SlideShare a Scribd company logo

PLNOG14: DNS jako niedoceniana broń ISP w walce ze złośliwym oprogramowaniem - Przemek Jaroszewski

PROIDEA
PROIDEA

Przemek Jaroszewski - CERT Polska Language: Polish DNS jest protokołem dającym bardzo szerokie możliwości monitorowania złośliwego oprogramowania oraz aktywnej walki z nim - począwszy od algorytmów i heurystyk wykrywania podejrzanych domen po DNS blackholing. Mechanizmy są tym skuteczniejsze, im więcej podmiotów jest w nie zaangażowane, nie tylko na poziomie zbierania i dystrybucji informacji, ale także znoszenia zagrożeń. W niniejszej prezentacji chcemy zaproponować kilka projektów, które dzięki współpracy ISP pozwoliłyby na podniesienie skuteczności ochrony użytkowników przed złośliwym oprogramowaniem na nowy poziom. Zarejestruj się na kolejną edycję PLNOG już dziś: krakow.plnog.pl

Internet
1 of 16
Download to read offline
DNS jako niedoceniana broń ISP w walce ze złośliwym oprogramowaniem PRZEMEK JAROSZEWSKI CERT POLSKA / NASK PLNOG14, WARSZAWA, 2-3 MARCA 2015 R.
whoami  programista, psycholog społeczny  kierownik Zespołu Reagowania na Incydenty Naruszające Bezpieczeństwo Teleinformatyczne w CERT Polska  od 2001 w NASK, od początku związany z tematami bezpieczeństwa  szkolenia, współpraca z organami ścigania  współorganizator konferencji SECURE
DNS a złośliwe oprogramowanie
Dla ustalenia uwagi…  O czym będzie?  o roli DNS w monitorowaniu i zwalczaniu malware’u  o dostępnych rozwiązaniach, znanych od kilku[nastu] lat  o tym, co robi CERT Polska (oraz trochę o tym, co robią inni) i co można zrobić razem  O czym nie będzie?  o atakach na protokół DNS i o DNSSEC  o atakach na infrastrukturę i wykorzystaniu zmian DNS przez malware  o DNSBL
DNS a malware i botnety  Infrastruktura jest ulotna (VPSy, przejęte routery, hosty)  Nazwy domenowe są trwalsze i tanie  polityki rejestrów  bezpłatne subdomeny  name tasting  DGA jako wyjście awaryjne  DNS propaguje się względnie szybko, pozwalając na działanie „poniżej poziomu radaru”
Identyfikacja złośliwych domen  analiza złośliwego oprogramowana (ruch sieciowy, konfiguracje, RE)  obserwacja ruchu DNS, np.:  domeny młodsze niż 3 dni o dużym wzroście liczby zapytań?  domeny .pl o dużym wzroście liczby zapytań z zagranicy?  wykrywanie DGA  analiza podobieństw nazw  analiza rejestracji nazw domenowych, np.:  dane właściciela  serwery nazw
Passive DNS Idea (Florian Weimer, 2004): informacje z zapytań pomiędzy resolverem i serwerami nazw są archiwizowane w bazie danych (wraz z odciskiem czasu)  Nie są przechowywane dane użytkowników (kto pytał)  Możliwości przykładowych zapytań:  historia rekordów (A, NS, MX) dla danej nazwy  lista hostów dla danego IP  lista domen obsługiwanych przez dany NS  Dokładność i użyteczność silnie zależna od tego, z jak dużego ruchu pochodzą dane
Passive DNS - Aktorzy  Zbieranie danych  każdy, kto ma własny resolver  w praktyce przede wszystkim ISP  Analiza danych  zespoły CERT  firmy antywirusowe / antymalware  „niezależni” analitycy i researcherzy  Operatorzy bazy danych  każdy, kto ma interes w ich analizie  firmy oferujące usługi komercyjne
Reagowanie – DNS Blackholing Idea: Zidentyfikowane „złe” nazwy domenowe rozwiązujemy na błędny adres, zwykle prywatny  logowanie  możliwość identyfikacji problemowych klientów w sieci  granularność na poziomie konkretnej nazwy hosta  listy „złych” domen łatwo dostępne  dość łatwe do obejścia  może być świetną osługą opt-out
DNS Sinkholing Idea: Zamiast pod zły adres, wybrane nazwy przekierowujemy do serwera sinkhole (na poziomie resolvera lub w NS przejętej domeny)  większy narzut, ale większe możliwości analizy  odcinamy możliwości aktualizacji malware’u  szczególnie uzasadnione wewnątrz korporacji  ostrożnie z prywatnością użytkowników
Propozycje CERT Polska
Sinkhole  sinkhole.cert.pl obsługuje ponad 500 domen w różnych TLD  identyfikujemy kilkanaście rodzajów złośliwego oprogramowania  w szczycie ok. 700 klientów / s.  dane na bieżąco udostępniane przez n6  jądro architektury (NS, podstawowe moduły) udostępniamy do wykorzystania  Więcej: Tomasz Bukowski. The Art of Sinkholing – prezentacja z konferencji FIRST 2014: http://goo.gl/i3fi4V
DNS Blackholing – Model I (Prawie) Passive DNS dostajemy w bonusie 
DNS Blackholing – Model II zone "razdrochi.ru" { type master; file "/etc/namedb/blockeddomain.hosts„ }; $TTL 86400; one day @ IN SOA bhdns.mojadomena.pl. bhdns.mydomain.ca. ( 1 ; serial 28800 ; refresh 8 hours 7200 ; retry 2 hours 864000 ; expire 10 days 86400 ; min ttl 1 day ) NS bhdns.mydomain.ca. A 127.0.0.1 * IN A 127.0.0.1
… oraz inne konfiguracje  rekursywny resolver CERT Polska? niechętnie, ale…  s/Black/Sink/ – chętnie, w dowolnym wariancie  z wykorzystaniem sinkhole.cert.pl jako NS  lokalny Passive DNS Duplicator? możliwe…  Inne propozycje? Pytania? Komentarze?
Zapraszam do kontaktu  web: www.cert.pl, n6.cert.pl  mail: info@cert.pl  twitter: @CERT_Polska, @CERT_Polska_en  facebook: fb.com/CERT.Polska  youtube: CERTPolska  Przemek.Jaroszewski@cert.pl

