Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Honeynet: Aké kyberútoky prevládajú? - služby Windows

Tento článok nadväzuje na predchádzajúcu časť, a teda vychádza z výskumu, ktorého cieľom bolo zmapovať aktuálne sa šíriace hrozby zamerané na služby systému Windows i na linuxové systémy za pomoci honeynetu. Dokončenie sa venuje útokom, ktoré smerovali na zraniteľné služby systému Windows. Tiež porovnáva atraktivitu jednotlivých senzorov situovaných v rôznych typoch sietí.

Celý výskum prebehol v rámci realizácie bakalárskej práce "Matej Zuzčák: Možnosti využití honeypotů a honeynetů při detekci síťových útoků a ochrane sítí LAN," na Prírodovedeckej fakulte Ostravskej univerzity v Ostrave. Za pomoc vďačím mnohým ľudom, z ktorých väčšinu spomínam na konci článku. Výskum pokračuje a už onedlho bude spustená elektronická verzia s určitým typom výstupov v reálnom čase.

Upozornenie: Všetky údaje, výsledky a text v článku sú licenčne chránené a nie je ich možné nijakým spôsobom ďalej modifikovať, používať a šíriť bez písomného súhlasu autora.

Výsledky v tejto časti výskumu boli získané za pomoci nasadenia honeypotu s nízkou/strednou mierou interakcie Dionaea.

Dionaea honeypot

Vývoj Dionaea honeypotu bol inicializovaný ako nástupca úspešného nízko-interaktívneho honeypotu Nepenthes v rámci Honeynet Project´s Code 2009 Markusom Kötterom. Dionaea oproti svojmu predchodcovi Nepenthes podporuje i protokol IPv6, či TLS. Základ honeypotu Dionaea je vytvorený za pomoci jazyka C. Avšak podpora jazyka Python umožňuje pridávať vlastné moduly bez nutnosti rekompilácie základu. Hlavným cieľom tohto riešenia je získanie kópie malware, ktorú chce použiť a distribuuje útočník.

Najvýznamnejším prvkom je podpora protokolu SMB. Tento protokol často trpí rôznymi zraniteľnosťami a je najviac využívaný sieťovými červami. Dionaea honeypot umožňuje naviazať session ešte pred začatím samotnej exploitácie útočníkovým počítačom. Iné honeypoty s nízkou mierou interakcie dokážu emulovať len určité zraniteľnosti. Okrem priamo emulovaných služieb dokáže Dionaea zachytávať sieťovú prevádzku aj na iných portoch za pomoci pcap API. Dionaea podporuje aj pasívnu identifikáciu operačného systému útočníka za pomoci vyžitia nástroja p0f. V rámci modulov ponúka aj automatickú identifikáciu získaných vzoriek pomocou služby VirusTotal - využitím ich API. Vzorky je tiež možné odosielať na automatickú analýzu online sandboxom. Zaujímavým je i modul NFQ. Ten sa inšpiruje už nevyvíjaným honeypotom HoneyTrap a dokáže ponúkať služby aj v rámci protokolov a služieb, ktoré nie sú primárne emulované. Dionaea sa tak s útočníkom spojí portom, ktorý využíva on sám, a pokúsi sa využiť jeho implementáciu protokolu. Otvára sa tu tak možnosť identifikácie nových útokov.

Útoky, ktoré smerovali na Dionaea honeynet

Dionaea honeypoty boli v prevádzke od začiatku novembra 2013 a obdobie získavania dát bolo ukončené 31. marca 2014. Nasledujúci graf zobrazuje počet všetkých útokov smerujúcich na honeynet (3 Dionaea honeypoty) z prvých desiatich najaktívnejších IP adries a počet spojení, pri ktorých došlo z danej IP adresy útočníka k ponúknutiu a následne aj k stiahnutiu binárneho súboru – najčastejšie vzorky malware.

graf

Ako možno vidieť, na honeynet smeruje veľké množstvo spojení od útočníkov, avšak len malé množstvo dokáže zároveň korektne poskytnúť binárny súbor (malware), ktorý môže byť následne stiahnutý. Dôvody môžu byť rôzne, technické problémy na strane honeypotu, či útočníka, možné bezpečnostné prvky po „ceste“ sieťovej prevádzky a pod. Súbor s malware môže byť tiež nejakým spôsobom poškodený.

