Fighting modern botnets_short

1,157 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,157
On SlideShare
0
From Embeds
0
Number of Embeds
215
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Fighting modern botnets_short

  1. 1. Современные методы борьбы с ботнетами<br />Бешков Андрей<br />Руководитель программы ИТ безопасности<br />Microsoft Россия<br />http://beshkov.ru<br />http://twitter.com/abeshkov<br />abeshkov@microsoft.com<br />
  2. 2. Содержание<br />10 самых распространенных семейств зловредного ПО <br />Что такое ботнеты и как в них попасть? <br />Архитектура ботнета Waledac<br />Опыт борьбы Microsoft с ботнетами<br />
  3. 3. Откуда данные о зловредах?<br />Данные о зловредном ПО были собраны с 600 миллионов компьютеров обслуживаемых средствами безопасности Microsoft такими как:<br /><ul><li>Malicious Software Removal Tool
  4. 4. Microsoft Security Essentials
  5. 5. Windows Defender
  6. 6. Microsoft Forefront Client Security
  7. 7. Windows Live OneCare
  8. 8. Windows Live OneCare safety scanner</li></ul>http://www.microsoft.com/security/sir/<br />
  9. 9. TOP 10 семейств злонамеренного ПО<br />http://www.microsoft.com/security/sir/<br />
  10. 10. Win32/Taterf и Win32/Frethog<br />Крадет логины MMORGS игр. Lineageи.т.д<br />Распространяется через папки общего доступа. <br />Приносит с собой Frethog крадуший остальные пароли.<br />Устанавливается с разрешения пользователя<br />
  11. 11. Win32/Renos<br />Запугивает пользователя сообщениями о несуществующем заражении ОС. <br />Устанавливает в систему:<br />SpySheriff, SpyAxe, SpyFalcon, SpyDawn, SpywareStrike<br />Устанавливается с разрешения пользователя.<br />
  12. 12. Win32/FakeSpypro<br />Поддельный антивирус. Заражает систему с позволения пользователя.<br />Запугивает и заставляет покупать поддельное ПО для лечения.<br />
  13. 13. Win32/Alureon<br />Перед просмотром видео предлагает пользователю поставить кодеки или драйвера для проигрывания видео.<br />Кто же от такого откажется? Бесплатно!<br />Может вызывать BSOD при последующих обновлениях системы<br />
  14. 14. Win32/Zwangi<br />Предлагает скачать и установить бесплатный <br />скринсейвер.<br />Устанавливается с разрешения пользователя.<br />
  15. 15. Win32/Conficker<br />Единственный червь использующий для распространения 3 уязвимости в Windows. В пике эпидемии доходил до 6,5 млн зараженных хостов. <br />Обновление устраняющее уязвимость выпущено за 3 месяца до эпидемии!<br />Более 90% клиентов обновилось в течении первой недели. Заразились те, кто не установили обновление в течении трех месяцев.<br />
  16. 16. Новые социальные атаки<br />Поддельный вебсайт с IE9 попал в топ поисковой выдачи Bing и Google <br />за счет рекламы. Заблокирован IE9 SmartScreen Filter <br />
  17. 17. Атаки на альтернативные браузеры<br />
  18. 18. Атаки Drive-By Download<br />2. IFrameсекретно <br />загружает <br />другую страницу<br />3. Страница <br />перенаправляет<br /> на другую <br />страницу с эксплоитом<br />4. Если эксплоит <br />сработал, <br />скачивается <br />зловред и <br />заражает жертву<br />1. Пользователь с уязвимой <br />системой посещаетстраницу с невидимымIFrame<br />Пользователь<br />Взломанный <br />или злонамереный сайт<br />Перенаправление<br />Сервер с эксплоитом<br />Сервер с вредоносом<br />
  19. 19. Уязвимости для Drive-By Download<br />Тестировалось на 500000 машин с известными уязвимостями. Результативность заражения 31% <br />37% - Java JRE<br />32% - AdobeReader и Acrobat<br />16% - AdobeFlash. <br />10% - InternetExplorer<br />3% - AppleQuickTime<br />2% - Центр справки и поддержки Windows<br />Исследование CSIS<br />http://www.theregister.co.uk/2011/09/28/window_malware_infection_exposed/<br />
  20. 20. Windows 7 заражается в 5 раз меньше!<br />Обнаружение зловредного ПО на каждую 1000 запусков антивирусных средств.<br />Avast подсчитала статистику заражения руткитами:<br />74% - Windows XP <br />17% - WindowsVista<br />12% - Windows 7<br />
  21. 21. Почему Windows 7 в 5 раз реже заражается?<br />
