Honey Spider Network 2.0

Honey Spider Network 2.0 Paweł Pawliński CERT Polska / NASK SECURE 2012 XVI Konferencja na temat bezpieczeństwa teleinformatycznego 23 października 2012 Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 1 / 46

Plan prezentacji 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 2 / 46

Wprowadzenie Organizacje biorace udział w projekcie 2011 Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 3 / 46

Plan prezentacji Drive-by download 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 4 / 46

Strona WWW Drive-by download Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 5 / 46

R Drive-by download Przegladarka: cele ataku ActiveX JavaScript biblioteki systemowe Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 6 / 46

Drive-by download Strona WWW (niezłośliwa) Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 7 / 46

Infekcja strony Drive-by download Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 8 / 46

Złośliwa strona Drive-by download Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 9 / 46

Drive-by download Atak na użytkownika końcowego Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 10 / 46

Co chcemy wykrywać Drive-by download Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 11 / 46

Plan prezentacji Honeypoty 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 12 / 46

Honeypoty Odwiedzenie strony przez użytkownika Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 13 / 46

Honeypoty Honeypot wysoko-interaktywny VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 14 / 46

Honeypoty Honeypot wysoko-interaktywny: maszyna wirtualna VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 15 / 46

Honeypoty Honeypot wysoko-interaktywny: system operacyjny VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 16 / 46

Honeypoty Honeypot wysoko-interaktywny: przegladarka VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 17 / 46

Honeypoty Honeypot wysoko-interaktywny: dodatki, biblioteki,... VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 18 / 46

Honeypoty Co faktycznie jest sprawdzane VM Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 19 / 46

Honeypoty Interakcja pomiędzy przegladark a a strona WWW Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 20 / 46

Honeypoty Honeypot nisko-interaktywny <html><head><meta http-equiv= "refresh" content= "1;URL='http://evil.tld'"> </head></html> for(i = 0; i < 100; i++) memory[i] = spray + shellcode; xmlcode = "<XML ID=I><X><C><![CDATA[<image... tag = document.getelementbyid("replace"); tag.innerhtml = xmlcode; UINT WINAPI WinExec ( LPCSTR = 0x025d4b30 => = "a.exe"; UINT ucmdshow = 0; ) = 32; void ExitProcess ( INT uexitcode = 0; ) = 0; <object classid="clsid:cafeefac-... height="1" style="outline-style:... width="1"></object> MD5: 502da89357ca5d7c85dc7a67f8977b21 Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 21 / 46

Plan prezentacji Wyzwania 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 22 / 46

Skala problemu Wyzwania Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 23 / 46

Skala problemu Wyzwania Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 24 / 46

Skala problemu Wyzwania Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 25 / 46

Skala problemu Wyzwania Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 26 / 46

Skala problemu Wyzwania Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 27 / 46

R Złożoność stron WWW Wyzwania iframe plugin script redirect Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 28 / 46

R Złożoność stron WWW Wyzwania iframe plugin script redirect Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 29 / 46

Wyzwania Firmy używajace honeypotów klienckich firmy AV Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 30 / 46

Plan prezentacji Architektura 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 31 / 46

Architektura Pierwsza wersja Honey Spider Network (ca. 2009) Centrum VM JavaScript Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 32 / 46

Architektura Wersja 2.0: przetwarzanie stron WWW V M Framework V Paweł Pawlin ski (CERT Polska / NASK) M Honey Spider Network 2.0 SECURE 2012 33 / 46

Architektura Wersja 2.0: widok ogólny http://evil.tld/ http://subdomain.example.com/ http://example.com/a.html http://example.com/ V V Paweł Pawlin ski (CERT Polska / NASK) M M Honey Spider Network 2.0 SECURE 2012 34 / 46

Użyte technologie Architektura Protocol Buffers Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 35 / 46

Plan prezentacji Serwisy 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 36 / 46

Serwisy Zaimplementowane serwisy klient WWW Thug analiza JavaScript YARA analiza Flash R scdbg (shellcode) V M Capture-HPC analiza PCAP V M Cuckoo Sandbox Paweł Pawlin ski (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 37 / 46

Serwisy Zaimplementowane serwisy klient WWW Thug analiza JavaScript YARA analiza Flash R V V M M scdbg (shellcode) PDF Fox Capture-HPC Office Cat analiza PCAP VirusTotal.com Cuckoo Sandbox Clam AntiVirus Paweł Pawlin ski (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 38 / 46

Serwisy Konfiguracja przetwarzania (workflow) Job start accepted parameter A = "some value" yes no rejected... Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 39 / 46

Plan prezentacji Demonstracja 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 40 / 46

Demonstracja Publiczny interfejs HSN 2.0 (wersja testowa)... Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 41 / 46

Plan prezentacji Plany rozwoju 1 Drive-by download 2 Honeypoty 3 Wyzwania 4 Architektura 5 Serwisy 6 Demonstracja 7 Plany rozwoju Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 42 / 46

Plany rozwoju Najbliższa przyszłość projektu lato 2012: zaimplementowanie podstawowych komponentów teraz: testy, poprawki błędów listopad 2012: wydanie wersji 2.0 (open source) styczeń 2013: uruchomienie publicznego interfejsu 2013: zintegrowane zarzadzanie i monitorowanie systemu kolejne analizatory alternatywne klienty WWW... Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 43 / 46

Plany rozwoju Dostęp do testowej wersji systemu http://hsn.cert.pl/ (dostęp tylko z sieci konferencyjnej) Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 44 / 46

Dziękuję za uwagę. Pytania? Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 45 / 46

http://www.cert.pl/ http://twitter.com/cert_polska http://twitter.com/cert_polska_en Paweł Pawliński (CERT Polska / NASK) Honey Spider Network 2.0 SECURE 2012 46 / 46