Recommended

Co Zrobić By PożąDnie Zabezpieczyć Serwer W Sieci
Co Zrobić By PożąDnie Zabezpieczyć Serwer W SieciCo Zrobić By PożąDnie Zabezpieczyć Serwer W Sieci
Co Zrobić By PożąDnie Zabezpieczyć Serwer W Siecibystry
 
Zabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychZabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychg4life
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
Bpatryczek
 
Przemyslaw Jaroszewski - ABUSE-Forum
Przemyslaw Jaroszewski - ABUSE-ForumPrzemyslaw Jaroszewski - ABUSE-Forum
Przemyslaw Jaroszewski - ABUSE-Forum
PROIDEA
 
Internet
InternetInternet
Internetmeni20
 
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...Ziemek Borowski
 
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PROIDEA
 
4Developers 2015: Legacy Code, szkoła przetrwania - Katarzyna Żmuda
4Developers 2015: Legacy Code, szkoła przetrwania - Katarzyna Żmuda4Developers 2015: Legacy Code, szkoła przetrwania - Katarzyna Żmuda
4Developers 2015: Legacy Code, szkoła przetrwania - Katarzyna Żmuda
PROIDEA
 

Recommended

Co Zrobić By PożąDnie Zabezpieczyć Serwer W Sieci
Co Zrobić By PożąDnie Zabezpieczyć Serwer W SieciCo Zrobić By PożąDnie Zabezpieczyć Serwer W Sieci
Co Zrobić By PożąDnie Zabezpieczyć Serwer W Siecibystry
 
Zabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychZabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychg4life
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
Bpatryczek
 
Przemyslaw Jaroszewski - ABUSE-Forum
Przemyslaw Jaroszewski - ABUSE-ForumPrzemyslaw Jaroszewski - ABUSE-Forum
Przemyslaw Jaroszewski - ABUSE-Forum
PROIDEA
 
