Honey Spider Network 2.0

HTML
DOWNLOAD

Wielkość: px

Rozpocząć pokaz od strony:

Download "Honey Spider Network 2.0"

Piotr Chmiel
9 lat temu
Przeglądów:

1 Honey Spider Network 2.0 Paweł Pawliński CERT Polska / NASK SECURE 2012 XVI Konferencja na temat bezpieczeństwa teleinformatycznego 23 października 2012 Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

2 Plan prezentacji 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

3 Wprowadzenie Organizacje biorace udział w projekcie 2011 Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

4 Plan prezentacji Drive-by download 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

5 Strona WWW Drive-by download Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

6 R Drive-by download Przegladarka: cele ataku ActiveX JavaScript biblioteki systemowe Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

7 Drive-by download Strona WWW (niezłośliwa) Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

8 Infekcja strony Drive-by download Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

9 Złośliwa strona Drive-by download Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

10 Drive-by download Atak na użytkownika końcowego Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

11 Co chcemy wykrywać Drive-by download Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

12 Plan prezentacji Honeypoty 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT

13 Honeypoty Odwiedzenie strony przez użytkownika Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

14 Honeypoty Honeypot wysoko-interaktywny VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

15 Honeypoty Honeypot wysoko-interaktywny: maszyna wirtualna VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

16 Honeypoty Honeypot wysoko-interaktywny: system operacyjny VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

17 Honeypoty Honeypot wysoko-interaktywny: przegladarka VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

18 Honeypoty Honeypot wysoko-interaktywny: dodatki, biblioteki,... VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

19 Honeypoty Co faktycznie jest sprawdzane VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

20 Honeypoty Interakcja pomiędzy przegladark a a strona WWW Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

21 Honeypoty Honeypot nisko-interaktywny <html><head><meta http-equiv= "refresh" content= "1;URL=' </head></html> for(i = 0; i < 100; i++) memory[i] = spray + shellcode; xmlcode = "<XML ID=I><X><C><![CDATA[<image... tag = document.getelementbyid("replace"); tag.innerhtml = xmlcode; UINT WINAPI WinExec ( LPCSTR = 0x025d4b30 => = "a.exe"; UINT ucmdshow = 0; ) = 32; void ExitProcess ( INT uexitcode = 0; ) = 0; <object classid="clsid:cafeefac-... height="1" style="outline-style:... width="1"></object> MD5: 502da89357ca5d7c85dc7a67f8977b21 Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

22 Plan prezentacji Wyzwania 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

23 Skala problemu Wyzwania Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

24 Skala problemu Wyzwania Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

25 Skala problemu Wyzwania Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

26 Skala problemu Wyzwania Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

27 Skala problemu Wyzwania Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

28 R Złożoność stron WWW Wyzwania iframe plugin script redirect Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

29 R Złożoność stron WWW Wyzwania iframe plugin script redirect Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

30 Wyzwania Firmy używajace honeypotów klienckich firmy AV Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

31 Plan prezentacji Architektura 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

32 Architektura Pierwsza wersja Honey Spider Network (ca. 2009) Centrum VM JavaScript Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

33 Architektura Wersja 2.0: przetwarzanie stron WWW V M Framework V Paweł Pawlin ski (CERT Polska / NASK) M Honey Spider Network 2.0 SECURE / 46

34 Architektura Wersja 2.0: widok ogólny V V Paweł Pawlin ski (CERT Polska / NASK) M M Honey Spider Network 2.0 SECURE / 46

35 Użyte technologie Architektura Protocol Buffers Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

36 Plan prezentacji Serwisy 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

37 Serwisy Zaimplementowane serwisy klient WWW Thug analiza JavaScript YARA analiza Flash R scdbg (shellcode) V M Capture-HPC analiza PCAP V M Cuckoo Sandbox Paweł Pawlin ski (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

38 Serwisy Zaimplementowane serwisy klient WWW Thug analiza JavaScript YARA analiza Flash R V V M M scdbg (shellcode) PDF Fox Capture-HPC Office Cat analiza PCAP VirusTotal.com Cuckoo Sandbox Clam AntiVirus Paweł Pawlin ski (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

39 Serwisy Konfiguracja przetwarzania (workflow) Job start accepted parameter A = "some value" yes no rejected... Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

40 Plan prezentacji Demonstracja 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

41 Demonstracja Publiczny interfejs HSN 2.0 (wersja testowa)... Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

42 Plan prezentacji Plany rozwoju 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

43 Plany rozwoju Najbliższa przyszłość projektu lato 2012: zaimplementowanie podstawowych komponentów teraz: testy, poprawki błędów listopad 2012: wydanie wersji 2.0 (open source) styczeń 2013: uruchomienie publicznego interfejsu 2013: zintegrowane zarzadzanie i monitorowanie systemu kolejne analizatory alternatywne klienty Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

44 Plany rozwoju Dostęp do testowej wersji systemu (dostęp tylko z sieci konferencyjnej) Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

45 Dziękuję za uwagę. Pytania? Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

46 Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE / 46

Podobne dokumenty

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager Wykrywanie cyberzagrożeń typu Drive-by Download Piotr Bisialski Security and Data Center Product Manager WIEDZA I TECHNOLOGIA Hosting Meeting Wrocław 26 stycznia 2012 Zagrożenia w Internecie Tytuł Atak