פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot...
description
Transcript of פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot...
![Page 1: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/1.jpg)
פרויקט באבטחת מידעמלכודת דבש ברמת הלקוח
client side honey potדו"ח סופי
מקסים סעודהתמיר גפן
![Page 2: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/2.jpg)
התוכנית הכללית
רשת
VMware
ניתוח ידני ניתוח אוטומטי
![Page 3: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/3.jpg)
התוכנית הכללית
botnetsהמטרה-לחזות התקפות עתידיות של •באמצעות מעקב אחרי הפעילות שלהם ברשת
נפעיל על המחשב מספר סביבות וירטואליות• botnetכל סביבה תודבק ב• יתקשר דרך הרשתbotnetה •במערכת ההפעלה החיצונית נעקוב אחרי התעבורה •
ברשת, ובמידת הצורך נגביל אותהמערכת ההפעלה החיצונית מוגנת מפני פעולת ה •
botnet מסוגים botnetsבאמצעות ניתוח ההתקפות נגלה כיצד •
שונים עובדים
![Page 4: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/4.jpg)
Setupהכנת המערכת-
![Page 5: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/5.jpg)
VMwareמאפשרת להפעיל מערכת הפעלה פנימית •
בתוך מערכת הפעלה חיצוניתיוצרת הפרדה ברמת החומרה בין מערכות •
ההפעלה: תוכנה שמותקנת במערכת הפנימית לא יכולה להשפיע על המערכת החיצונית-גם
botnetלא נפרדת למערכת ההפעלה IPנותנת כתובת •
הפנימיתמאפשרת לשמור מצב של מערכת ההפעלה •
(screenshot( ולשחזר אותו )revert )
![Page 6: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/6.jpg)
WireSharkמאפשר לעקוב אחרי התעבורה ברשת•
IP: כיוון שיש IPמאפשר לסנן תעבורה לפי •שונה למערכת הפנימית, נוכל לבודד את
botnetפעולת ה
-כל המידע שעבר TCP streamמעקב אחרי • מסוים )אבל לא מפרט socketבתקשורת ב
תקשורת שחוזרת על עצמה(
מפריד בין סוגי פרוטוקול שונים-אנחנו לא • ועוד DHCP,NBNS,IGMPמתעניינים ב
![Page 7: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/7.jpg)
דרך ההדבקההדבקה ישירה:
•http://www.malwaredomainlist.com/mdl.phpטוב: הרבה אפשרויות להורדה.•טוב: יש באתר מידע קצר על סוג הווירוס•רע: לעיתים קרובות האתרים לא זמינים או שהקבצים פגומים•
הדבקה ישירה למחצה: "ידועים לשמצה" ברשת, וניסיון למצוא botnetsחיפוש שמות של •
קבצים בינאריים שלהםטוב: אפשר לדעת מה הם עושים•טוב: קל למצוא עליהם מידע•רע: לרוב מוצאים רק גרסאות ישנות שלהם, כיוון שמנהלי •
האתרים נזהרים מהם
![Page 8: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/8.jpg)
דרך ההדבקה-המשך
הדבקה ספונטנית:הדרך בה רוב המשתמשים נדבקים בוירוסים, בוטנטים ויתר •
התוכנות הזדוניותלמשל, חיפוש בגוגל של מחרוזות חיפוש פופולאריות, וכניסה •
לאתרים חשודיםטוב: וירוסים חדשים יחסית •טוב: קל למצוא עליהם מידע באינטרנט•רע: האתרים האלה מסוננים באופן קבוע ע"י גוגל, ולעיתים •
אי-אפשר למצוא כאלה. רע: נוטים לחזור על עצמם•
![Page 9: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/9.jpg)
אלגוריתם לזיהוי פעילות זדונית ברשת
שהוקלטו WireSharkהרעיון הכללי: בדיקת הבדלים בין קבצי •על מחשב נקי ומחשב נבדק בעת גישה לרשימת אתרים
?diff: 1פתרון • עוקב אחרי כל סוגי התקשורת, כולל WireShark: 1בעיה •
תקשורת של חומרה שמשתנה בין מחשב למחשב http get, http: לעקוב רק אחרי תקשורת מעניינת: 2פתרון •
post, DNS שונים בין מחשב למחשב, אך ההבדל IP: מה אם יש 2בעיה •
