Upload
risspa
View
1.182
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
Современные методы борьбы с ботнетами
Бешков АндрейРуководитель программы ИТ безопасностиMicrosoft Россия http://beshkov.ru http://twitter.com/abeshkov [email protected]
Содержание
10 самых распространенных семейств зловредного ПО Что такое ботнеты и как в них попасть? Архитектура ботнета WaledacОпыт борьбы Microsoft с ботнетами
Откуда данные о зловредах?
Данные о зловредном ПО были собраны с 600 миллионов компьютеров обслуживаемых средствами безопасности Microsoft такими как:
• Malicious Software Removal Tool• Microsoft Security Essentials• Windows Defender• Microsoft Forefront Client Security• Windows Live OneCare • Windows Live OneCare safety scanner
http://www.microsoft.com/security/sir/
TOP 10 семейств злонамеренного ПО
Семейство Категория 1 кв 2010 2 кв 2010 3 кв 2010 4 кв 2010
1 Pornpop Adware — — 2,660,061 3,860,365
2 Autorun Worms1,256,64
91,646,532 2,805,585 3,314,092
3 Taterf Worms1,496,78
02,323,750 2,338,517 1,615,649
4 ZwangiMisc. Potentially Unwanted Software
542,534 860,747 1,638,398 2,299,210
5 RenosTrojan Downloaders & Droppers
2,693,093
1,889,680 2,109,631 1,655,865
6 Rimecud Worms1,809,23
11,749,708 1,674,975 1,892,919
7 Conficker Worms1,498,25
61,664,941 1,649,934 1,744,986
8 FakeSpypro Miscellaneous Trojans1,244,90
31,424,152 1,897,420 889,277
9 Hotbar Adware1,015,65
91,483,289 942,281 1,640,238
10 ClickPotato Adware — — 451,660 2,110,117http://www.microsoft.com/security/sir/
Win32/Taterf и Win32/Frethog
Семейство Категория 1Q10 2Q10Годовой график
Win32/Taterf Worms 1,495,2862,320,95
3
Win32/FrethogPassword Stealers & Monitoring Tools
2,010,9891,997,66
9
Крадет логины MMORGS игр. Lineage и.т.д
Распространяется через папки общего доступа.
Приносит с собой Frethog крадуший остальные пароли.
Устанавливается с разрешения пользователя
Win32/RenosСемейство Категория 1Q10 2Q10
Годовой график
Win32/Renos Trojan Downloaders & Droppers 2,691,9871,888,33
9
Запугивает пользователя сообщениями о несуществующем заражении ОС.
Устанавливает в систему:SpySheriff, SpyAxe, SpyFalcon, SpyDawn, SpywareStrike
Устанавливается с разрешения пользователя.
Win32/FakeSpyproСемейство Категория 1Q10 2Q10
Годовой график
Win32/FakeSpypro
Miscellaneous Trojans 1,244,3531,423,52
8
Поддельный антивирус. Заражает систему с позволения пользователя.
Запугивает и заставляет покупать поддельное ПО для лечения.
Win32/AlureonСемейство Категория 1Q10 2Q10
Годовой график
Win32/Alureon Miscellaneous Trojans 1,463,8851,035,07
9
Перед просмотром видео предлагает пользователю поставить кодеки или драйвера для проигрывания видео.
Кто же от такого откажется? Бесплатно!
Может вызывать BSOD при последующих обновлениях системы
Win32/ZwangiСемейство Категория 1Q10 2Q10
Годовой график
Win32/ZwangiMisc. Potentially Unwanted Software
542,011 859,801
Предлагает скачать и установить бесплатный скринсейвер.
Устанавливается с разрешения пользователя.
Win32/ConfickerСемейство Категория 1Q10 2Q10
Годовой график
Win32/Conficker Worms 1,496,8771,663,34
9
Единственный червь использующий для распространения 3 уязвимости в Windows. В пике эпидемии доходил до 6,5 млн зараженных хостов.
Обновление устраняющее уязвимость выпущено за 3 месяца до эпидемии!Более 90% клиентов обновилось в течении первой недели. Заразились те, кто не установили обновление в течении трех месяцев.