Internet
InternetInternet
Internetmeni20
 
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...
2008 06-16 pepug-hcl_poznan_-_etykieta_postmastera_czyli_o_uwarunkowaniach_pr...Ziemek Borowski
 
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PLNOG 13: Grzegorz Janoszka: Peering vs Tranzyt – Czy peering jest naprawdę s...
PROIDEA
 
4Developers 2015: Legacy Code, szkoła przetrwania - Katarzyna Żmuda
4Developers 2015: Legacy Code, szkoła przetrwania - Katarzyna Żmuda4Developers 2015: Legacy Code, szkoła przetrwania - Katarzyna Żmuda
4Developers 2015: Legacy Code, szkoła przetrwania - Katarzyna Żmuda
PROIDEA
 
PLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek Moskal
PLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek MoskalPLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek Moskal
PLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek Moskal
PROIDEA
 
PLNOG 13: Krystian Baniak: Value Added Services Platform
PLNOG 13: Krystian Baniak: Value Added Services PlatformPLNOG 13: Krystian Baniak: Value Added Services Platform
PLNOG 13: Krystian Baniak: Value Added Services Platform
PROIDEA
 
PLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile network
PLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile networkPLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile network
PLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile network
PROIDEA
 
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PROIDEA
 
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
PROIDEA
 
PLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam Obszyński
PLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam ObszyńskiPLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam Obszyński
PLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam Obszyński
PROIDEA
 
4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...
4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...
4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...
PROIDEA
 
PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...
PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...
PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...
PROIDEA
 
JDD2014: What you won't read in books about implementing REST services - Jak...
JDD2014: What you won't read in books about implementing REST services - Jak...JDD2014: What you won't read in books about implementing REST services - Jak...
JDD2014: What you won't read in books about implementing REST services - Jak...
PROIDEA
 
JDD2014: JEE'ish development without hassle - Jakub Marchwicki
JDD2014: JEE'ish development without hassle - Jakub MarchwickiJDD2014: JEE'ish development without hassle - Jakub Marchwicki
JDD2014: JEE'ish development without hassle - Jakub Marchwicki
PROIDEA
 
JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...
JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...
JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...
PROIDEA
 
PLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data Center
PLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data CenterPLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data Center
PLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data Center
PROIDEA
 
4Developers 2015: Varnish tips & tricks - Piotr Pasich
4Developers 2015: Varnish tips & tricks - Piotr Pasich4Developers 2015: Varnish tips & tricks - Piotr Pasich
4Developers 2015: Varnish tips & tricks - Piotr Pasich
PROIDEA
 
PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...
PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...
PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...
PROIDEA
 
Functional bioscience innovation systems as the pathway to a sustainable bio-...
Functional bioscience innovation systems as the pathway to a sustainable bio-...Functional bioscience innovation systems as the pathway to a sustainable bio-...
Functional bioscience innovation systems as the pathway to a sustainable bio-...
SIANI
 
Forest, Carbon and REDD
Forest, Carbon and REDDForest, Carbon and REDD
Forest, Carbon and REDD
SIANI
 
Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...
Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...
Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...
SIANI
 
What is a Food System?
What is a Food System?What is a Food System?
What is a Food System?
SIANI
 
Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...
Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...
Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...
SIANI
 
Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...
Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...
Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...
SIANI
 
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domenPLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PROIDEA
 
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Sektor 3.0
 

More Related Content

Viewers also liked

PLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek Moskal
PLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek MoskalPLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek Moskal
PLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek Moskal
PROIDEA
 
PLNOG 13: Krystian Baniak: Value Added Services Platform
PLNOG 13: Krystian Baniak: Value Added Services PlatformPLNOG 13: Krystian Baniak: Value Added Services Platform
PLNOG 13: Krystian Baniak: Value Added Services Platform
PROIDEA
 
PLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile network
PLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile networkPLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile network
PLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile network
PROIDEA
 
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PROIDEA
 
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
PROIDEA
 
PLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam Obszyński
PLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam ObszyńskiPLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam Obszyński
PLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam Obszyński
PROIDEA
 
4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...
4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...
4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...
PROIDEA
 
PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...
PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...
PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...
PROIDEA
 