?DNSנובע רק מתשובות שונות של ה IP "לגיטימיים" שכל domain: שמירת רשימת 3פתרון •
אליהם נחשב "חוקי"DNSשמתקבל כתוצאה מבקשת
![Page 10: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/10.jpg)
אלגוריתם לזיהוי פעילות זדונית ברשת-המשך
שמתקבלים בדרכים שונות, אך לא דרך IP: מה אם 3בעיה •, למשל פרסומות?DNSבקשות
בקובץ הנקי POST והGET: ספירת מספר בקשות ה4פתרון •ובקובץ הנבדק-אם בקובץ הנבדק יש עודף בקשות
כאלה-נתריע על כך. אם ההבדל הוא רק בגישות לפרסומות, הקבצים )לא פתרון 2יש בערך אותה כמות של גישות כאלה ב
מושלם(: לעיתים וירוסים לא מוסיפים גישות, אלא משנים 4בעיה •
גישות-בעיקר גישות שהיו מכווצות יהפכו ללא מכווצות כדי שלווירוס יהיה קל לקרוא אותן
: לכל גישה נבדוק אם היא מכווצת או לא מכווצת, 5פתרון •ונתריע על הבדלים ביחס לקובץ הנקי
ישנן בעיות נוספות...•
![Page 11: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/11.jpg)
תוצאות
![Page 12: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/12.jpg)
myspace.com.exeדרך הדבקה:
MDLגילינו אותו דרך קישור שמצאנו ב •רקע:
•ircbot משתמש בפרוטוקול צ'אט לצורך תקשורת עם . חדש יחסית-מידע זמין רק מאפרילC&Cה
נטען עליו שהוא פוגע במערכת המקומית ומוריד תוכנות •זדוניות
התנהגות נצפית:MySpaceכשהוא נפתח פותח דף •
רגיל, אך כשאנו עוברים לדף אחר מוציא הודעת אזהרה
![Page 13: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/13.jpg)
myspace.com.exe המשך-התנהגות נצפית
C&C שולח לbotבזמן אתחול המחשב ה •מידע על המחשב עליו הוא יושב
שולח באופן מחזורי הודעות לווירוס C&Cה•כדי לבדוק שהוא חי, וגם שולח לינק לקובץ
שממנו הורדנו אותו )שאינו פעיל כעת(
, הידוע infocardהווירוס מזדהה בתור •כתהליך של מערכת ההפעלה
לא הבחנו בהתנהגות נוספת•
![Page 14: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/14.jpg)
-ZeuSדרך הדבקה ורקע
דרך הדבקה:MDLגילינו אותו דרך קישור שמצאנו ב •מיליוני מחשבים מודבקים בווירוס גם כעת, אבל חברות •
האנטי-וירוס למדו כיצד לזהות אותו ולנטרל אותוגם אנחנו לא הצלחנו להידבק בו תקופה ארוכה, כיוון •
שהאנטי-וירוס של הטכניון ידע לזהות ולחסום אותוהפתרון שמצאנו היה להשתמש בתקשורת באמצעות •
tunnelדרך ספקיות אינטרנט פרטיות-
רקע: הפעיל ביותר ברשת האינטרנטbotnetה•
![Page 15: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/15.jpg)
ZeuS המשך רקע - Keyסוס טרויאני, מנסה לגנוב פרטים אישיים ע"י מעקב אחרי ההקשות במקלדת )•
Logging)לבוט אין יכולת מובנת להפיץ את עצמו למחשבים אחרים. ברוב המקרים הבוט מופץ •
spamבאמצעות מחסור זה ביכולת הפצה עצמית גורמת לכך שהסיכוי לגלות את הבוט קטן יותר•קובץ קונפיגורציה סטטי מקומפל לתוך הבוט, קובץ זה מכיל אינפורמציה שהבוט יצטרך •
כדי לבצע את ההרצה הראשוניתאחת היכולות היותר מעניינות של הבוט היא האפשרות "להזריק" מידע חדש באופן דינמי •
לאתרים ברשת שהמחשב המודבק גולש בהם
set_url http://www.bank.com/login.html GP
data_before
name="password"*</tr <
data_end
data_inject
<tr<<td<PIN:</td<<td<<input type="text" name="pinnumber" id="pinnumber" /<</td<</tr <
![Page 16: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/16.jpg)
ZeuSהתנהגות נצפית- שלו על מנת לקבל את C&C ל GETהבוט מבצע תחילה בקשת •
קובץ הקונפיגורציה הדינמי האחרוןהבוט אוסף אינפורמציה מהמחשב המודבק, קובץ הקונפיגורציה •