Новые социальные атакиПоддельный вебсайт с IE9 попал в топ поисковой выдачи Bing и Google за счет рекламы. Заблокирован IE9 SmartScreen Filter
Атаки на альтернативные браузеры
Атаки Drive-By Download
2. IFrame секретно загружает
другую страницу
3. Страница перенаправляет
на другую страницу с эксплоитом
4. Если эксплоит сработал,
скачивается зловред и
заражает жертву
Пользователь Взломанный или злонамереный сайт
Перенаправление Сервер с эксплоитомСервер с вредоносом
1. Пользователь с уязвимой
системой посещаетстраницу с невидимым
IFrame
Уязвимости для Drive-By Download
Тестировалось на 500000 машин с известными уязвимостями. Результативность заражения 31%
37% - Java JRE32% - Adobe Reader и Acrobat16% - Adobe Flash. 10% - Internet Explorer 3% - Apple QuickTime2% - Центр справки и поддержки Windows
Исследование CSIShttp://www.theregister.co.uk/2011/09/28/window_malware_infection_exposed/
Windows 7 заражается в 5 раз меньше!
Обнаружение зловредного ПО на каждую 1000 запусков антивирусных средств.
Avast подсчитала статистику заражения руткитами:
74% - Windows XP 17% - Windows Vista12% - Windows 7
Почему Windows 7 в 5 раз реже заражается?
Win7
SEHOP SEHOP
Включено по умолчанию
Heap terminate
Heap terminate
Выключено по умолчанию DEP DEP
ASLR ASLR
Vista SP1, SP2
SEHOP SEHOP SEHOP
Heap terminate
Heap terminate
Heap terminate
DEP DEP DEP ASLR ASLR ASLR
Vista RTM
SEHOP SEHOP
Heap terminate
Heap terminate
DEP DEP ASLR ASLR
XP SP3
SEHOP SEHOP SEHOP Heap terminate
Heap terminate
Heap terminate
DEP DEP DEP ASLR ASLR ASLR
XP SP2
SEHOP SEHOP SEHOP Heap terminate
Heap terminate
Heap terminate
DEP DEP DEP ASLR ASLR ASLR
IE 6 IE 7 IE 8 IE 9
Windows XP Windows Vista Windows 70
10
20
30
40
50
60
70
Критические уязвимости через год после выпуска
Технологическая или социальная проблема?9 из 10 самых распространенных злонамеренных приложений устанавливаются в систему с согласия пользователя!
По версии AVG Technologies заражение с применением социальной инженерии происходит в 4 раза чаще чем с помощью уязвимостей в ОС и приложениях любого производителя.
http://www.virusbtn.com/conference/vb2010/abstracts/Hughes.xml
Как защищаться?
Обучать пользователей защите от социальной
инженерии.
Smart Screen в Internet Explorer
защищает от 99% социальных атак.
Обновлять системы и приложения.
Большинство атак выполняется с
использованием старых уязвимостей
Enhanced Mitigation Experience Toolkit (EMET) v2.0
Фильтрация трафика известных эксплоитов – Forefront
TMG
Как защищаться?Работа в системе с правами обычного пользователя предотвращает атаки на:
75% - критических уязвимостей Windows 7100% - уязвимостей Microsoft Office опубликованных в 2010 г.100% - уязвимостей Internet Explorer опубликованных за 2010 г.64% всех уязвимостей в продуктах Microsoft опубликованных в 2010 г.
Исследование BeyondTrust за 2010 гhttp://www.net-security.org/secworld.php?id=10886
Ботнеты
Топ 25 ботнетов Family
Primary Control Mechanism
Computers Cleaned (1Q10)
Computers Cleaned (2Q10)
Change
1 Win32/Rimecud Other 1,807,773 1,748,260 -3.3% ▼2 Win32/Alureon HTTP 1,463,885 1,035,079 -29.3% ▼3 Win32/Hamweq IRC 1,117,380 779,731 -30.2% ▼4 Win32/Pushbot IRC 474,761 589,248 24.1% ▲5 Win32/IRCbot IRC 597,654 388,749 -35.0% ▼6 Win32/Koobface HTTP 222,041 383,633 72.8% ▲7 Win32/FlyAgent HTTP 221,613 293,432 32.4% ▲8 Win32/Virut IRC 227,272 284,519 25.2% ▲9 AutoIt/Renocide IRC 167,041 178,816 7.0% ▲