V počte spojení sa na druhom mieste ustálila IP adresa z Českej republiky. Táto adresa bola aktívna do 19.1.2014. Patrí do autonómneho systému AS16246 poskytovateľovi internetovej konektivity z Frýdku-Místku. Možno tak vidieť, že problém šíriteľov malware, najčastejšie nevedome participujúcich na aktivitách botnetov sa dotýka aj lokálnych poskytovateľov internetového pripojenia. Pomerne aktívne sú i ďalšie štáty v rámci Európskej únie. V počte spojení predbiehajú krajiny ako Taiwan alebo Čína. Tento fakt poukazuje na potrebu stále intenzívnejšej spolupráce národných bezpečnostných tímov jednotlivých krajín s poskytovateľmi internetovej konektivity, ale i na potrebu vzájomnej spolupráce bezpečnostných tímov jednotlivých krajín v rámci Európy. Poradie IP adries na základe spojení, kde došlo k najvyššiemu počtu stiahnutiu binárnych súborov (malware) sa značne odlišuje:

graf

Európske krajiny však i v tomto rebríčku zastávajú pomerne dominantné postavenie. To opäť zdôrazňuje závery spomenuté v predošlom odstavci. Celkovo bolo počas obdobia prevádzky honeynetu zachytených 2 939 158 binárnych súborov, v drvivej väčšine prípadov sa jednalo o konkrétny malware.

Tabuľka poukazuje na operačné systémy, ktoré sú používané útočníkmi (v rámci všetkých spojení smerujúcich na honeynet). Detekcia nemusí byť úplne spoľahlivá, nakoľko je pasívna za pomoci staršej verzie nástroja p0f. Tá obsahuje už značne neaktualizované signatúry (odtlačky) pre detekciu systémov. Nová verzia p0f zatiaľ nie je upravená pre prácu s honeypotom Dionaea. Pri porovnávaní operačných systémov je tak rozumné obmedziť sa len na hlavné generácie operačných systémov ako Windows, Linux, Novell a pod. Aplikácia konkrétneho rozoznávania verzií na základe signatúr nie je v súčasnosti z vyššie menovaných dôvodov použiteľná na štatistické skúmanie.

Operačný systém Počet spojení
Windows 9 123 795
Neznámy 114 928
Linux 4 736
SunOS 454
Solaris 10
Redline 3
Novell 3
ExtremeWare 1
HP-UX 1

Z tabuľky možno vidieť, že najviac aktívni sú útočníci so systémom Windows. Tento fakt možno ľahko akceptovať, nakoľko najviac infikovaných počítačov zapojených do botnetov používa práve operačný systém Windows. Domnienku potvrdzuje i pohľad na najpočetnejšie používané systémy na strane útočníkov pri spojeniach, kde dochádza k distribúcií binárnych súborov (malware):

OS Počet spojení
Windows 2 907 986
Neznámy 31 148

Neznámy operačný systém bude s veľkou pravdepodobnosťou tiež určitou verziou systému Microsoft Windows, avšak nástroj p0f ju nedokázal korektne identifikovať. Môže ísť hlavne o novšie verzie.

Dôležité je identifikovať i lokálne sieťové porty (porty honeypotov), na ktoré prichádza najviac spojení. Spojenie samo o sebe ako také môže byť akceptované, alebo odmietnuté. Odmietnuté spojenia nemajú žiadny ďalší relevantný zmysel pre tento výskum. V rámci akceptovaného spojenia ďalej môže, ale i nemusí dôjsť k stiahnutiu konkrétnej vzorky binárneho súboru - malware. Avšak napr. pri protokole SMB môže byť použitý aj tzv. shellcode. Nasledujúca tabuľka poukazuje porty s najvyšším počtom akceptovaných spojení:

Lokálny port Počet akceptovaných spojení
445 9 141 640
80 2 6604
1433 15 645
3306 11 552
21 730
135 266
5060 11
42 4