JDD2014: What you won't read in books about implementing REST services - Jak...
JDD2014: What you won't read in books about implementing REST services - Jak...JDD2014: What you won't read in books about implementing REST services - Jak...
JDD2014: What you won't read in books about implementing REST services - Jak...
PROIDEA
 
JDD2014: JEE'ish development without hassle - Jakub Marchwicki
JDD2014: JEE'ish development without hassle - Jakub MarchwickiJDD2014: JEE'ish development without hassle - Jakub Marchwicki
JDD2014: JEE'ish development without hassle - Jakub Marchwicki
PROIDEA
 
JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...
JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...
JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...
PROIDEA
 
PLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data Center
PLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data CenterPLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data Center
PLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data Center
PROIDEA
 
4Developers 2015: Varnish tips & tricks - Piotr Pasich
4Developers 2015: Varnish tips & tricks - Piotr Pasich4Developers 2015: Varnish tips & tricks - Piotr Pasich
4Developers 2015: Varnish tips & tricks - Piotr Pasich
PROIDEA
 
PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...
PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...
PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...
PROIDEA
 
Functional bioscience innovation systems as the pathway to a sustainable bio-...
Functional bioscience innovation systems as the pathway to a sustainable bio-...Functional bioscience innovation systems as the pathway to a sustainable bio-...
Functional bioscience innovation systems as the pathway to a sustainable bio-...
SIANI
 
Forest, Carbon and REDD
Forest, Carbon and REDDForest, Carbon and REDD
Forest, Carbon and REDD
SIANI
 
Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...
Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...
Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...
SIANI
 
What is a Food System?
What is a Food System?What is a Food System?
What is a Food System?
SIANI
 
Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...
Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...
Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...
SIANI
 
Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...
Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...
Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...
SIANI
 

Viewers also liked (20)

PLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek Moskal
PLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek MoskalPLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek Moskal
PLNOG14: Zastosowanie NFV, symulacja sieci VIRL/CML - Marek Moskal
 
PLNOG 13: Krystian Baniak: Value Added Services Platform
PLNOG 13: Krystian Baniak: Value Added Services PlatformPLNOG 13: Krystian Baniak: Value Added Services Platform
PLNOG 13: Krystian Baniak: Value Added Services Platform
 
PLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile network
PLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile networkPLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile network
PLNOG 13: M. Czerwonka, T. Kossut: IPv6 in mobile network
 
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
 
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
4Developers 2015: Procesy biznesowe z perspektywy atakującego - Mateusz Olejarka
 
PLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam Obszyński
PLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam ObszyńskiPLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam Obszyński
PLNOG14: DNS, czyli co nowego w świecie DNS-ozaurów - Adam Obszyński
 
4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...
4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...
4Developers 2015: Clean JavaScript code - only dream or reality - Sebastian Ł...
 
PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...
PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...
PLNOG14: Security Operations Center, wyższy poziom bezpieczeństwa - Tomasz Ta...
 
JDD2014: What you won't read in books about implementing REST services - Jak...
JDD2014: What you won't read in books about implementing REST services - Jak...JDD2014: What you won't read in books about implementing REST services - Jak...
JDD2014: What you won't read in books about implementing REST services - Jak...
 
JDD2014: JEE'ish development without hassle - Jakub Marchwicki
JDD2014: JEE'ish development without hassle - Jakub MarchwickiJDD2014: JEE'ish development without hassle - Jakub Marchwicki
JDD2014: JEE'ish development without hassle - Jakub Marchwicki
 
JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...
JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...
JDD2014: Using ASCII art to analyzeyour source code with NEO4J and OSS tools ...
 
PLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data Center
PLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data CenterPLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data Center
PLNOG 13: Emil Gągała: EVPN – rozwiązanie nie tylko dla Data Center
 
4Developers 2015: Varnish tips & tricks - Piotr Pasich
4Developers 2015: Varnish tips & tricks - Piotr Pasich4Developers 2015: Varnish tips & tricks - Piotr Pasich
4Developers 2015: Varnish tips & tricks - Piotr Pasich
 
PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...
PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...
PLNOG14: Zupa internetowa - jak przyrządzić smaczne danie z IXów, Data Center...
 
