Wykrywanie podejrzanych domen internetowych poprzez pasywną analizę ruchu DNS

Transkrypt

1 Wykrywanie podejrzanych domen internetowych poprzez pasywną analizę ruchu DNS Paweł Krześniak Warszawa, SECURE 2011

2 Agenda Agenda Po co obserwować ruch DNS? Projekty związane z passive DNS Projekt passive DNS prowadzony przez 2 / 27

3 Po co obserwować ruch DNS? 3 / 27

4 DNS umożliwia tłumaczenie łatwych do zapamiętania nazw na adresy IP 4 / 27

5 Rozwiązywanie nazwy domeny na adres IP 5 / 27

6 DNS jest atrakcyjny dla przestępców, bo: Łatwo i szybko można zarządzać wpisami DNS Fast Flux: Częste zmiany mapowania nazwa -> adres IP (lub grupa adresów IP) Można tak zaprogramować malware, aby umiało w przyszłości skorzystać z domen jeszcze niezarejestrowanych (np robak Conficker) Wniosek: DNS daje przestępcom dużą elastyczność w kontrolowaniu złośliwego oprogramowania 6 / 27

7 Projekty związane z passive DNS 7 / 27

8 Monitorowanie serwerów rekurencyjnych SIE Security Information Exchange EXPOSURE Monitorowanie serwerów TLD Projekt 8 / 27

9 SIE SIE Security Information Exchange (ISC Internet Systems Consortium) 9 / 27

10 SIE Komponent DNSDB platformy SIE przechowuje informacje przesyłane przez sensory Zapisuje historię danej domeny Jak zmieniały się adresy IP dla domeny Jakie domeny są obsługiwane przez dany adres IP Jakie domena posiada poddomeny Wykrywanie domen przeskakujących na różne adresy IP (fast flux) Możliwość partycypacji w projekcie poprzez udostępnianie danych ze swoich serwerów nazw 10 / 27

11 EXPOSURE EXPOSURE Realizowany w ramach projektu unijnego WOMBAT (Worldwide Observatory of Malicious Behaviors and Attack Threats) Korzysta z danych udostępnianych w: SIE Security Information Exchange Anubis serwis do analizy malware Wepawet serwis do analizy zagrożeń propagujących się przez strony www Na podstawie różnych parametrów zapytań i odpowiedzi DNS klasyfikuje domeny jako niegroźnie lub jako złośliwe Charakterystyka zapytań (powtarzające się wzorce) Analiza odpowiedzi DNS (liczba adresów IP, liczba domen na adresie IP, kraje w których obsługiwana jest domena) Analiza nazwy domeny (cyfry w nazwie) Analiza TTL w odpowiedzi 11 / 27

12 Projekt passive DNS w 12 / 27

13 Czym dysponujemy i co możemy zobaczyć? Zapis ruchu DNS widziany przy serwerach autorytatywnych dla polskich domen Czyli inaczej niż w SIE Ruch DNS widziany u celu a nie u źródła Nie skupiamy się na historii domeny, gdyż tą historię mamy w bazie danych rejestru domen Z perspektywy ISP widać ostateczną odpowiedź na zapytanie klienta, a z perspektywy TLD widać tylko gdzie jest delegowana domena Skupiamy się na zapytaniach DNS a nie odpowiedziach 13 / 27

14 Cechy ruchu widzianego u celu Cechy pojedynczego zapytania: Skąd jest zapytanie? (adres IP, kraj, ASN) O jakie domeny się pyta konkretne IP? (nazwa domeny, jakie rekordy) Kto się pyta? (serwer rekursywny czy ręczne zapytania flaga RD w zapytaniu) Kiedy pyta? (dokładność do 1h) Cechy grupy zapytań: Skąd przychodzą zapytania o daną domenę (jaki jest rozkład pomiędzy krajami źródłowymi, AS-ami) O jakie rekordy są zapytania (aktywność związana z wysyłką poczty elektronicznej [MX], wyszukiwanie serwisów w domenie [SRV]) 14 / 27

15 Cel projektu: wykrywanie podejrzanych zachowań w Internecie na podstawie analizy ruchu DNS Jak: na podstawie obserwacji i analizy ruchu do serwerów DNS obsługujących domenę.pl Dane i narzędzia: Log zapytań DNS do części serwerów autorytatywnych dla domeny.pl Baza danych mapująca IP na kraj oraz na ASN Baza złośliwych domen Korelator zdarzeń SEC (Simple Event Correlator) 15 / 27