Zrejmá je dominancia spojení smerujúcich na port 445. Tento port patrí protokolu SMB a ako ukazuje tento výskum, je zároveň i najviac zneužívaným útočníkmi na platforme Windows. Protokol SMB využíva v súčasnosti najmä sieťový červ Conficker. Za zvolené časové obdobie boli všetky vzorky (vyše 2,9 mil.) stiahnuté iba cez port 445. Možno tak usudzovať, že Dionaea najlepšie emuluje protokol SMB a zároveň sa v rámci neho šíri i najviac útokov resp. malware. Nasledujúca tabuľka poukazuje na porty, kde došlo k šíreniu malware, no zahŕňa i spojenia vo fáze potomka, kedy bolo toto spojenie iniciované už existujúcim spojením nadviazaným cez port 445:

Lokálny port Počet spojení
445 3 651 997
135 18
1957 3
4444 1
1130 1

Možno tak usudzovať, že po prvotnom využití zraniteľnosti protokolu SMB útočníci v istých prípadoch otvoria nadväzujúce session na ďalších portoch. Tie najčastejšie využívajú pre ďalšie šírenie malware, prípadne pre príjem pokynov od útočníka, zo strany riadiaceho servera (Command&Control server).

Okrem získania prehľadu o zneužívaných protokoloch a portoch, na ktoré prichádzajú útoky v najvyššej intenzite (samozrejme vzhľadom na možnosti Dionaea honeypotu) sú podstatné i samotné informácie o zachytených vzorkách malware. Dominujúcimi infiltráciami, ktoré dokázal honeynet zachytiť sú tak rôzne varianty sieťového červa Conficker. Tento červ predstavuje z celkového počtu všetkých stiahnutých binárnych súborov (malware) až 99,99933%. Počet binárnych súborov, pri ktorých nedošlo k identifikácii červa Conficker predstavuje hodnotu 1969, čo je z celkového počtu len 0,00067%. Okrem tejto infiltrácie bol identifikovaný aj malware označený ako W32/Sality, Win32:Agent-AOKX (W32/Spy.Y, Win32.HLLW.Bumble), Trojan.Swizzor.17843, Win32/AutoRun.IRCBot, Win32/Pepex, či Trojan.Win32.A.Zbot.57345.A. Nasledujúci graf zobrazuje malware, ktorý bol najčastejšie stiahnutý v rámci honeynetu, na základe detekcie antivírusom ESET NOD32 v rámci služby VirusTotal.com:

graf

Sieťový červ Conficker (tiež označovaný ako Kiddo) sa objavuje v absolútnej prevahe v rôznych variantoch. Ako je známe tento malware sa šíri práve cez protokol SMB, port 445. Distribuovaný bol v štyroch primárnych verziách, kde sa každá vyznačovala novou funkcionalitou. Avšak existuje niekoľko desiatok staro-nových variantov. Conficker primárne zneužíva zraniteľnosť MS08-067, podľa antivírusových spoločností ESET a Kaspersky Lab tiež i zraniteľnosti MS09-001 a MS08-068. Opravy boli zo strany spoločnosti Microsoft vydané už dávno (v rokoch 2008 - 2009). Avšak situácia, ktorú možno sledovať nasvedčuje flagrantne nedbanlivému prístupu k politike aktualizácie operačného systému. Tá je dlhodobo mnohými užívateľmi i správcami podceňovaná. Vedie tak k šíreniu infiltrácií, ktoré by v súčasnosti, pri poctivom dodržiavaní aktualizačnej politiky mali pretrvávať len v marginálnom množstve.

Conficker dokážu taktiež dnes identifikovať takmer všetky antivírusy a IDS/IPS systémy. Faktom teda je, že mnoho ľudí nedbá ani o základné zabezpečenie svojho počítača. Výsledkom je neustála existencia botnetov skladajúcich sa z infikovaných počítačov, ktoré šíria tento malware ďalej prostredníctvom internetu, najčastejšie bez akéhokoľvek vedomia užívateľa. Zvyčajne ide o náhodné skenovanie rozsahov IP adries, no ak je identifikovaná zraniteľnosť, útoky sa postupne značne zvyšujú. Dá sa preto predpokladať, že v rámci botnetu existuje istý spôsob komunikácie a oznamovania ľahko dostupných cieľov. Jednotlivé verzie sú neustále modifikované, hoci nie funkcionalitou, ale tak, aby integrita súboru nebola zhodná s už známymi MD5 hasmi. Preto je zaujímavé pozrieť sa opäť na najrozšírenejší malware z hľadiska počtu jedinečných distribútorov danej vzorky. Po analýze možno vidieť, že počet jedinečných distribútorov najsťahovanejších vzoriek je maximálne v priemere na hodnote do 638 staníc. Modifikácia súborov s červom Conficker tak prebieha vo vysokej miere. Tento distribútor – útočník tak ponúka neustále dookola svoju vzorku, čím rastie počet opakovaných stiahnutí.

