Wykrywanie podejrzanych domen internetowych poprzez pasywną analizę ruchu DNS

Wykrywanie podejrzanych domen internetowych poprzez pasywną analizę ruchu DNS Paweł Krześniak pawel.krzesniak@cert.pl Warszawa, SECURE 2011

Agenda Agenda Po co obserwować ruch DNS? Projekty związane z passive DNS Projekt passive DNS prowadzony przez 2 / 27

Po co obserwować ruch DNS? 3 / 27

DNS umożliwia tłumaczenie łatwych do zapamiętania nazw na adresy IP 4 / 27

Rozwiązywanie nazwy domeny na adres IP 5 / 27

DNS jest atrakcyjny dla przestępców, bo: Łatwo i szybko można zarządzać wpisami DNS Fast Flux: Częste zmiany mapowania nazwa -> adres IP (lub grupa adresów IP) Można tak zaprogramować malware, aby umiało w przyszłości skorzystać z domen jeszcze niezarejestrowanych (np robak Conficker) Wniosek: DNS daje przestępcom dużą elastyczność w kontrolowaniu złośliwego oprogramowania 6 / 27

Projekty związane z passive DNS 7 / 27

Monitorowanie serwerów rekurencyjnych SIE Security Information Exchange EXPOSURE Monitorowanie serwerów TLD Projekt 8 / 27

SIE SIE Security Information Exchange (ISC Internet Systems Consortium) 9 / 27

SIE Komponent DNSDB platformy SIE przechowuje informacje przesyłane przez sensory Zapisuje historię danej domeny Jak zmieniały się adresy IP dla domeny Jakie domeny są obsługiwane przez dany adres IP Jakie domena posiada poddomeny Wykrywanie domen przeskakujących na różne adresy IP (fast flux) Możliwość partycypacji w projekcie poprzez udostępnianie danych ze swoich serwerów nazw 10 / 27

EXPOSURE EXPOSURE http://exposure.iseclab.org/ Realizowany w ramach projektu unijnego WOMBAT (Worldwide Observatory of Malicious Behaviors and Attack Threats) Korzysta z danych udostępnianych w: SIE Security Information Exchange Anubis serwis do analizy malware Wepawet serwis do analizy zagrożeń propagujących się przez strony www Na podstawie różnych parametrów zapytań i odpowiedzi DNS klasyfikuje domeny jako niegroźnie lub jako złośliwe Charakterystyka zapytań (powtarzające się wzorce) Analiza odpowiedzi DNS (liczba adresów IP, liczba domen na adresie IP, kraje w których obsługiwana jest domena) Analiza nazwy domeny (cyfry w nazwie) Analiza TTL w odpowiedzi 11 / 27

Projekt passive DNS w 12 / 27

Czym dysponujemy i co możemy zobaczyć? Zapis ruchu DNS widziany przy serwerach autorytatywnych dla polskich domen Czyli inaczej niż w SIE Ruch DNS widziany u celu a nie u źródła Nie skupiamy się na historii domeny, gdyż tą historię mamy w bazie danych rejestru domen Z perspektywy ISP widać ostateczną odpowiedź na zapytanie klienta, a z perspektywy TLD widać tylko gdzie jest delegowana domena Skupiamy się na zapytaniach DNS a nie odpowiedziach 13 / 27

Cechy ruchu widzianego u celu Cechy pojedynczego zapytania: Skąd jest zapytanie? (adres IP, kraj, ASN) O jakie domeny się pyta konkretne IP? (nazwa domeny, jakie rekordy) Kto się pyta? (serwer rekursywny czy ręczne zapytania flaga RD w zapytaniu) Kiedy pyta? (dokładność do 1h) Cechy grupy zapytań: Skąd przychodzą zapytania o daną domenę (jaki jest rozkład pomiędzy krajami źródłowymi, AS-ami) O jakie rekordy są zapytania (aktywność związana z wysyłką poczty elektronicznej [MX], wyszukiwanie serwisów w domenie [SRV]) 14 / 27

Cel projektu: wykrywanie podejrzanych zachowań w Internecie na podstawie analizy ruchu DNS Jak: na podstawie obserwacji i analizy ruchu do serwerów DNS obsługujących domenę.pl Dane i narzędzia: Log zapytań DNS do części serwerów autorytatywnych dla domeny.pl Baza danych mapująca IP na kraj oraz na ASN Baza złośliwych domen Korelator zdarzeń SEC (Simple Event Correlator) 15 / 27

