DNS Blackholing
ochrona sieci dostępowych przed skutkami
infekcji złośliwym oprogramowaniem
Patryk Dawidziuk IT BCE / LogicalTrust

botnet
botnet - armia komputerów zainfekowanych złośliwym
oprogramowaniem (malware)
najczęściej trojany
w wielu wariantach, serwują spam, phishing, itp.

botnet
botnet w domu, w ogrodzie i w kosmosie
...w domu (domowy komputer zainfekowany trojanem)
...w ogrodzie (ledwo wyjdziemy do ogródka z
hotspotem boty zabierają nam komputer)
w komputerach nasa (bez oprogramowania AV, bo “po
co tam” :-/ )

botnet
zalety posiadania botnetu
spam, phishing, fraud
terroryzm (“podobno macie problem z dostępem do
sieci”, patrz dowcip o skinheadach którzy uratowali
staruszkę) czyli DDoS, DoS i inne ataki
kradzież tożsamości, danych osobowych, numerów
kart kredytowych

mechanizmy komunikacji
scentralizowany
boty łączą się do jednego (lub kilku) serwerów C&C
p2p:
fast-flux
hydraflux
inne, nowe, niewykryte

metoda scentralizowana
boty po uruchomieniu pytają o domenę, w celu
uzyskania adresu IP do którego się mają podłączyć
przeważnie dostają jeden (w wariantach zmutowanych
kilka - 3 do 5, rzadko więcej)
adresy IP zmieniają się często (bardzo często)
domeny w zasadzie nie zmieniają się

metoda p-2-p
fast-flux - hosty skanują sieć w poszukiwaniu
pośredników, którzy wiedzą więcej i łączą się do nich,
jeden serwer C&C, który może być gdziekolwiek (np.
na zarażonym hoście, czy na pośredniku)
hydraflux - upgrade fast-fluxa, gdzie jest wiele
serwerów C&C połączonych ze sobą

części wspólne
domeny nie zmieniają się (czasem jest ich kilka, ale
ogólnie nie zmieniają się)
adresy IP potrafią się zmieniać raz na kilka minut
ale tylko w ramach tej samej domeny

wykrywanie wroga
boty najczęściej skanują sieć (lokalną i każdą inną) w
poszukiwaniu kolejnych ofiar
wykrycie specyficznego rodzaju skanu oznacza
niechciane towarzystwo

wnioski
blokowanie adresów IP nie ma sensu
blokowanie domeny ma dużo sensu
aaale jak zablokować domenę?

dns blackholing
boty pytają o domenę, boty dostają adres IP,
inny niż by tego sobie życzył właściciel domeny
nigdzie się nie łączą i nie są groźne
tak, jest to możliwe

dns blackholing
klienci dostępowi żeby się gdziekolwiek połączyć
potrzebują (dostają na kartce, lub po dhcp):
adres IP, domyślną bramę, maskę podsieci oraz...
serwery DNS, najczęściej dwa (yes, yes, yes!)

dns blackholing
kto ma router ten ma władzę

dns blackholing
kto ma dnsa i router ten ma władzę absolutną ;-)

dns blackholing
niby dlaczego to ma działać?
trojany najczęściej wolałyby zostać niewykryte
zmianę dnsów jest stosunkowo prosto i szybko
wykryć
... i decydowanie zbyt łatwo naprawić
... więc trojany tego nie dotykają (przeważnie)

dns blackholing
Ciemna Strona Mocy
malware dobierające się do routerów sprzętowych
podmieniając dnsy
użytkownicy uważający, że najlepsze są dnsy NASKu
(nieważne, że są 15 hopów i 200ms dalej)
ale od czego są filtry i redirekty ;-)
... ignorując powyższe, działa zasada Pareto (w tym przypadku
95/5)

dns blackholing
wszystko przepięknie, ale skąd wziąć jadowite domeny
do blokowania?
[blok autoreklamowy]
http://www.malwaredomains.org
a skąd wiem, że są one jadowite i ktoś mi np. nie
zablokuje onetu czy wp?

dns blackholing
można samemu
sieć honeypotów na nieużywanych adresach IP
... połączona z sieciami honeypotów kolegów
analizy malware dostępne na www firmy Sunbelt do
obejrzenia przez uczestników (stąd wiemy, dlaczego ktoś
dodał domenę)
wewnętrzne zaufanie

dns blackholing
w jedności siła
im więcej uczestników tym lepiej,
... ale dobra jest i mikroskala
... nawet tylko we własnym domu
idealnie byłoby globalnie
takie nowoczesne /etc/hosts (blokujące reklamy)

dns blackholing
skuteczność z życia wzięta
przejęta sieć na 1.2k użyszkodników,
około 150 do 200 osób zainfekowanych (skanujących i komunikujących
się z różnymi serwerami C&C [w sumie 4 różnych botnetów], niektóre
hosty były zainfekowane kilkoma botami)
po włączeniu dns blackholingu (w wariancie ‘twardym’ z wymuszeniem
korzystania z naszych dnsów) po dwóch dobach skanujących zostało 3,
ale nie łaczyli się do żadnego serwera C&C (więc raczej wormy).
w sieci zaczęły same z siebie działać telefony voip które wcześniej
wykazywały zastanawiającą zbieżność ze stanem plam na Słońcu ;-)

dns blackholing
pozytywne efekty wdrożenia
boty nie działają bez głowy
nie ma spamu
nie ma ataków ddos
nic nie ma, wszystko zlikwidowane ;-)

dns blackholing
a wszystko to bez jakiejkolwiek ingerencji w komputer
klienta

dns blackholing
konfiguracja

konfiguracja binda (9)
/etc/bind/named.conf – główny konfig dnsblackholing.conf – plik domeny
zone \"niedobradomena.pl\" IN { $TTL 15m
type master; @ IN SOA ns1.domena.pl. admin.domena.pl. (
file „dnsblackholing.conf” 2006112402 ; serial
}; 4h ; refresh
30m ; retry
14d ; expire
15m ; negative_ttl
)
@ IN NS ns1.domena.pl.
@ IN NS ns2.domena.pl.
@ IN A 127.0.0.1
* IN A 127.0.0.1

pytania?
No questions, violators will be shot. Survivors
will be shot again!

dziękuję za uwagę
patryk dawidziuk IT BCE / LogicalTrust
@: p.dawidziuk@itbce.com (także jid)