Ak už bolo spomenuté, okrem dominujúceho červa Conficker je možno badať aj skôr sporadické zachytenie vzoriek, ktoré neboli za pomoci služby VirusTotal.com detegované ako Conficker, ba dokonca neboli detegované vôbec. 41 jedinečných vzoriek (na základe MD5 hashov) nebolo za celú dobu prevádzky identifikovaných antivírusom ESET NOD32 na VirusTotal.com z celkovo 1440 jedinečných súborov resp. vzoriek malware (na základe MD5 hashov). Tieto súbory boli spolu opakovane šírené a stiahnuté honeypotom 902 krát. Vzoriek, ktoré boli neznáme v dobe analýzy i všetkým ostatným antivírusom v rámci služby VirtusTotal.com bolo 16.

Útoky na jednotlivé senzory sa rôznia, tu je prehľad aktivity útočníkov na všetky tri senzory - Dionaea honeypoty počas celej prevádzky honeynetu:

Dionaea honeypot Kysuckom Novom Meste (pripojenie akademická sieť SANET):

graf

Dionaea honeypot v Ostrave (pripojenie akademická sieť CESNET):

graf

Dionaea honeypot na virtuálnom privátnom hostingu Praha:

graf

Najmenej vzoriek malware (označené ako binárne súbory) bolo sťahovaných cez Dionaea honeypot pripojený do siete SANET. Rádovo išlo o jednotky denne, niektoré dni boli bez stiahnutia akejkoľvek vzorky. Za celkovú dobu prevádzky honeypotu bolo v priemere denne stiahnutých len 0,152 súborov. Pravdepodobne je to dané určitými bezpečnostnými opatreniami, i keď pri overovaní neboli žiadne konkrétne identifikované (čo potvrdzuje i rozhovor so správcom siete). Pri skenovaní boli poskytované - emulované služby prístupné. Avšak nebolo celkom možné overiť prístupnosť protokolu SMB, nakoľko ho s vysokou pravdepodobnosťou filtrujú vo väčšine prípadov poskytovatelia internetovej konektivity. Napriek tomu v databáze bolo overené, že došlo k stiahnutiu určitých vzoriek cez protokol SMB. Celkovo je pravdepodobne IP adresa pre útočníkov nezaujímavá. Svedčia o tom aj celkové spojenia smerujúce na honeypot. Na senzor ich denne neprichádzalo často ani tisíc, v priemere je to len 241,9. Ak aj odhliadneme od možných bezpečnostných opatrení, zdá sa, že určité rozsahy napr. akademické (SANET, či CESNET) nie sú pre útočníkov zaujímavé. Pravdepodobne si uvedomujú možnosti monitorovania, či rôzne bezpečnostné aktivity, ktoré tu môžu hroziť a rozsahy IP adries, ktoré používajú im nie sú neznáme.

Ďalším senzorom s pomerne nízkym záujmom útočníkov bol Dionaea honeypot umiestnený a pripojený do siete CESNET. Sieť CESNET je budovaná na rovnakom princípe ako sieť SANET. Podobne aj tu neboli zistené žiadne bezpečnostné opatrenia, ktoré by mohli brániť útočníkom v napádaní. Aktivita spojení prichádzajúcich na honeypot, bola v tomto prípade o niečo vyššia, no nie markantne. Zvyčajne sa aktivita držala v priemere za jeden deň na hodnote do 2 000. Avšak táto aktivita bola značne kolísavá. V určitých obdobiach dochádzalo k nárastu spojení až na hodnoty približujúce sa 30 000. Preto má aritmetický priemer útokov za jeden deň hodnotu 2 125,1. V grafe badať len niekoľko krátkych období, ktoré zaznamenali významnejšie zvýšenie na úroveň nad 20 000 spojení za deň. Zdá sa však, že išlo skôr o výnimočné situácie. O niečo lepšie si tento senzor viedol pri sťahovaní vzoriek malware. No úroveň bola i tak nízka, zvyčajne v priemere 789,6. Hodnota 500 bola prekročená len už v spomínaných krátkych obdobiach, kedy vystúpil i počet spojení. Skenovanie portov podobne ako v prvom prípade ukázalo dostupnosť všetkých emulovaných služieb. Aktivita tak potvrdzuje konštatovanie vyslovené pri predchádzajúcom senzore. Tieto merania potvrdili, že útočníci nemajú markantný záujem o IP rozsahy z akademických sieti.