Analizy: Wykrywanie złośliwych domen na podstawie charakterystyki ruchu Całkowity wolumen ruchu Wolumen ruchu z Polski Rozkład ruchu z poszczególnych państw Rozkład ruchu w poszczególnych porach dnia Ocena zagrożenia złośliwych domen Wykrywanie kampanii spamowych Analiza ruchu do domen zaklasyfikowanych przez zewnętrzne systemy jako złośliwe (np przez Google Safe Browsing) Analiza nazw nieistniejących domen (NXDOMAIN) Wykorzystanie DNSSEC-a przez serwery rekursywne 16 / 27

400 Ruch z poszczególnych państw - wrzesień 2011 350 300 zapytań / sek / serwer 250 200 150 100 50 0 20110906 20110908 20110910 20110912 20110914 20110916 20110918 20110920 20110922 PL US DE RU GB FR v6 NL BR IT UA IN CZ AR RO 17 / 27

450 Ruch z poszczególnych państw per godzina - wrzesień 2011 400 350 zapytań / sek / serwer 300 250 200 150 100 50 0 22:00 00:00 02:00 04:00 06:00 08:00 10:00 godzina PL US DE RU GB FR v6 NL BR IT UA IN CZ AR RO 12:00 14:00 16:00 18:00 20:00 18 / 27

900 Zapytania o typy rekordów - wrzesień 2011 800 700 zapytań / sek / serwer 600 500 400 300 200 100 0 20110906 20110908 20110910 20110912 20110914 20110916 20110918 20110920 20110922 A AAAA MX NS TXT A6 * SOA PTR SPF 19 / 27

800 Zapytania o typy rekordów per godzina - wrzesień 2011 700 600 zapytań / sek / serwer 500 400 300 200 100 0 00:00 02:00 04:00 06:00 08:00 10:00 12:00 14:00 16:00 18:00 20:00 22:00 A AAAA MX NS TXT A6 * SOA PTR SPF 20 / 27

Wnioski i obserwacje: Posiadamy mechanizm wykrywania anomalii w ruchu DNS (w czasie prawie-rzeczywistym) Wykryliśmy złośliwe domeny odpowiedzialne za botnet Virut ircgalaxy.pl zief.pl trenz.pl brenz.pl brans.pl chura.pl Wykryliśmy także inne złośliwe domeny: snowboard619.w.interia.pl pelcpawel.fm.interia.pl "STRONA ZABLOKOWANA: Strona została zablokowana z powodów regulaminowych" gim8.pl Wykryta we wrześniu 2011 Na początku października domena wskazywała na 127.0.0.1 Teraz wskazuje na poprawny adres, ale baza Google Safe Browsing nadal klasyfikuje ją jako złośliwą ert.pl 345.pl orge.pl W trakcie rozpoznania (Trojan, SpyEye, Rogue Antivirus) Wykryliśmy kilka trackerów torrenta 21 / 27

9 Ruch do dużych portali - marzec 2011 8 7 zapytań / sek / serwer 6 5 4 3 2 1 0 20110301 20110303 20110305 20110307 20110309 20110311 20110313 20110315 20110317 20110319 20110321 20110329 20110323 20110325 20110327 onet.pl wp.pl allegro.pl interia.pl nasza-klasa.pl google.pl gazeta.pl o2.pl nk.pl 22 / 27

2,5 Ruch do domen złośliwych - marzec 2011 2 zapytań / sek / serwer 1,5 1 0,5 0 20110301 20110303 20110305 20110307 20110309 20110311 20110313 20110315 20110317 20110319 20110321 20110323 20110325 20110329 20110327 brenz.pl zief.pl ircgalaxy.pl trenz.pl chura.pl brans.pl 23 / 27

14 Ruch do dużych portali - marzec 2011 12 zapytań / sek / serwer 10 8 6 4 2 0 00:00 02:00 04:00 06:00 08:00 10:00 12:00 14:00 16:00 18:00 20:00 22:00 onet.pl wp.pl allegro.pl interia.pl nasza-klasa.pl google.pl gazeta.pl o2.pl nk.pl 24 / 27

3,5 Ruch do domen złośliwych - marzec 2011 3 zapytań / sek / serwer 2,5 2 1,5 1 0,5 0 00:00 02:00 04:00 06:00 08:00 10:00 12:00 14:00 16:00 18:00 20:00 22:00 brenz.pl zief.pl ircgalaxy.pl trenz.pl chura.pl brans.pl 25 / 27

Podsumowanie Projekt jest unikalny na skalę światową, gdyż organizacje utrzymujące rejestry domen często nie mają dedykowanych zespołów bezpieczeństwa Obserwacja ruchu DNS przychodzącego do serwerów TLD pozwala zarysować obraz polskich domen Widoczny jest sposób wykorzystania domen 26 / 27

Dziękuję pawel.krzesniak@cert.pl 27 / 27