Il progetto Dorothy The Italian Honeynet Chapter Chi sono • Marco Riccardi • Cybercrime Security Researcher @ Barcelona Digital Technologic Centre • Fondatore del chapter italiano de The Honeynet Project • Prof. Marco Cremonini – Relatore Università degli studi di Milano Agenda • • • • • • • Introduzione Il problema: le botnet Processo di investigazione The Dorothy Framework - Honeydoroty Risultati Conclusioni Sviluppi recenti Introduzione • The Dorothy Project propone un framework progettato per • Analizzare • Rappresentare • Condividere ..tutte le informazioni riguardanti una botnet. • Honey-Doroty è il nome del software open source realizzato come proof of concept di tale framework Il problema : le botnet • Cosa sono • Quali minacce rappresentano • Quali sono le loro finalità • Perchè è difficile contrastarle Le botnet: cosa sono • Una botnet è una rete formata da computer infettati (i.e zombie,bot) da un particolare tipo di malware , e silenziosamente comandati attraverso un Centro di Comando (C&C) per attività illecite quali invio di Spam, furto di dati sensibili, o attacchi distribuiti di tipo interruzione di servizio (DDoS). Le botnet : minacce comuni • Spam • Furto di dati sensibili • Attacchi DDoS Le botnet : finalità • Spam • Furto di dati sensibili • Attacchi DDoS Le botnet : finalità • Spam • Furto di dati sensibili • Attacchi DDoS Le botnet : difficoltà • Difficoltà tecniche • Fenomeno che cambia velocemente la sua struttura • Molto difficile enumerare il numero dei pc compromessi • Difficoltà giuridiche • Una botnet coinvolge diverse entità giuridiche ( utente finale , ISP , forze dell’ordine, banche) • La sua struttura si sviluppa su scala mondiale, coprendo diverse giurisdizione, spesso poco collaborative Media Media Media Investigare su una botnet Il problema : le botnet Una botnet è una rete formata da computer infettati (i.e zombie,bot) da un particolare tipo di malware , e silenziosamente comandati attraverso un Centro di Comando (C&C) per attività illecite quali invio di Spam, furto di dati sensibili, o attacchi distribuiti di tipo interruzione di servizio (DDos). Il problema : le botnet Una botnet è una rete formata da computer infettati (i.e zombie,bot) da un particolare tipo di malware , e silenziosamente comandati attraverso un Centro di Comando (C&C) per attività illecite quali invio di Spam, furto di dati sensibili, o attacchi distribuiti di tipo interruzione di servizio (DDoS). • Che malware è stato eseguito? Il problema : le botnet Una botnet è una rete formata da computer infettati (i.e zombie,bot) da un particolare tipo di malware , e silenziosamente comandati attraverso un Centro di Comando (C&C) per attività illecite quali invio di Spam, furto di dati sensibili, o attacchi distribuiti di tipo interruzione di servizio (DDoS). • • Che malware è stato eseguito? Chi contatta lo zombie? Il problema : le botnet Una botnet è una rete formata da computer infettati (i.e zombie,bot) da un particolare tipo di malware , e silenziosamente comandati attraverso un Centro di Comando (C&C) per attività illecite quali invio di Spam, furto di dati sensibili, o attacchi distribuiti di tipo interruzione di servizio (DDoS). • • • Che malware è stato eseguito? Chi contatta lo zombie? Cosa comunica lo zombie? Presupposti PROBLEMA OBIETTIVO COME TEMPO DI REAZIONE ABBATTERLO Processi AUTOMATICI e DINAMICI INTEROPERABILITA MASSIMIZZARLA Interattività , utilizzo di strumenti di community (wiki,feeds,...) Interoperabilitá: Community Soluzione proposta: The Dorothy Framework Obiettivi • Realizzare una piattaforma per l’analisi automatica ed