0.1
pytania? No questions, violators will be shot. Survivors will be shot again!
dziękuję za uwagę patryk dawidziuk IT BCE / LogicalTrust @: p.dawidziuk@itbce.com (także jid)

Recommended

Transkrypcje Fortepianowe
Transkrypcje Fortepianowe Transkrypcje Fortepianowe
Transkrypcje Fortepianowe wackyfurvor159
 
Transkrypcja
Transkrypcja Transkrypcja
Transkrypcja humdrumtempo7439
 
How to make team collaboration suck less!
How to make team collaboration suck less!How to make team collaboration suck less!
How to make team collaboration suck less!Brian LaMee
 
Csiro case study
Csiro case studyCsiro case study
Csiro case studyJoeyDorrington
 
Bioweapons
BioweaponsBioweapons
BioweaponsSukhjinder Singh
 
Hydrahack 1.5: Bioimaging Introduction
Hydrahack 1.5: Bioimaging IntroductionHydrahack 1.5: Bioimaging Introduction
Hydrahack 1.5: Bioimaging Introductionmanicstreetpreacher
 
Die Euro-Millionaer-Vorschau
Die Euro-Millionaer-VorschauDie Euro-Millionaer-Vorschau
Die Euro-Millionaer-VorschauChristian Költringer
 
Darwinsbirthday
DarwinsbirthdayDarwinsbirthday
DarwinsbirthdayEunice Mokgopha
 

Recommended

Transkrypcje Fortepianowe
Transkrypcje Fortepianowe Transkrypcje Fortepianowe
Transkrypcje Fortepianowe wackyfurvor159
 
Transkrypcja
Transkrypcja Transkrypcja
Transkrypcja humdrumtempo7439
 
How to make team collaboration suck less!
How to make team collaboration suck less!How to make team collaboration suck less!
How to make team collaboration suck less!Brian LaMee
 
Csiro case study
Csiro case studyCsiro case study
Csiro case studyJoeyDorrington
 
Bioweapons
BioweaponsBioweapons
BioweaponsSukhjinder Singh
 
Hydrahack 1.5: Bioimaging Introduction
Hydrahack 1.5: Bioimaging IntroductionHydrahack 1.5: Bioimaging Introduction
Hydrahack 1.5: Bioimaging Introductionmanicstreetpreacher
 
Die Euro-Millionaer-Vorschau
Die Euro-Millionaer-VorschauDie Euro-Millionaer-Vorschau
Die Euro-Millionaer-VorschauChristian Költringer
 
Darwinsbirthday
DarwinsbirthdayDarwinsbirthday
DarwinsbirthdayEunice Mokgopha
 
Biwa summit15
Biwa summit15Biwa summit15
Biwa summit15René Kuipers
 
What is open space technology
What is open space technologyWhat is open space technology
What is open space technologyOdette Irimiea
 
Matt Bivens resume 2016
Matt Bivens resume 2016Matt Bivens resume 2016
Matt Bivens resume 2016Matthew Bivens
 
Peptide_Bioanalysis (1)
Peptide_Bioanalysis (1)Peptide_Bioanalysis (1)
Peptide_Bioanalysis (1)shiva gudlawar
 
Pagerank
PagerankPagerank
Pageranktkgcse
 
Le mamme e i figli
Le mamme e i figli Le mamme e i figli
Le mamme e i figli angelapercaso
 
4444444
44444444444444
4444444bilgyyn_1515
 
il Portico 318
il Portico 318il Portico 318
il Portico 318novellara
 
zazieleniamy biura
zazieleniamy biurazazieleniamy biura
zazieleniamy biuraAngelika Domańska
 
Bizerte
BizerteBizerte
BizerteTassoubi
 
Bimetallic
BimetallicBimetallic
BimetallicSantiago Sanchez
 
Bixi
BixiBixi
Bixic_daccac
 
Mice on the Range, A Colorado Tail
Mice on the Range, A Colorado TailMice on the Range, A Colorado Tail
Mice on the Range, A Colorado TailLisa Michot
 
Miblagh (4)
Miblagh (4)Miblagh (4)
Miblagh (4)Muhammadi Iblagh
 
Bjy dissertation(1)
Bjy dissertation(1)Bjy dissertation(1)
Bjy dissertation(1)dharma281276
 
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Logicaltrust pl
 
Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Logicaltrust pl
 
8 zasad skutecznego security awareness
8 zasad skutecznego security awareness8 zasad skutecznego security awareness
8 zasad skutecznego security awarenessLogicaltrust pl
 
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Logicaltrust pl
 
Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Logicaltrust pl
 
Minerva_lib - fuzzing tool
Minerva_lib - fuzzing toolMinerva_lib - fuzzing tool
Minerva_lib - fuzzing toolLogicaltrust pl
 
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018Logicaltrust pl
 

More Related Content

Viewers also liked

What is open space technology
What is open space technologyWhat is open space technology
What is open space technologyOdette Irimiea
 
Matt Bivens resume 2016
Matt Bivens resume 2016Matt Bivens resume 2016
Matt Bivens resume 2016Matthew Bivens
 
