Dns Blackholing

DNS Blackholingochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem

Patryk Dawidziuk IT BCE / LogicalTrust

botnet

botnet - armia komputerów zainfekowanych złośliwym oprogramowaniem (malware)

najczęściej trojany

w wielu wariantach, serwują spam, phishing, itp.

botnet

botnet w domu, w ogrodzie i w kosmosie

...w domu (domowy komputer zainfekowany trojanem)

...w ogrodzie (ledwo wyjdziemy do ogródka z hotspotem boty zabierają nam komputer)

w komputerach nasa (bez oprogramowania AV, bo “po co tam” :-/ )

botnetzalety posiadania botnetu

spam, phishing, fraud

terroryzm (“podobno macie problem z dostępem do sieci”, patrz dowcip o skinheadach którzy uratowali staruszkę) czyli DDoS, DoS i inne ataki

kradzież tożsamości, danych osobowych, numerów kart kredytowych

mechanizmy komunikacjiscentralizowany

boty łączą się do jednego (lub kilku) serwerów C&C

p2p:

fast-flux

hydraflux

inne, nowe, niewykryte

metoda scentralizowana

boty po uruchomieniu pytają o domenę, w celu uzyskania adresu IP do którego się mają podłączyć

przeważnie dostają jeden (w wariantach zmutowanych kilka - 3 do 5, rzadko więcej)

adresy IP zmieniają się często (bardzo często)

domeny w zasadzie nie zmieniają się

metoda p-2-p

fast-flux - hosty skanują sieć w poszukiwaniu pośredników, którzy wiedzą więcej i łączą się do nich, jeden serwer C&C, który może być gdziekolwiek (np. na zarażonym hoście, czy na pośredniku)

hydraflux - upgrade fast-fluxa, gdzie jest wiele serwerów C&C połączonych ze sobą

części wspólne

domeny nie zmieniają się (czasem jest ich kilka, ale ogólnie nie zmieniają się)

adresy IP potrafią się zmieniać raz na kilka minut

ale tylko w ramach tej samej domeny

wykrywanie wroga

boty najczęściej skanują sieć (lokalną i każdą inną) w poszukiwaniu kolejnych ofiar

wykrycie specyficznego rodzaju skanu oznacza niechciane towarzystwo

wnioski

blokowanie adresów IP nie ma sensu

blokowanie domeny ma dużo sensu

aaale jak zablokować domenę?

dns blackholing

boty pytają o domenę, boty dostają adres IP,

inny niż by tego sobie życzył właściciel domeny

nigdzie się nie łączą i nie są groźne

tak, jest to możliwe

dns blackholing

klienci dostępowi żeby się gdziekolwiek połączyć potrzebują (dostają na kartce, lub po dhcp):

adres IP, domyślną bramę, maskę podsieci oraz...

serwery DNS, najczęściej dwa (yes, yes, yes!)

dns blackholing

kto ma router ten ma władzę

dns blackholing

kto ma dnsa i router ten ma władzę absolutną ;-)

dns blackholingniby dlaczego to ma działać?

trojany najczęściej wolałyby zostać niewykryte

zmianę dnsów jest stosunkowo prosto i szybko wykryć

... i decydowanie zbyt łatwo naprawić

... więc trojany tego nie dotykają (przeważnie)

dns blackholingCiemna Strona Mocy

malware dobierające się do routerów sprzętowych podmieniając dnsy

użytkownicy uważający, że najlepsze są dnsy NASKu (nieważne, że są 15 hopów i 200ms dalej)

ale od czego są filtry i redirekty ;-)

... ignorując powyższe, działa zasada Pareto (w tym przypadku 95/5)

dns blackholingwszystko przepięknie, ale skąd wziąć jadowite domeny do blokowania?

[blok autoreklamowy]

http://www.malwaredomains.org

a skąd wiem, że są one jadowite i ktoś mi np. nie zablokuje onetu czy wp?

dns blackholingmożna samemu

sieć honeypotów na nieużywanych adresach IP

... połączona z sieciami honeypotów kolegów

analizy malware dostępne na www firmy Sunbelt do obejrzenia przez uczestników (stąd wiemy, dlaczego ktoś dodał domenę)

wewnętrzne zaufanie

dns blackholingw jedności siła

im więcej uczestników tym lepiej,

... ale dobra jest i mikroskala

... nawet tylko we własnym domu

idealnie byłoby globalnie

takie nowoczesne /etc/hosts (blokujące reklamy)

dns blackholingskuteczność z życia wzięta

przejęta sieć na 1.2k użyszkodników,

około 150 do 200 osób zainfekowanych (skanujących i komunikujących się z różnymi serwerami C&C [w sumie 4 różnych botnetów], niektóre hosty były zainfekowane kilkoma botami)

po włączeniu dns blackholingu (w wariancie ‘twardym’ z wymuszeniem korzystania z naszych dnsów) po dwóch dobach skanujących zostało 3, ale nie łaczyli się do żadnego serwera C&C (więc raczej wormy).

w sieci zaczęły same z siebie działać telefony voip które wcześniej wykazywały zastanawiającą zbieżność ze stanem plam na Słońcu ;-)

dns blackholingpozytywne efekty wdrożenia

boty nie działają bez głowy

nie ma spamu

nie ma ataków ddos

nic nie ma, wszystko zlikwidowane ;-)

dns blackholing

a wszystko to bez jakiejkolwiek ingerencji w komputer klienta

dns blackholing

konfiguracja

konfiguracja binda (9)

/etc/bind/named.conf – główny konfig

zone "niedobradomena.pl" IN { type master; file „dnsblackholing.conf”};

dnsblackholing.conf – plik domeny

$TTL 15m@ IN SOA ns1.domena.pl. admin.domena.pl. ( 2006112402 ; serial 4h ; refresh 30m ; retry 14d ; expire 15m ; negative_ttl )@ IN NS ns1.domena.pl.@ IN NS ns2.domena.pl.@ IN A 127.0.0.1* IN A 127.0.0.1

pytania?

No questions, violators will be shot. Survivors will be shot again!

dziękuję za uwagę

patryk dawidziuk IT BCE / LogicalTrust

@: [email protected] (także jid)