Dns Blackholing

DNS Blackholing ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem Patryk Dawidziuk IT BCE / LogicalTrust

botnet botnet - armia komputerów zainfekowanych złośliwym oprogramowaniem (malware) najczęściej trojany w wielu wariantach, serwują spam, phishing, itp.

botnet botnet w domu, w ogrodzie i w kosmosie ...w domu (domowy komputer zainfekowany trojanem) ...w ogrodzie (ledwo wyjdziemy do ogródka z hotspotem boty zabierają nam komputer) w komputerach nasa (bez oprogramowania AV, bo “po co tam” :-/ )

botnet zalety posiadania botnetu spam, phishing, fraud terroryzm (“podobno macie problem z dostępem do sieci”, patrz dowcip o skinheadach którzy uratowali staruszkę) czyli DDoS, DoS i inne ataki kradzież tożsamości, danych osobowych, numerów kart kredytowych

mechanizmy komunikacji scentralizowany boty łączą się do jednego (lub kilku) serwerów C&C p2p: fast-ﬂux hydraﬂux inne, nowe, niewykryte

metoda scentralizowana boty po uruchomieniu pytają o domenę, w celu uzyskania adresu IP do którego się mają podłączyć przeważnie dostają jeden (w wariantach zmutowanych kilka - 3 do 5, rzadko więcej) adresy IP zmieniają się często (bardzo często) domeny w zasadzie nie zmieniają się

metoda p-2-p fast-flux - hosty skanują sieć w poszukiwaniu pośredników, którzy wiedzą więcej i łączą się do nich, jeden serwer C&C, który może być gdziekolwiek (np. na zarażonym hoście, czy na pośredniku) hydraflux - upgrade fast-fluxa, gdzie jest wiele serwerów C&C połączonych ze sobą

części wspólne domeny nie zmieniają się (czasem jest ich kilka, ale ogólnie nie zmieniają się) adresy IP potraﬁą się zmieniać raz na kilka minut ale tylko w ramach tej samej domeny

wykrywanie wroga boty najczęściej skanują sieć (lokalną i każdą inną) w poszukiwaniu kolejnych oﬁar wykrycie specyﬁcznego rodzaju skanu oznacza niechciane towarzystwo

wnioski blokowanie adresów IP nie ma sensu blokowanie domeny ma dużo sensu aaale jak zablokować domenę?

dns blackholing boty pytają o domenę, boty dostają adres IP, inny niż by tego sobie życzył właściciel domeny nigdzie się nie łączą i nie są groźne tak, jest to możliwe

dns blackholing klienci dostępowi żeby się gdziekolwiek połączyć potrzebują (dostają na kartce, lub po dhcp): adres IP, domyślną bramę, maskę podsieci oraz... serwery DNS, najczęściej dwa (yes, yes, yes!)

dns blackholing kto ma router ten ma władzę

dns blackholing kto ma dnsa i router ten ma władzę absolutną ;-)

dns blackholing niby dlaczego to ma działać? trojany najczęściej wolałyby zostać niewykryte zmianę dnsów jest stosunkowo prosto i szybko wykryć ... i decydowanie zbyt łatwo naprawić ... więc trojany tego nie dotykają (przeważnie)

dns blackholing Ciemna Strona Mocy malware dobierające się do routerów sprzętowych podmieniając dnsy użytkownicy uważający, że najlepsze są dnsy NASKu (nieważne, że są 15 hopów i 200ms dalej) ale od czego są ﬁltry i redirekty ;-) ... ignorując powyższe, działa zasada Pareto (w tym przypadku 95/5)

dns blackholing wszystko przepięknie, ale skąd wziąć jadowite domeny do blokowania? [blok autoreklamowy] http://www.malwaredomains.org a skąd wiem, że są one jadowite i ktoś mi np. nie zablokuje onetu czy wp?

dns blackholing można samemu sieć honeypotów na nieużywanych adresach IP ... połączona z sieciami honeypotów kolegów analizy malware dostępne na www ﬁrmy Sunbelt do obejrzenia przez uczestników (stąd wiemy, dlaczego ktoś dodał domenę) wewnętrzne zaufanie

dns blackholing w jedności siła im więcej uczestników tym lepiej, ... ale dobra jest i mikroskala ... nawet tylko we własnym domu idealnie byłoby globalnie takie nowoczesne /etc/hosts (blokujące reklamy)

dns blackholing skuteczność z życia wzięta przejęta sieć na 1.2k użyszkodników, około 150 do 200 osób zainfekowanych (skanujących i komunikujących się z różnymi serwerami C&C [w sumie 4 różnych botnetów], niektóre hosty były zainfekowane kilkoma botami) po włączeniu dns blackholingu (w wariancie ‘twardym’ z wymuszeniem korzystania z naszych dnsów) po dwóch dobach skanujących zostało 3, ale nie łaczyli się do żadnego serwera C&C (więc raczej wormy). w sieci zaczęły same z siebie działać telefony voip które wcześniej wykazywały zastanawiającą zbieżność ze stanem plam na Słońcu ;-)

dns blackholing pozytywne efekty wdrożenia boty nie działają bez głowy nie ma spamu nie ma ataków ddos nic nie ma, wszystko zlikwidowane ;-)

dns blackholing a wszystko to bez jakiejkolwiek ingerencji w komputer klienta

dns blackholing konﬁguracja

konﬁguracja binda (9) /etc/bind/named.conf – główny konfig dnsblackholing.conf – plik domeny zone quot;niedobradomena.plquot; IN { $TTL 15m type master; @ IN SOA ns1.domena.pl. admin.domena.pl. ( file „dnsblackholing.conf” 2006112402 ; serial }; 4h ; refresh 30m ; retry 14d ; expire 15m ; negative_ttl ) @ IN NS ns1.domena.pl. @ IN NS ns2.domena.pl. @ IN A 127.0.0.1 * IN A 127.0.0.1

pytania? No questions, violators will be shot. Survivors will be shot again!

dziękuję za uwagę patryk dawidziuk IT BCE / LogicalTrust @: p.dawidziuk@itbce.com (także jid)

Dns Blackholing

by Logicaltrust pl on Sep 30, 2008

Accessibility

Categories

Tags

Upload Details

Usage Rights

1 Embed 23

Statistics

Dns Blackholing — Presentation Transcript