Functional bioscience innovation systems as the pathway to a sustainable bio-...
Functional bioscience innovation systems as the pathway to a sustainable bio-...Functional bioscience innovation systems as the pathway to a sustainable bio-...
Functional bioscience innovation systems as the pathway to a sustainable bio-...
 
Forest, Carbon and REDD
Forest, Carbon and REDDForest, Carbon and REDD
Forest, Carbon and REDD
 
Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...
Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...
Hur erbjudandet av produkter påverkar konsumenten. Från klimatdeklaration, hä...
 
What is a Food System?
What is a Food System?What is a Food System?
What is a Food System?
 
Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...
Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...
Vikten av jämställdhet för en globalt hållbar tryggad livsmedelsförsörjning o...
 
Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...
Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...
Hälsosamma människor är beroende av hälsosamma livsmedelssystem – undernäring...
 

Similar to PLNOG14: DNS jako niedoceniana broń ISP w walce ze złośliwym oprogramowaniem - Przemek Jaroszewski

PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domenPLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PROIDEA
 
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Sektor 3.0
 
Podążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejPodążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczej
Krzysztof Binkowski
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Redge Technologies
 
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PROIDEA
 
Quality DNS brief 2013
Quality DNS brief 2013Quality DNS brief 2013
Quality DNS brief 2013
Rafal Galinski
 
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PROIDEA
 
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Leszek Mi?
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
PROIDEA
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
Logicaltrust pl
 
Ubuntu server
Ubuntu serverUbuntu server
Ubuntu server
Jacek Gruchelski
 
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek MiśPLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PROIDEA
 
Serwery i hosting w służbie SEO
Serwery i hosting w służbie SEOSerwery i hosting w służbie SEO
Serwery i hosting w służbie SEO
Silesia SEM
 
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Krzysztof Binkowski
 

Similar to PLNOG14: DNS jako niedoceniana broń ISP w walce ze złośliwym oprogramowaniem - Przemek Jaroszewski (17)

PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domenPLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
 
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
 
DNS
DNSDNS
DNS
 
Test ransomware
Test ransomwareTest ransomware
Test ransomware
 
Podążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejPodążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczej
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
 
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
PLNOG 13: Andrzej Karpiński: Mechanizmy ochrony anty-DDoS stosowanych w Tele...
 
Quality DNS brief 2013
Quality DNS brief 2013Quality DNS brief 2013
Quality DNS brief 2013
 
TIFP
TIFPTIFP
TIFP
 
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
 
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 
Ubuntu server
Ubuntu serverUbuntu server
Ubuntu server
 
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek MiśPLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
 
Serwery i hosting w służbie SEO
Serwery i hosting w służbie SEOSerwery i hosting w służbie SEO
Serwery i hosting w służbie SEO
 
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
 

PLNOG14: DNS jako niedoceniana broń ISP w walce ze złośliwym oprogramowaniem - Przemek Jaroszewski