  22. 22. Технологическая или социальная проблема?<br />9 из 10 самых распространенных злонамеренных приложений устанавливаются в систему с согласия пользователя!<br />По версии AVG Technologies заражение с применением социальной инженерии происходит в 4 раза чаще чем с помощью уязвимостей в ОС и приложениях любого производителя.<br />http://www.virusbtn.com/conference/vb2010/abstracts/Hughes.xml<br />
  23. 23. Как защищаться?<br />Обучать пользователей защите от социальной инженерии.<br />Smart Screen в Internet Explorer защищает от 99% социальных атак. <br />Обновлять системы и приложения. Большинство атак выполняется с использованием старых уязвимостей<br />Enhanced Mitigation Experience Toolkit (EMET) v2.0<br />Фильтрация трафика известных эксплоитов – Forefront TMG<br />
  24. 24. Как защищаться?<br />Работа в системе с правами обычного пользователя предотвращает атаки на:<br />75% - критических уязвимостей Windows 7<br />100% - уязвимостейMicrosoft Office опубликованных в 2010 г.<br />100% - уязвимостейInternet Explorer опубликованных за2010 г.<br />64% всех уязвимостей в продуктах Microsoft опубликованных в 2010 г.<br />Исследование BeyondTrust за 2010 г<br />http://www.net-security.org/secworld.php?id=10886<br />
  25. 25. Ботнеты<br />
  26. 26. Топ25 ботнетов<br />
  27. 27. Распределение ботнетов по странам <br />
  28. 28. Linux и Android ботнеты<br />Psyb0t – 100.000 ADSL зараженных маршрутизаторов Netcomm NB5.<br />Появился за счет халатности производителя. <br />Psybot поддерживает заражение прошивок OpenWRT и DD-WRT. <br />Кроме подбора пароля по SSH, FTP или telnet может атаковать <br />некорректно настроенные версии phpMyAdmin и MySQL. <br />http://www.symantec.com/security_response/writeup.jsp?docid=2009-032400-0103-99<br />http://www.opennet.ru/opennews/art.shtml?num=25528<br />http://www.opennet.ru/opennews/art.shtml?num=20918<br />Впоследствии появился ботнетChuck Norris <br />http://www.pcworld.com/businesscenter/article/189868/chuck_norris_botnet_karatechops_routers_hard.html<br />Ботнет на основе Android из 40000 устройств довольно серьезная сила. Возник из за отсутствия проверки приложений в Android market<br />http://s1.securityweek.com/report-reveals-emerging-trend-android-botnet-infections<br />
  29. 29. Ботнетвдействии<br />1) Злоумышленник создает зловред сам или покупает его на рынке. Затем использует его для заражения целей или продает другим.<br />2) Доступ к части ботнета продается другим злоумышленникам<br />3) Доступ к ботнету получен<br />4) Ресурсы ботнета используются для множества аттак одновременно<br />5) Свободные ресурсы используются для заражения и добавления новых узлов в ботнет<br />
  30. 30. Рынок ботнетов<br />
  31. 31. Рынок ботнетов<br />Цена за тысячу зараженных компьютеров: <br /><ul><li>США и Великобритания – от 110$до 180$.
  32. 32. Европа - от 20$до 60$.
  33. 33. Другие страны - менее 10$.</li></ul>Цена варьируется в зависимости от того что можно найти на зараженных ПК и скорости подключения в Интернет.<br />
  34. 34. Изготовление ботнетов<br />Ботнеткомплекты в продаже:<br /><ul><li>Zbot(Zeus)
  35. 35. Spyeye
  36. 36. Mariposa
  37. 37. BlackEnergy
  38. 38. ButterFly
  39. 39. Reptile
  40. 40. Zombiem
  41. 41. Ice-X</li></ul>Цена на комплект варьируется от 10000$ до 5$.<br />
  42. 42. Построение ботнета Zbot<br />Справится даже ребенок!<br />
  43. 43. Управление ботнетом Zbot<br />
  44. 44. Управление ботнетом Zbot<br />
  45. 45. Управление ботнетом Zbot<br />Аналог облачных вычислений:<br /><ul><li>Выполняет задачи нескольких заказчиков одновременно
  46. 46. Эластичен и представляет почти безграничные ресурсы
  47. 47. Оплата за потребляемые ресурсы</li></li></ul><li>Управление ботнетом Zbot<br />Логины и пароли собранные ботами с зараженных систем<br />
  48. 48. Обнаружение активности ботнетов<br />IP адреса узлов <br />отправителей<br />Спам сообщений<br />
  49. 49. Поведение ботнета при рассылке спама<br />Lethicкрайне агрессивно рассылает спам с малого количества IP адресов. <br />Rustockиспользует много IP адресов и шлет с каждого понемногу. <br />За счет этого обнаружить Rustockсложнее.<br />
  50. 50. Типовая структура ботнета<br />
  51. 51. Варианты уничтожения ботнета<br /><ul><li>Захватить или уничтожить С&C узлы
  52. 52. DDoSна С&C узлы?