קובע איזו אינפורמציה הבוט יאסוף שלו, שמכיל את המידע C&C ל POSTהבוט שולח פקודת •
שהבוט אסףהבוט מאתחל שלושה טיימרים לפי הערכים שנקבעים לו בקובץ •
הקונפיגורציה הסטטי, כל טיימר מפעיל פונקציה אחרת:קבלת קובץ קונפיגורציה חדש מהסרבר )ברירת המחדל היא –
דקות(60שליחת המידע שהבוט אסף לסרבר )ברירת המחדל היא דקה(– דקות(20שליחת סטטיסטיקה לסרבר )ברירת המחדל היא –
![Page 17: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/17.jpg)
Ultimate codesדרך ההדבקה:
MDLגילינו אותו דרך קישור שמצאנו ב •
רקע:,שמכיל טכניקות מתוחכמות Rustock C ידוע גם בתור הבוטנט •
לפריצה למחשב וגרימת נזק, חדש יחסית ברשתspamוירוס שעוסק בעיקר ב•בתוכו נשתלה תוכנה המאפשרת גישה מרחוק למחשב המודבק•
התנהגות נצפית:מייצר תקשורת, שולח בקשות לשרת אי-מייל•מוריד קבצים מהרשת, אך אלו אינם קובצי קונפיגורציה. אחד •
)לפי cryptic סוסים טרויאניים מסוג 2מהקבצים שהוא מוריד הוא תוכנת האנטי-וירוס שלנו(
![Page 18: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/18.jpg)
Ultimate codesהמשך-
מרבית הגישות לרשת הן לאתר שאינו פעיל• SMTPהבוט מנסה לקבל דואר באמצעות פרוטוקול •
מחשבונות פייסבוק, אולם לא מקבל תשובה, go-thailand-now.com של האתר IPהבוט מקבל •
הידוע כאתר בעייתי שתוכנות זדוניות רבות יושבות בו. IPאם זאת, לא זיהינו גישה לכתובת ה
אבל יש דבר אחד שאינו צפוי בו...•
![Page 19: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/19.jpg)
Ultimate codesוויקיפדיה
בשלב כלשהו הווירוס פונה לויקיפדיה ומבקש דף אקראי, וניגש •אליו
לאחר מכן הוא גולש לדף הראשי של ויקיפדיה, ואז לערך של •binary tree ו software רוסיה, ועוד מספר ערכים, כולל
טוען שזוהי שיטה של הוירוס www.m86security.comהאתר •לקבל מידע רנדומלי שאינו ניתן לחיזוי על-ידי תוכנות אנטי-וירוס
spamואנטי-
הוירוס לוקח מחרוזות מתוך הדף האקראי שקיבל, מוסיף אותם •לאי-מיילים מוכנים מראש ושולח אותם כדואר זבל, אך בעקבות
אינם מזהים spamהתוספת של המחרוזות מויקיפדיה מסנני האותם
אולם בכך אין הסבר לגישות הלא אקראיות לויקיפדיה•
![Page 20: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/20.jpg)
סיכום
![Page 21: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/21.jpg)
בעיותלא מצאנו בוטנטים רבים, כי מנהלי האתרים לא •
מעוניינים לפרסם אותםהחיבור בו אנו משתמשים חוסם את רוב הפורטים •
הזמינים, ומפעיל אנטי-וירוס שחוסם גישה לכתובות httpחשודות
בדרך כלל כשמצאנו בוטנט פעיל יחסית, עד שניתחנו •מה צריך לעשות איתו וניסינו להריץ אותו שוב-שרת
שלו כבר נסגר והוא לא היה פעילC&Cהברשתות אחרות )למשל הרשת האלחוטית בטכניון( •
אי-אפשר להתחבר לאינטרנט במערכת ההפעלה הפנימית.
![Page 22: פרויקט באבטחת מידע מלכודת דבש ברמת הלקוח client side honey pot דו"ח סופי מקסים סעודה תמיר גפן](https://reader035.fdocuments.in/reader035/viewer/2022081506/56814963550346895db6b8f6/html5/thumbnails/22.jpg)
עבודות לעתיד
פיתוח נוסף של האלגוריתם-ניסיון לאגור רשימות של • חשודות ולנסות להשוות אותן לרשימות IPכתובות
ברשתIPשחורות של כתובות שיישאר פעיל לאורך ZeuS של C&Cניסיון למצוא שרת •
זמןלהידבק ספונטנית בוירוס )להחליט באופן ספונטני שבא •
לא נחשב(, בתקווה MDLלך להדבק בוירוס וללכת ל שהוא יישאר פעיל ברשת
להשתמש בקוד שפיחתנו לגילוי פעילות זדונית •ברשת-בעיקר עבור גילוי מקרים של הדבקות ספונטניות