16 Analizy: Wykrywanie złośliwych domen na podstawie charakterystyki ruchu Całkowity wolumen ruchu Wolumen ruchu z Polski Rozkład ruchu z poszczególnych państw Rozkład ruchu w poszczególnych porach dnia Ocena zagrożenia złośliwych domen Wykrywanie kampanii spamowych Analiza ruchu do domen zaklasyfikowanych przez zewnętrzne systemy jako złośliwe (np przez Google Safe Browsing) Analiza nazw nieistniejących domen (NXDOMAIN) Wykorzystanie DNSSEC-a przez serwery rekursywne 16 / 27

17 400 Ruch z poszczególnych państw - wrzesień zapytań / sek / serwer PL US DE RU GB FR v6 NL BR IT UA IN CZ AR RO 17 / 27

18 450 Ruch z poszczególnych państw per godzina - wrzesień zapytań / sek / serwer :00 00:00 02:00 04:00 06:00 08:00 10:00 godzina PL US DE RU GB FR v6 NL BR IT UA IN CZ AR RO 12:00 14:00 16:00 18:00 20:00 18 / 27

19 900 Zapytania o typy rekordów - wrzesień zapytań / sek / serwer A AAAA MX NS TXT A6 * SOA PTR SPF 19 / 27

20 800 Zapytania o typy rekordów per godzina - wrzesień zapytań / sek / serwer :00 02:00 04:00 06:00 08:00 10:00 12:00 14:00 16:00 18:00 20:00 22:00 A AAAA MX NS TXT A6 * SOA PTR SPF 20 / 27

21 Wnioski i obserwacje: Posiadamy mechanizm wykrywania anomalii w ruchu DNS (w czasie prawie-rzeczywistym) Wykryliśmy złośliwe domeny odpowiedzialne za botnet Virut ircgalaxy.pl zief.pl trenz.pl brenz.pl brans.pl chura.pl Wykryliśmy także inne złośliwe domeny: snowboard619.w.interia.pl pelcpawel.fm.interia.pl "STRONA ZABLOKOWANA: Strona została zablokowana z powodów regulaminowych" gim8.pl Wykryta we wrześniu 2011 Na początku października domena wskazywała na Teraz wskazuje na poprawny adres, ale baza Google Safe Browsing nadal klasyfikuje ją jako złośliwą ert.pl 345.pl orge.pl W trakcie rozpoznania (Trojan, SpyEye, Rogue Antivirus) Wykryliśmy kilka trackerów torrenta 21 / 27

22 9 Ruch do dużych portali - marzec zapytań / sek / serwer onet.pl wp.pl allegro.pl interia.pl nasza-klasa.pl google.pl gazeta.pl o2.pl nk.pl 22 / 27

23 2,5 Ruch do domen złośliwych - marzec zapytań / sek / serwer 1,5 1 0, brenz.pl zief.pl ircgalaxy.pl trenz.pl chura.pl brans.pl 23 / 27

24 14 Ruch do dużych portali - marzec zapytań / sek / serwer :00 02:00 04:00 06:00 08:00 10:00 12:00 14:00 16:00 18:00 20:00 22:00 onet.pl wp.pl allegro.pl interia.pl nasza-klasa.pl google.pl gazeta.pl o2.pl nk.pl 24 / 27

25 3,5 Ruch do domen złośliwych - marzec zapytań / sek / serwer 2,5 2 1,5 1 0,5 0 00:00 02:00 04:00 06:00 08:00 10:00 12:00 14:00 16:00 18:00 20:00 22:00 brenz.pl zief.pl ircgalaxy.pl trenz.pl chura.pl brans.pl 25 / 27

26 Podsumowanie Projekt jest unikalny na skalę światową, gdyż organizacje utrzymujące rejestry domen często nie mają dedykowanych zespołów bezpieczeństwa Obserwacja ruchu DNS przychodzącego do serwerów TLD pozwala zarysować obraz polskich domen Widoczny jest sposób wykorzystania domen 26 / 27

27 Dziękuję 27 / 27