2. Fifty shades of greylist
● Logy firewallu všech
routerů jsou
vyhodnocovány na
centrálním serveru
● Sledování zdrojových
adres, cílových portů a
množství požadavků
● Týdenní generování
veřejného greylistu:
https://www.turris.cz/greylist-data/
3. We've been naughty
● Zatím je málo pokrytá komunikace iniciovaná na
straně sítě za Turrisem, typicky komunikace
infikovaných strojů s C&C servery
● Jsou využívány volně dostupné blacklisty
● Botnet trackery (např. Zeus), Malc0de, atd.
● Nové zdroje vyhodnocujeme a zvažujeme jejich
zařazení
4. Laters, baby!
● Vlastní detekce infikovaných strojů na základě
analýzy podezřelého odchozího provozu
● Vyhledávání anomálií v provozu odcházejícího
z Turrisů – obohacení dat o ASN a geolokaci
● Verifikace podezřelého provozu a odstranění
false positives - PassiveDNS, VirusTotal
- Detekce anomálií zaměřená zejména na výskyt různých portů v provozu
- Anomálie jsou v první fázi detekovány na každém routeru zvlášť a následně na jsou data porovnávána centrálně napříč všemi routery
- Týdenní agregace všech dat a vygenerování greylistu včetně tagů, geolokace a asn
- Všechny záznamy v greylistu jsou tagovány, taxonomie je popsána v souboru legend.txt také na odkazu výše
- Většina malwaru dnes iniciuje komunikaci ze strany klienta na portech 80 a 443
- Častým způsobem infekce je komunikace http/s, nezřídka i na „důvěryhodných“ webech
- social engineering na sociálních sítích
- skrze reklamní služby
- Současně zařazené blacklisty zvládají detekovat a blokovat některou komunikaci malwaru nebo prvotní infekci
- Rádi bychom detekovali více incidentů než jenom ty, se kterými pomáhají existující blacklisty
- Pracujeme na vyhledávání anomálního klientského provozu, který může ukazovat na prvotní infekce nebo komunikaci s C&C servery
- Zatím se orientujeme v datech pomocí ELK (elasticsearch, logstash, kibana)
- anomální provoz ověřujeme vůči PassiveDNS a VirusTotal, abychom ověřili, zda se nejedná o false positive
- vše je na úplném začátku a bude se hodně měnit a upravovat