  • 1. DNS jako niedoceniana broń ISP w walce ze złośliwym oprogramowaniem PRZEMEK JAROSZEWSKI CERT POLSKA / NASK PLNOG14, WARSZAWA, 2-3 MARCA 2015 R.
  • 2. whoami  programista, psycholog społeczny  kierownik Zespołu Reagowania na Incydenty Naruszające Bezpieczeństwo Teleinformatyczne w CERT Polska  od 2001 w NASK, od początku związany z tematami bezpieczeństwa  szkolenia, współpraca z organami ścigania  współorganizator konferencji SECURE
  • 3. DNS a złośliwe oprogramowanie
  • 4. Dla ustalenia uwagi…  O czym będzie?  o roli DNS w monitorowaniu i zwalczaniu malware’u  o dostępnych rozwiązaniach, znanych od kilku[nastu] lat  o tym, co robi CERT Polska (oraz trochę o tym, co robią inni) i co można zrobić razem  O czym nie będzie?  o atakach na protokół DNS i o DNSSEC  o atakach na infrastrukturę i wykorzystaniu zmian DNS przez malware  o DNSBL
  • 5. DNS a malware i botnety  Infrastruktura jest ulotna (VPSy, przejęte routery, hosty)  Nazwy domenowe są trwalsze i tanie  polityki rejestrów  bezpłatne subdomeny  name tasting  DGA jako wyjście awaryjne  DNS propaguje się względnie szybko, pozwalając na działanie „poniżej poziomu radaru”
  • 6. Identyfikacja złośliwych domen  analiza złośliwego oprogramowana (ruch sieciowy, konfiguracje, RE)  obserwacja ruchu DNS, np.:  domeny młodsze niż 3 dni o dużym wzroście liczby zapytań?  domeny .pl o dużym wzroście liczby zapytań z zagranicy?  wykrywanie DGA  analiza podobieństw nazw  analiza rejestracji nazw domenowych, np.:  dane właściciela  serwery nazw
  • 7. Passive DNS Idea (Florian Weimer, 2004): informacje z zapytań pomiędzy resolverem i serwerami nazw są archiwizowane w bazie danych (wraz z odciskiem czasu)  Nie są przechowywane dane użytkowników (kto pytał)  Możliwości przykładowych zapytań:  historia rekordów (A, NS, MX) dla danej nazwy  lista hostów dla danego IP  lista domen obsługiwanych przez dany NS  Dokładność i użyteczność silnie zależna od tego, z jak dużego ruchu pochodzą dane
  • 8. Passive DNS - Aktorzy  Zbieranie danych  każdy, kto ma własny resolver  w praktyce przede wszystkim ISP  Analiza danych  zespoły CERT  firmy antywirusowe / antymalware  „niezależni” analitycy i researcherzy  Operatorzy bazy danych  każdy, kto ma interes w ich analizie  firmy oferujące usługi komercyjne
  • 9. Reagowanie – DNS Blackholing Idea: Zidentyfikowane „złe” nazwy domenowe rozwiązujemy na błędny adres, zwykle prywatny  logowanie  możliwość identyfikacji problemowych klientów w sieci  granularność na poziomie konkretnej nazwy hosta  listy „złych” domen łatwo dostępne  dość łatwe do obejścia  może być świetną osługą opt-out
  • 10. DNS Sinkholing Idea: Zamiast pod zły adres, wybrane nazwy przekierowujemy do serwera sinkhole (na poziomie resolvera lub w NS przejętej domeny)  większy narzut, ale większe możliwości analizy  odcinamy możliwości aktualizacji malware’u  szczególnie uzasadnione wewnątrz korporacji  ostrożnie z prywatnością użytkowników
  • 12. Sinkhole  sinkhole.cert.pl obsługuje ponad 500 domen w różnych TLD  identyfikujemy kilkanaście rodzajów złośliwego oprogramowania  w szczycie ok. 700 klientów / s.  dane na bieżąco udostępniane przez n6  jądro architektury (NS, podstawowe moduły) udostępniamy do wykorzystania  Więcej: Tomasz Bukowski. The Art of Sinkholing – prezentacja z konferencji FIRST 2014: http://goo.gl/i3fi4V
  • 13. DNS Blackholing – Model I (Prawie) Passive DNS dostajemy w bonusie 
  • 14. DNS Blackholing – Model II zone "razdrochi.ru" { type master; file "/etc/namedb/blockeddomain.hosts„ }; $TTL 86400; one day @ IN SOA bhdns.mojadomena.pl. bhdns.mydomain.ca. ( 1 ; serial 28800 ; refresh 8 hours 7200 ; retry 2 hours 864000 ; expire 10 days 86400 ; min ttl 1 day ) NS bhdns.mydomain.ca. A 127.0.0.1 * IN A 127.0.0.1
  • 15. … oraz inne konfiguracje  rekursywny resolver CERT Polska? niechętnie, ale…  s/Black/Sink/ – chętnie, w dowolnym wariancie  z wykorzystaniem sinkhole.cert.pl jako NS  lokalny Passive DNS Duplicator? możliwe…  Inne propozycje? Pytania? Komentarze?
  • 16. Zapraszam do kontaktu  web: www.cert.pl, n6.cert.pl  mail: info@cert.pl  twitter: @CERT_Polska, @CERT_Polska_en  facebook: fb.com/CERT.Polska  youtube: CERTPolska  Przemek.Jaroszewski@cert.pl