autonoma di una botnet. • Rappresentare dinamicamente e velocemente tutti i dati acquisiti attraverso un’interfaccia interattiva • Condividere tutte le informazioni acquisite e permettere a fonti esterne di contribuire. The Framework : la struttura • Modulare • Aggiunta/rimozione moduli: adattabile • Compatibile • Facile integrazione con altri framework • Scalabile • Ogni modulo è indipendente e distribuibile Raccogliere malware dalla rete Eseguire il malware in un ambiente controllato Osservare i comportamenti di rete Rep. le caratteristiche del C&C Acquisire informazioni per la geolocalizzazione Infiltrarsi nel C&C Estrarre le informazioni del C&C Generare grafici dinamici aggiornati Pubblicare i risultati aggiornati Modulo di visualizzazione dati “Un’immagine comunica più di 100 parole” Modulo di visualizzazione dati “Un’immagine comunica più di 100 parole” Classifica Serie A 70 60 50 40 30 20 10 0 Modulo di visualizzazione dati “Un’immagine comunica più di 100 parole” Classifica Serie A 70 60 53 50 40 26 30 20 10 0 ROMA LAZIO Visualizzazione di un C&C Caratteristiche di un Centro di Comando Indirizzi IP dei C&C Nomi Host relativi al C&C Porte TCP usate Zombie identificati Malware Canali IRC C&C Satelliti Tutti nomi host identificati Indirizzi e-mail Visualizzazione dati : spider chart Visualizzazione dati : mappa interattiva Risultati Risorse impiegate • n.1 Router ADSL linux / Firewall • n.1 iMac 20” • n.1 Linea Alice ADSL 4 Mbit / 1 IP pubblico dinamico disponibile Tempi • Inizio progettazione: 20 Settembre 2008 • Inizio acquisizione malware: 12 Dicembre 2008 • Inizio effettivo funzionamento Dorothy: 26 Gennaio 2009 • Fine dei test : 23 Febbraio 2009 Risultati ottenuti • 3900 malware acquisiti di cui 309 univoci analizzati. • 15 C&C aventi un’indirizzo IP univoco • 3 Centri Spam aventi un’indirizzo IP univoco • 3157 indirizzi e-mail univoci • 27273 nomi host univoci, 111 dei quali relativi ai C&C • 8992 zombie aventi un’indirizzo IP univoco Zombie 8992 indirizzi IP identificati come zombie Distribuzione zombie durante 24 ore Case study: Botnet Siwa Informazioni Numeri C&C 5 Malware 198 + 8 provided by CC WS C&C Satelliti 37 Canali IRC 8 Port number 15 Zombie 4346 Nomi host dei C&C 42 Tutti nomi host acquisiti 27103 Indirizzi email ricevuti 3157 Case study: Botnet Siwa Conclusioni Dorothy può • Identificare e tracciare botnet basate su protocollo HTTP ed IRC • Rappresentare automaticamente e autonomamente tutti i dati acquisiti • Visualizzare velocemente la minaccia affichè si possa identificare un’indice di rischio utile a realizzare un’efficace contromisura • Condividere le informazioni tra più entità Dorothy potrebbe... • Comunicare automaticamente l’appartenenza di un determinato IP all’interno di una botnet • Contattare automaticamente • L’amministratore di sistema / responsabile • L’ ISP • Le forze dell’ordine di competenza • Generare una blacklist aggiornata di tutti gli host (C&C / zombie) appartenenti ad una botnet • .... Sviluppi dal 2009 ad oggi.. • Capitolo ufficiale de Honeynet Project (Giugno 2009) • Re ingegnirizzazione del drone • Distribuito • Multipiattaforma • Re ingegnerizzazione della base di dati • Integrazione con il progetto HIVE • Base di dati relazionale distribuita • Sviluppo di nuovi moduli • Analisi statica/dinamica del malware • Notifica istantanea • Adattabilità a botnet di nuova generazione • P2P DIECI PERSONE (STUDENTI E PROFESSIONISTI DEL SETTORE) STANNO ATTUALMENTE CONTRIBUENDO AL PROGETTO DOMANDE The Italian Honeynet Chapter – www.honeynet.it marco riccardi – [email protected] marco cremonini – [email protected]