Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris Petr Špringl springl@invea.cz
INVEA-TECH Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty EU Přes 100 instalací na českém trhu Desítky provedených analýz a měření sítí, např. Zákaznické reference akademická sféra univerzity, knihovny, AV státní sféra magistráty, kraje, nemocnice soukromá sféra od malých až po největší společnosti poskytovatelé internetu Mnoho referencí i ze zahraničí, např. Korea Telecom 2/48
Agenda Bezpečnost několik zajímavých statistik Základní přehled běžně používaných bezpečnostních nástrojů Bezpečnostní monitoring (monitorování datových toků) Objevení botnetu Chuck Norris případová studie 3/48
Malware Zdroj: McAfee Threats Report: Fourth Quarter 2011 4/48
Botnety infikovaná zařízení Zdroj: McAfee Threats Report: Fourth Quarter 2011 5/48
Botnety infikovaná zařízení Zdroj: McAfee Threats Report: Fourth Quarter 2011 6/48
Motivace útočníků Zdroj: Radware 2011 Global Application& Network Security Report 7/48
Zveřejněné úniky dat Zdroj: McAfee Threats Report: Fourth Quarter 2011 8/48
Botnet as a Service Zdroj: McAfee Threats Report: First Quarter 2011 9/48
Nás se to přeci netýká. Nebo?
Útoky v ČR 11/48
Útoky v ČR 12/48
Útoky v ČR A řada dalších Ochranný svaz autorský Parlament ČR Intergram. 13/48
Co s tím? Jak se bránit?
Běžně používané bezpečnostní nástroje Firewall
FIREWALL OK
Běžně používané bezpečnostní nástroje Intrusion Detection System IntrusionPreventionSystem
IDS/IPS OK STOP
Běžně používané bezpečnostní nástroje Anti Virus, Anti Spyware,
ANTI-X OK
Bezpečnost sítě - trendy Nové trendy vyžadují používání moderních nástrojů 22/48
Bezpečnost sítě - trendy Již se nestačí bránit pouze na perimetru 23/48
Moderní přístup Bezpečnostní monitoring sítí (monitorování datových toků -NetFlow)
Moderní přístup Detekce nežádoucího chování
Moderní přístup Detekce anomálií
Technologie NetFlow Měření na základě IP toků analyzují se pouze hlavičky paketů, obsah paketů není monitorován ani uchováván (ochrana osobních údajů) Moderní metoda monitorování sítí, Cisco standard v5/v9 31/48
Architektura Zdroje síťových statistik (např. specializované sondy) monitoring síťového provozu a export NetFlow dat Kolektory NetFlow dat analýza, vyhodnocení a vizualizace síťových statistik 32/48
Přínosy monitorování toků Detailní přehled o dění v síti (LAN i WAN) -jak v reálném čase, tak kdykoliv v minulosti Top N statistiky (uživatelé, služby, navštěvované servery) uživatelské pohledy (pobočky, servery, uživatelé, protokoly) rozkrytí až na úroveň jednotlivých komunikací upozorňování/alerting Zvýšení bezpečnosti, odhalení vnitřních i vnějších útoků Vyšetřování a dohledávání incidentů Přínosy i pro správu a management sítě přesné, rychlé a efektivní řešení problémů snadné plánování kapacit a optimalizací sítě dohled nad využitím Internetu, využitím aplikací předcházení incidentům jako jsou zahlcení a výpadky sítě odhalení špatných konfigurací 33/48
Analýza chování sítě Network Behavior Analysis(NBA) Moderní nadstavba nad monitorováním datových toků Automatická pokročilá detailní analýza NetFlow dat Detekce nežádoucích vzorů chování vnitřní i vnější útoky nežádoucí služby a aplikace Behaviorální analýza profily chování detekce anomálií, podezřelého chování Účinné i pro moderní útoky psané na míru 34/48
Přínosy NBA systémů Detekce vnitřních i vnějších útoků, změn chování v síti Rychlý přehled o všech událostech v síti včetně okamžité indikace problémů Kontrola přístupů uživatelů k datovým zdrojům Dohledávání a prokazování bezpečnostních incidentů Porovnání bezpečnostních politik se skutečným stavem Prevence před únikem informací ze společnosti Odhalení útoků, které jsou nedetekovatelné jinými nástroji 35/48