10 Win32/Hupigon Other 178,706 177,280 -0.8% ▼11 Win32/Sdbot IRC 125,466 146,922 17.1% ▲12 Win32/Nuwar P2P 8,098 133,951 1554.1% ▲13 Win32/Bubnix HTTP 91,144 132,771 45.7% ▲14 Win32/Zbot HTTP 107,363 131,078 22.1% ▲15 Win32/Ursap IRC 121,239 121,302 0.1% ▲16 Win32/Rbot IRC 145,107 110,316 -24.0% ▼17 Win32/Pasur Other 95,040 91,612 -3.6% ▼18 Win32/Rustock HTTP 82,712 52,312 -36.8% ▼19 Win32/Slenfbot IRC 56,898 51,228 -10.0% ▼20 Win32/Bagle Other 48,326 34,240 -29.1% ▼21 Win32/Tofsee HTTP 29,367 32,031 9.1% ▲22 Win32/Bifrose Other 28,966 30,466 5.2% ▲23 Win32/Waledac P2P 83,580 29,816 -64.3% ▼24 Win32/Prorat Other 26,913 25,726 -4.4% ▼25 Win32/Trenk Other 24,093 21,749 -9.7% ▼
Распределение ботнетов по странам
Country/RegionComputers with Bot
Cleanings (1Q10)
Computers with Bot Cleanings
(2Q10)
Bot Cleanings Per 1000 MSRT Executions (Bot
CCM)1 United States 2,163,216 2,148,169 5.22 Brazil 511,002 550,426 5.23 Spain 485,603 381,948 12.44 Korea 422,663 354,906 14.65 Mexico 364,554 331,434 11.46 France 344,743 271,478 4.07 United Kingdom 251,406 243,817 2.78 China 227,470 230,037 1.09 Russia 181,341 199,229 4.310
Germany 200,016 156,975 1.4
11
Italy 191,588 130,888 2.6
12
Turkey 91,262 98,411 4.7
13
Canada 96,834 87,379 1.4
14
Netherlands 115,349 77,466 2.5
15
Colombia 76,610 71,493 5.8
16
Portugal 83,379 68,903 5.7
17
Australia 72,903 66,576 2.8
18
Poland 87,926 62,704 3.9
19
Taiwan 52,915 54,347 3.4
20
Japan 63,202 52,827 0.6
21
Argentina 38,229 43,162 3.8
22
Saudi Arabia 33,283 40,793 5.5
23
Belgium 51,689 39,508 3.4
24
Chile 37,705 39,245 5.1
25
India 37,895 38,954 1.0
Linux и Android ботнетыPsyb0t – 100.000 ADSL зараженных маршрутизаторов Netcomm NB5.
Появился за счет халатности производителя.
Psybot поддерживает заражение прошивок OpenWRT и DD-WRT. Кроме подбора пароля по SSH, FTP или telnet может атаковать некорректно настроенные версии phpMyAdmin и MySQL.
http://www.symantec.com/security_response/writeup.jsp?docid=2009-032400-0103-99
http://www.opennet.ru/opennews/art.shtml?num=25528http://www.opennet.ru/opennews/art.shtml?num=20918
Впоследствии появился ботнет Chuck Norris http://www.pcworld.com/businesscenter/article/189868/chuck_norris_botnet_karatechops_routers_hard.html
Ботнет на основе Android из 40000 устройств довольно серьезная сила. Возник из за отсутствия проверки приложений в Android markethttp://s1.securityweek.com/report-reveals-emerging-trend-android-botnet-infections
Ботнет в действии1) Злоумышленник создает зловред сам или покупает его на рынке. Затем использует его для заражения целей или продает другим.
2) Доступ к части ботнета продается другим злоумышленникам
4) Ресурсы ботнета
используются для множества
аттак одновременно
5) Свободные ресурсы используются для
заражения и добавления новых узлов в ботнет
3) Доступ к ботнету получен
Рынок ботнетов
Рынок ботнетов
Цена за тысячу зараженных компьютеров:
• США и Великобритания – от 110$ до 180$.
• Европа - от 20$ до 60$.
• Другие страны - менее 10$.
Цена варьируется в зависимости от того что
можно найти на зараженных ПК и скорости
подключения в Интернет.
Изготовление ботнетов
Ботнет комплекты в продаже:• Zbot (Zeus)• Spyeye• Mariposa• Black Energy• ButterFly• Reptile• Zombiem• Ice-X
Цена на комплект варьируется от 10000$ до 5$.
Построение ботнета ZbotСправится даже ребенок!
Управление ботнетом Zbot
Управление ботнетом Zbot
Управление ботнетом ZbotАналог облачных вычислений:
• Выполняет задачи нескольких заказчиков одновременно
• Эластичен и представляет почти безграничные ресурсы
• Оплата за потребляемые ресурсы
Управление ботнетом Zbot
Логины и пароли собранные ботами с зараженных систем
Обнаружение активности ботнетов
Все остальные
Все остальные
Grum
GrumBobax
BobaxCutwail
CutwailRustock
Rustock
Lethic
Lethic
Storm
Спам сообщений IP адреса узлов отправителей
Поведение ботнета при рассылке спама
Lethic крайне агрессивно рассылает спам с малого количества IP адресов.