  53. 53. Жалобы провайдеру
  54. 54. Захват DNS имен
  55. 55. Блокирование IP адресов
  56. 56. Арест владельца ботнета
  57. 57. Судебный иск</li></li></ul><li>Механизмы управления C&C узлами<br />
  58. 58. Операция b49<br />Захват ботнета Waledac<br />
  59. 59. Структуработнета Waledac<br />
  60. 60. Waledac exchange node and repeater node<br />
  61. 61. 277 DNS именWaledac<br />newyearcardcompany.com <br />newyearcardfree.com <br />newyearcardonline.com <br />newyearcardservice.com <br />smartcardgreeting.com <br />superchristmasday.com <br />superchristmaslights.com <br />superyearcard.com <br />themirabelladirect.com <br />themirabellaguide.com <br />themirabellahome.com<br />yourregards.com <br />youryearcard.com <br />bestbarack.com <br /> greatobamaguide.com <br />greatobamaonline.com <br />jobarack.com <br />superobamadirect.com <br />superobamaonline.com <br />thebaracksite.com <br />topwale.com <br />waledirekt.com <br />waleonline.com <br />waleprojekt.com <br />goodnewsdigital.com <br />goodnewsreview.com <br />linkworldnews.com <br />reportradio.com <br />spacemynews.com <br />wapcitynews.com <br />worldnewsdot.com <br />worldnewseye.com <br />worldtracknews.com <br />bestgoodnews.com <br />adorelyric.com <br />adorepoem.com <br />adoresongs.com <br />bestbaracksite.com <br />bestobamadirect.com <br />expowale.com <br />bestadore.com <br />bestlovelong.com <br />funloveonline.com <br />youradore.com <br />yourgreatlove.com <br />orldlovelife.com <br />romanticsloving.com <br />adoresong.com <br />bestlovehelp.com <br />chatloveonline.com <br />cherishletter.com <br />cherishpoems.com <br />lovecentralonline.com <br />lovelifeportal.com <br />whocherish.com <br />worldlovelife.com <br />worshiplove.com <br />yourteamdoc.com <br />yourdatabank.com <br />alldatanow.com <br />alldataworld.com <br />cantlosedata.com <br />justchristmasgift.com <br />lifegreetingcard.com <br />livechristmascard.com <br />bestchristmascard.com <br />bestmirabella.com <br />bestyearcard.com <br />blackchristmascard.com <br />cardnewyear.com <br />cheapdecember.com <br />christmaslightsnow.com <br />decemberchristmas.com <br />directchristmasgift.com <br />eternalgreetingcard.com <br />freechristmassite.com <br />freechristmasworld.com <br />freedecember.com <br />funnychristmasguide.com <br />greatmirabellasite.com <br />greetingcardcalendar.com <br />greetingcardgarb.com <br />greetingguide.com <br />greetingsupersite.com <br />holidayxmas.com <br />topgreetingsite.com <br />whitewhitechristmas.com <br />worldgreetingcard.com <br />yourchristmaslights.com <br />yourdecember.com <br />yourmirabelladirect.com <br />
  62. 62. P2P обмен внутри Waledacс помощьюfast flux DNS<br />
  63. 63. Проксирование траффика Waledac<br />
  64. 64. Захват Waledac<br />Последовательность действий<br />Создание прецедента<br />Hotmail заблокировал 651 миллионсоединений отботнета Waledac-за 18 дней<br />Waledacвходит в 10 крупнейших ботнетов в 39 странах<br />Захват С & C <br />доменов<br />Официальное уведомление<br />Судебный иск<br />
  65. 65. Уведомление о решении суда www.noticeofpleadings.com<br />
  66. 66. ОтравлениеWaledac<br />
  67. 67. Активные IP адресаботнета Waledac<br />2-й квартал 2010 г.<br />
  68. 68. Активные IP адресаботнета Waledac<br />Январь 2011 г.<br />
  69. 69. После захвата<br />MS не может удалить ботов с зараженных ПК. Это будет вмешательством в частную жизнь.<br />Образцы ботов добавляются в антивирусные продукты MS и других производителей. Обмен образцами идет через Microsoft Active Protection Program (MAPP)<br />Интернет провайдерам сообщаются адреса зараженных машин через программу Global Infrastructure Alliance for Internet Safety<br />Пользователям рекомендуется использовать:<br />Malicious Software Removal Tool<br />Microsoft Safety Scanner<br />Microsoft Security Essentials<br />
  70. 70. Уничтожение других ботнетов<br />Операция b49 <br />Захват ботнетаWaledac<br />1.5 миллиардов спам сообщений ежедневно. В процессе исследования было найдено полмиллиона паролей от почтовых ящиков пользователей и ftp серверов.<br />Операция b107<br />Захват ботнета Rustock. В пике своей активности рассылал80% мирового спама. Примерно 2000 спам сообщений в секунду.<br />Захват ботнетаCoreflood<br />ФБР при содействии Microsoft захватила ботнетCorefloodотвечающий за финансовые преступления на сумму 100 миллионовдолларов<br />Операция b79<br />Захват ботнетаKelihos<br />Совместная операция Лаборатории Касперского и Microsoft. Kelihosможно назвать Waledac 2.0<br />
  71. 71. Ресурсы<br />http://blogs.technet.com/mmpc/<br />http://blogs.technet.com/msrc/<br />http://www.microsoft.com/security/sdl/<br />http://www.microsoft.com/security/sir/<br />

×