Objevení botnetuchucknorris CSIRT-MU díky monitorování sítě (monitorování datových toků) 1.3.2012 Bezpečnostní monitoring INVEA-TECH 2012
Botnet Objevení botnetuchucknorriscsirt-mu díky monitorování sítě (monitorování datových toků) Co je botnet? bot = škodlivý software, vyspělejší sourozenec virů a červů botnet = síť botů(napadených počítačů) Obecné vlastnosti botnetů vzdáleně ovládaná síť napadených počítačů (IRC protokol) vyhledávání zranitelných počítačů zneužití napadených počítačů pro nelegální činnost 37/48
Proč botnet? Zdroj: Yury Namestnikov The economics of Botnets 38/48
Proč botnet? Zdroj: Yury Namestnikov The economics of Botnets 39/48
Odhalování botnetů Antivirus, Antimalware, Antispam, Anti... tradiční způsob detekce a ochrany před škodlivým kódem reaguje na známé hrozby poté co jsou objeveny zaměřeno na ochranu běžných uživatelů OS Honeypoty nástraha pro útočníka, aby se svojí aktivitou prozradil primárně nijak nechrání síť zaměřeno na odhalení a analýzu nových forem malware Bezpečnostní sledování sítě a analýza výstupů každý v síti zanechává stopy zajímavé protokoly DNS, HTTP, SMTP, IRC... 40/48
Odhalení botnetu Chuck Norris Mnoho pokusů z celého světa opřipojení ke službě TELNET odhaleno díky monitorování sítě (monitorování datových toků) kdo dnes používá TELNET??? proč se zařízení z celého světa chtějí připojit na TELNET port? Následná podrobnější analýza situace vedla k odhalení botnetu 41/48
Odhalení botnetu Chuck Norris Zpětné trasování zjištěno, že se jedná o ADSL modemy, WIFI routery Připojení na nakažené zařízení jednoduchý slovníkový útok Analýza činnosti nakaženého zařízení Připojení na řídící server Analýza chování botnetu 42/48
Botnet Chuck Norris Napadá linuxové servery ADSL modemy, WIFI routery, satelitní přijímače Napadená zařízení se snaží nakazit další zařízení (skenování portů - TELNET, slovníkové útoky jen 15 hesel!!!) se připojují k centrálnímu serveru, jenž jim udílí příkazy (IRC) 43/48
Botnet Chuck Norris Čas překladu nástroje pnscan- 4.7.2008 Nejstarší soubory na distribučním serveru - 19.5.2009 Objevení botnetu na MU - 2.12.2009 Snahy o ukončení botnetu(csirt-mu) ChuckNorrisv2 květen 2010 Různé modifikace dodnes Hydra Aidra(13.12.2011)??? 44/48
Útoky stále pokračují Botnet Aidra satelity, VOIP zařízení, mediální centra 45/48
Chuck Norris - shrnutí Napadá ADSL modemy, WIFI routery, satelitní přijímače >500 000 takových zařízení celosvětově napadený uživatel neví, že se podílí na nelegální činnosti napadené zařízení je trvale připojeno k Internetu nelze detekovat standardními ANTI řešeními možnost manipulace s veškerým provozem do/z napadené sítě Útok založen na triviálním slovníkovém útoku (15 hesel) Celá řada operátorů podcenila hrozbu banálního útoku Schází zdroje pro odhalování podobných útoků -projevy chování botnetu se dají jen těžce přehlédnout [R]anger Killato : in nome di Chuck Norris! 46/48
Co přijde příště? Nárůst používání síťových technologií v el. zařízeních Jakékoliv zařízení s IP adresou je potenciálně nebezpečné inteligentní budovy, technologické sítě, infrastruktura Monitoring datových toků je klíčovou technologií!!! 47/48
Děkuji za pozornost Váš partner ve světě vysokorychlostních sítí Petr Špringl springl@invea.cz 724 899 760 INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno www.invea.cz Prezentace vznikla za spolupráce a při použití zdrojů projektu CYBER projekt Ministerstva Obrany ČR realizovaný ÚVT a FI Masarykovy Univerzity. http://www.muni.cz/ics/cyber/ 48/48