Najväčší počet spojení i stiahnutí vzoriek maware zaznamenal posledný senzor umiestnený na komerčnom virtuálnom privátnom hostingu. Išlo tu rádovo o desať-tisíce spojení denne, s priemernou hodnotou 69 064,48 denne a odchýlka od priemeru dosiahla hodnotu 28 635,48. Sťahovanie vzoriek zvyčajne presahovalo hodnotu 20 000 denne. Priemerne bolo za 1 deň stiahnutých 21 846,35 súborov a odchýlka od priemeru nadobúdala hodnotu 9 314,197. Rozdiel oproti senzorom umiestnených v akademických sieťach je už markantný. Občasný pokles bol spôsobený hlavne technickými problémami (krátkymi výpadkami konektivity). Na tomto serveri neboli podobne aplikované žiadne bezpečnostné mechanizmy, ani filtrácia. Zdá sa, že útočníci majú o „bežné“ IP adresy záujem. Avšak počet spojení bol až natoľko vysoký, že núti k zamysleniu, či za vysokou atraktivitou nestoja i ďalšie faktory. Hosting, na ktorom bol umiestnený senzor bol zvolený hlavne pre nízke finančné náklady, často ho tak využívajú i stránky z tzv. šedej zóny internetu. Pridelenú IP adresu mohla pred umiestnením senzoru využívať nejaká služba práve z tejto tzv. šedej zóny internetu. Prípadne môže byť celý používaný IP rozsah dobre známy. Ak sú akademické rozsahy IP adries pre útočníkov nezaujímavé, zdá sa, že práve naopak rozsahy, kde sa nachádzajú i zdroje zo šedej oblasti internetu sú naopak veľmi príťažlivé. Toto tvrdenie je však skôr domnienkou, pre jeho relevantné overenie by bolo potrebné nasadiť ďalšie senzory.

Záver

Prvá fáza výskumu poukázala istým spôsobom na aktuálnu situáciu v oblasti šírenia hrozieb v rámci internetu. Pri Dionaea senzoroch bolo možné porovnať atraktivitu v rámci rôznych typov sietí a dostať sa tak k údajom, ktoré nie sú verejne často prístupné, alebo len s mnohými obmedzeniami. Pre účely výskumu sa tak jednalo o akýsi "rozbeh" v rámci, ktorého boli okrem ostrej prevádzky jednotlivých senzorov otestované aj technologické prostriedky pre spracovávanie a vyhodnocovanie dát. V ďalších fázach stále prebiehajúceho výskumu budú vykonávané komplexnejšie a podrobnejšie merania, pridané budú aj ďalšie typy sietí a senzorov, no výskum ako taký sa zameria aj na analýzu sofistikovanejších útokov. Pre túto oblasť slúžia honeypoty s vysokou mierou interakcie. Ich nasadenie však vyžaduje oveľa vyššie nároky na výkon a celkové zabezpečenie cieľových systémov. Okrem toho je potrebné sofistikovanejšieho útočníka patrične "pritiahnuť" a zamedziť čiste automatizovaným útokom.

Poďakovanie

Poďakovanie za pomoc, zásadné rady, podporu i za celkovú koordináciu patrí vedúcemu práce - RNDr. Tomášovi Sochorovi, CSc. Ďalej veľmi pekne ďakujem za poskytnuté technologické zázemie a pomoc: Mgr. Michal Kusýn, Jiří Kubina, Ing. Miroslav Padyšák; za odborné konzultácie a konštruktívnu kritiku: Bc. Martin Dráb, David Vorel, Katarína Ďurechová, Mgr. Jiří Machálek, Mgr. Juraj Masár.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info