Peptide_Bioanalysis (1)
Peptide_Bioanalysis (1)Peptide_Bioanalysis (1)
Peptide_Bioanalysis (1)shiva gudlawar
 
Pagerank
PagerankPagerank
Pageranktkgcse
 
il Portico 318
il Portico 318il Portico 318
il Portico 318novellara
 
Mice on the Range, A Colorado Tail
Mice on the Range, A Colorado TailMice on the Range, A Colorado Tail
Mice on the Range, A Colorado TailLisa Michot
 
Bjy dissertation(1)
Bjy dissertation(1)Bjy dissertation(1)
Bjy dissertation(1)dharma281276
 

Viewers also liked (15)

Biwa summit15
Biwa summit15Biwa summit15
Biwa summit15
 
What is open space technology
What is open space technologyWhat is open space technology
What is open space technology
 
Matt Bivens resume 2016
Matt Bivens resume 2016Matt Bivens resume 2016
Matt Bivens resume 2016
 
Peptide_Bioanalysis (1)
Peptide_Bioanalysis (1)Peptide_Bioanalysis (1)
Peptide_Bioanalysis (1)
 
Pagerank
PagerankPagerank
Pagerank
 
Le mamme e i figli
Le mamme e i figli Le mamme e i figli
Le mamme e i figli
 
4444444
44444444444444
4444444
 
il Portico 318
il Portico 318il Portico 318
il Portico 318
 
zazieleniamy biura
zazieleniamy biurazazieleniamy biura
zazieleniamy biura
 
Bizerte
BizerteBizerte
Bizerte
 
Bimetallic
BimetallicBimetallic
Bimetallic
 
Bixi
BixiBixi
Bixi
 
Mice on the Range, A Colorado Tail
Mice on the Range, A Colorado TailMice on the Range, A Colorado Tail
Mice on the Range, A Colorado Tail
 
Miblagh (4)
Miblagh (4)Miblagh (4)
Miblagh (4)
 
Bjy dissertation(1)
Bjy dissertation(1)Bjy dissertation(1)
Bjy dissertation(1)
 

More from Logicaltrust pl

Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Logicaltrust pl
 
Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Logicaltrust pl
 
8 zasad skutecznego security awareness
8 zasad skutecznego security awareness8 zasad skutecznego security awareness
8 zasad skutecznego security awarenessLogicaltrust pl
 
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Logicaltrust pl
 
Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Logicaltrust pl
 
Minerva_lib - fuzzing tool
Minerva_lib - fuzzing toolMinerva_lib - fuzzing tool
Minerva_lib - fuzzing toolLogicaltrust pl
 
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018Logicaltrust pl
 
Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Logicaltrust pl
 
Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Logicaltrust pl
 
Redteaming w Polsce - przykłady
Redteaming w Polsce - przykładyRedteaming w Polsce - przykłady
Redteaming w Polsce - przykładyLogicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
Torturing the PHP interpreter
Torturing the PHP interpreterTorturing the PHP interpreter
Torturing the PHP interpreterLogicaltrust pl
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 

More from Logicaltrust pl (20)

Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
 
Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29
 
8 zasad skutecznego security awareness
8 zasad skutecznego security awareness8 zasad skutecznego security awareness
8 zasad skutecznego security awareness
 
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
 
Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019
 
Minerva_lib - fuzzing tool
Minerva_lib - fuzzing toolMinerva_lib - fuzzing tool
Minerva_lib - fuzzing tool
 
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
 
Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018
 
Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)
 
Redteaming w Polsce - przykłady
Redteaming w Polsce - przykładyRedteaming w Polsce - przykłady
Redteaming w Polsce - przykłady
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracji
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops security
 
Devops security
Devops securityDevops security
Devops security
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
 
Torturing the PHP interpreter
Torturing the PHP interpreterTorturing the PHP interpreter
Torturing the PHP interpreter
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obrony
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
 