Rustock использует много IP адресов и шлет с каждого понемногу.
За счет этого обнаружить Rustock сложнее.
Типовая структура ботнета
Варианты уничтожения ботнета
• Захватить или уничтожить С&C узлы• DDoS на С&C узлы?• Жалобы провайдеру• Захват DNS имен• Блокирование IP адресов• Арест владельца ботнета• Судебный иск
Механизмы управления C&C узлами
IRC38.2%
HTTP29.1%
P2P2.3%
Другое
30,5%
Операция b49
Захват ботнета Waledac
Структура ботнета Waledac
Waledac exchange node and repeater node
277 DNS имен Waledacbestchristmascard.com bestmirabella.com bestyearcard.com blackchristmascard.com cardnewyear.com cheapdecember.com christmaslightsnow.com decemberchristmas.com directchristmasgift.com eternalgreetingcard.com freechristmassite.com freechristmasworld.com freedecember.com funnychristmasguide.com greatmirabellasite.com greetingcardcalendar.com greetingcardgarb.com greetingguide.com greetingsupersite.com holidayxmas.com topgreetingsite.com whitewhitechristmas.com worldgreetingcard.com yourchristmaslights.com yourdecember.com yourmirabelladirect.com
newyearcardcompany.com newyearcardfree.com newyearcardonline.com newyearcardservice.com smartcardgreeting.com superchristmasday.com superchristmaslights.com superyearcard.com themirabelladirect.com themirabellaguide.com themirabellahome.comyourregards.com youryearcard.com bestbarack.com greatobamaguide.com greatobamaonline.com jobarack.com superobamadirect.com superobamaonline.com thebaracksite.com topwale.com waledirekt.com waleonline.com waleprojekt.com goodnewsdigital.com goodnewsreview.com
linkworldnews.com reportradio.com spacemynews.com wapcitynews.com worldnewsdot.com worldnewseye.com worldtracknews.com bestgoodnews.com adorelyric.com adorepoem.com adoresongs.com bestbaracksite.com bestobamadirect.com expowale.com bestadore.com bestlovelong.com funloveonline.com youradore.com yourgreatlove.com orldlovelife.com romanticsloving.com adoresong.com bestlovehelp.com chatloveonline.com cherishletter.com cherishpoems.com
lovecentralonline.com lovelifeportal.com whocherish.com worldlovelife.com worshiplove.com yourteamdoc.com yourdatabank.com alldatanow.com alldataworld.com cantlosedata.com justchristmasgift.com lifegreetingcard.com livechristmascard.com
P2P обмен внутри Waledac с помощью fast flux DNS
Проксирование траффика Waledac
Последовательность действий
Создание прецедента
Судебный иск
Захват С & C доменов
Официальное уведомление
Захват Waledac
Hotmail заблокировал 651 миллион
соединений от ботнета
Waledac-за 18 дней
Waledac входит в 10
крупнейших ботнетов в 39
странах
Уведомление о решении суда www.noticeofpleadings.com
Отравление Waledac
Активные IP адреса ботнета Waledac
2-й квартал 2010 г.
Активные IP адреса ботнета Waledac
Январь 2011 г.
После захватаMS не может удалить ботов с зараженных ПК. Это будет вмешательством в частную жизнь.
Образцы ботов добавляются в антивирусные продукты MS и других производителей. Обмен образцами идет через Microsoft Active Protection Program (MAPP)
Интернет провайдерам сообщаются адреса зараженных машин через программу Global Infrastructure Alliance for Internet Safety
Пользователям рекомендуется использовать:Malicious Software Removal ToolMicrosoft Safety ScannerMicrosoft Security Essentials
Уничтожение других ботнетовОперация b49 Захват ботнета Waledac 1.5 миллиардов спам сообщений ежедневно. В процессе исследования было найдено полмиллиона паролей от почтовых ящиков пользователей и ftp серверов.
Операция b107Захват ботнета Rustock. В пике своей активности рассылал 80% мирового спама. Примерно 2000 спам сообщений в секунду.
Захват ботнета CorefloodФБР при содействии Microsoft захватила ботнет Coreflood отвечающий за финансовые преступления на сумму 100 миллионов долларов
Операция b79Захват ботнета KelihosСовместная операция Лаборатории Касперского и Microsoft. Kelihos можно назвать Waledac 2.0
Ресурсыhttp://blogs.technet.com/mmpc/http://blogs.technet.com/msrc/http://www.microsoft.com/security/sdl/http://www.microsoft.com/security/sir/