Dns Blackholing

  • 1. DNS Blackholing ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem Patryk Dawidziuk IT BCE / LogicalTrust
  • 2. botnet botnet - armia komputerów zainfekowanych złośliwym oprogramowaniem (malware) najczęściej trojany w wielu wariantach, serwują spam, phishing, itp.
  • 3. botnet botnet w domu, w ogrodzie i w kosmosie ...w domu (domowy komputer zainfekowany trojanem) ...w ogrodzie (ledwo wyjdziemy do ogródka z hotspotem boty zabierają nam komputer) w komputerach nasa (bez oprogramowania AV, bo “po co tam” :-/ )
  • 4. botnet zalety posiadania botnetu spam, phishing, fraud terroryzm (“podobno macie problem z dostępem do sieci”, patrz dowcip o skinheadach którzy uratowali staruszkę) czyli DDoS, DoS i inne ataki kradzież tożsamości, danych osobowych, numerów kart kredytowych
  • 5. mechanizmy komunikacji scentralizowany boty łączą się do jednego (lub kilku) serwerów C&C p2p: fast-flux hydraflux inne, nowe, niewykryte
  • 6. metoda scentralizowana boty po uruchomieniu pytają o domenę, w celu uzyskania adresu IP do którego się mają podłączyć przeważnie dostają jeden (w wariantach zmutowanych kilka - 3 do 5, rzadko więcej) adresy IP zmieniają się często (bardzo często) domeny w zasadzie nie zmieniają się
  • 7. metoda p-2-p fast-flux - hosty skanują sieć w poszukiwaniu pośredników, którzy wiedzą więcej i łączą się do nich, jeden serwer C&C, który może być gdziekolwiek (np. na zarażonym hoście, czy na pośredniku) hydraflux - upgrade fast-fluxa, gdzie jest wiele serwerów C&C połączonych ze sobą
  • 8. części wspólne domeny nie zmieniają się (czasem jest ich kilka, ale ogólnie nie zmieniają się) adresy IP potrafią się zmieniać raz na kilka minut ale tylko w ramach tej samej domeny
  • 9. wykrywanie wroga boty najczęściej skanują sieć (lokalną i każdą inną) w poszukiwaniu kolejnych ofiar wykrycie specyficznego rodzaju skanu oznacza niechciane towarzystwo
  • 10. wnioski blokowanie adresów IP nie ma sensu blokowanie domeny ma dużo sensu aaale jak zablokować domenę?
  • 11. dns blackholing boty pytają o domenę, boty dostają adres IP, inny niż by tego sobie życzył właściciel domeny nigdzie się nie łączą i nie są groźne tak, jest to możliwe
  • 12. dns blackholing klienci dostępowi żeby się gdziekolwiek połączyć potrzebują (dostają na kartce, lub po dhcp): adres IP, domyślną bramę, maskę podsieci oraz... serwery DNS, najczęściej dwa (yes, yes, yes!)
  • 13. dns blackholing kto ma router ten ma władzę
  • 14. dns blackholing kto ma dnsa i router ten ma władzę absolutną ;-)
  • 15. dns blackholing niby dlaczego to ma działać? trojany najczęściej wolałyby zostać niewykryte zmianę dnsów jest stosunkowo prosto i szybko wykryć ... i decydowanie zbyt łatwo naprawić ... więc trojany tego nie dotykają (przeważnie)
  • 16. dns blackholing Ciemna Strona Mocy malware dobierające się do routerów sprzętowych podmieniając dnsy użytkownicy uważający, że najlepsze są dnsy NASKu (nieważne, że są 15 hopów i 200ms dalej) ale od czego są filtry i redirekty ;-) ... ignorując powyższe, działa zasada Pareto (w tym przypadku 95/5)
  • 17. dns blackholing wszystko przepięknie, ale skąd wziąć jadowite domeny do blokowania? [blok autoreklamowy] http://www.malwaredomains.org a skąd wiem, że są one jadowite i ktoś mi np. nie zablokuje onetu czy wp?
  • 18. dns blackholing można samemu sieć honeypotów na nieużywanych adresach IP ... połączona z sieciami honeypotów kolegów analizy malware dostępne na www firmy Sunbelt do obejrzenia przez uczestników (stąd wiemy, dlaczego ktoś dodał domenę) wewnętrzne zaufanie
  • 19. dns blackholing w jedności siła im więcej uczestników tym lepiej, ... ale dobra jest i mikroskala ... nawet tylko we własnym domu idealnie byłoby globalnie takie nowoczesne /etc/hosts (blokujące reklamy)
  • 20. dns blackholing skuteczność z życia wzięta przejęta sieć na 1.2k użyszkodników, około 150 do 200 osób zainfekowanych (skanujących i komunikujących się z różnymi serwerami C&C [w sumie 4 różnych botnetów], niektóre hosty były zainfekowane kilkoma botami) po włączeniu dns blackholingu (w wariancie ‘twardym’ z wymuszeniem korzystania z naszych dnsów) po dwóch dobach skanujących zostało 3, ale nie łaczyli się do żadnego serwera C&C (więc raczej wormy). w sieci zaczęły same z siebie działać telefony voip które wcześniej wykazywały zastanawiającą zbieżność ze stanem plam na Słońcu ;-)
  • 21. dns blackholing pozytywne efekty wdrożenia boty nie działają bez głowy nie ma spamu nie ma ataków ddos nic nie ma, wszystko zlikwidowane ;-)
  • 22. dns blackholing a wszystko to bez jakiejkolwiek ingerencji w komputer klienta
  • 24. konfiguracja binda (9) /etc/bind/named.conf – główny konfig dnsblackholing.conf – plik domeny zone quot;niedobradomena.plquot; IN { $TTL 15m type master; @ IN SOA ns1.domena.pl. admin.domena.pl. ( file „dnsblackholing.conf” 2006112402 ; serial }; 4h ; refresh 30m ; retry 14d ; expire 15m ; negative_ttl ) @ IN NS ns1.domena.pl. @ IN NS ns2.domena.pl. @ IN A 127.0.0.1 * IN A 127.0.0.1
  • 25. pytania? No questions, violators will be shot. Survivors will be shot again!
  • 26. dziękuję za uwagę patryk dawidziuk IT BCE / LogicalTrust @: p.dawidziuk@itbce.com (także jid)