Il progetto Dorothy
The Italian Honeynet Chapter
Chi sono
• Marco Riccardi
• Cybercrime Security Researcher @
Barcelona Digital Technologic Centre
• Fondatore del chapter italiano de
The Honeynet Project
• Prof. Marco Cremonini – Relatore
Università degli studi di Milano
Agenda
•
•
•
•
•
•
•
Introduzione
Il problema: le botnet
Processo di investigazione
The Dorothy Framework - Honeydoroty
Risultati
Conclusioni
Sviluppi recenti
Introduzione
• The Dorothy Project propone un framework
progettato per
• Analizzare
• Rappresentare
• Condividere
..tutte le informazioni riguardanti una botnet.
• Honey-Doroty è il nome del software open source
realizzato come proof of concept di tale framework
Il problema : le botnet
• Cosa sono
• Quali minacce rappresentano
• Quali sono le loro finalità
• Perchè è difficile contrastarle
Le botnet: cosa sono
• Una botnet è una rete formata da
computer infettati (i.e zombie,bot) da un
particolare tipo di malware , e
silenziosamente comandati attraverso un
Centro di Comando (C&C) per attività
illecite quali invio di Spam, furto di dati
sensibili, o attacchi distribuiti di tipo
interruzione di servizio (DDoS).
Le botnet : minacce comuni
• Spam
• Furto di dati sensibili
• Attacchi DDoS
Le botnet : finalità
• Spam
• Furto di dati sensibili
• Attacchi DDoS
Le botnet : finalità
• Spam
• Furto di dati sensibili
• Attacchi DDoS
Le botnet : difficoltà
• Difficoltà tecniche
• Fenomeno che cambia velocemente la sua
struttura
• Molto difficile enumerare il numero dei pc
compromessi
• Difficoltà giuridiche
• Una botnet coinvolge diverse entità giuridiche (
utente finale , ISP , forze dell’ordine, banche)
• La sua struttura si sviluppa su scala mondiale,
coprendo diverse giurisdizione, spesso poco
collaborative
Media
Media
Media
Investigare su una botnet
Il problema : le botnet
Una botnet è una rete formata da computer infettati
(i.e zombie,bot) da un particolare tipo di malware ,
e silenziosamente comandati attraverso un Centro
di Comando (C&C) per attività illecite quali invio
di Spam, furto di dati sensibili, o attacchi distribuiti
di tipo interruzione di servizio (DDos).
Il problema : le botnet
Una botnet è una rete formata da computer infettati
(i.e zombie,bot) da un particolare tipo di malware
, e silenziosamente comandati attraverso un Centro
di Comando (C&C) per attività illecite quali invio
di Spam, furto di dati sensibili, o attacchi distribuiti
di tipo interruzione di servizio (DDoS).
•
Che malware è stato eseguito?
Il problema : le botnet
Una botnet è una rete formata da computer infettati
(i.e zombie,bot) da un particolare tipo di malware
, e silenziosamente comandati attraverso un Centro
di Comando (C&C) per attività illecite quali invio
di Spam, furto di dati sensibili, o attacchi distribuiti
di tipo interruzione di servizio (DDoS).
•
•
Che malware è stato eseguito?
Chi contatta lo zombie?
Il problema : le botnet
Una botnet è una rete formata da computer infettati
(i.e zombie,bot) da un particolare tipo di malware
, e silenziosamente comandati attraverso un Centro
di Comando (C&C) per attività illecite quali invio
di Spam, furto di dati sensibili, o attacchi
distribuiti di tipo interruzione di servizio
(DDoS).
•
•
•
Che malware è stato eseguito?
Chi contatta lo zombie?
Cosa comunica lo zombie?
Presupposti
PROBLEMA
OBIETTIVO
COME
TEMPO DI REAZIONE
ABBATTERLO
Processi AUTOMATICI
e DINAMICI
INTEROPERABILITA
MASSIMIZZARLA
Interattività , utilizzo di
strumenti di community
(wiki,feeds,...)
Interoperabilitá: Community
Soluzione proposta:
The Dorothy Framework
Obiettivi
• Realizzare una piattaforma per l’analisi
automatica ed autonoma di una botnet.
• Rappresentare dinamicamente e
velocemente tutti i dati acquisiti
attraverso un’interfaccia interattiva
• Condividere tutte le informazioni
acquisite e permettere a fonti esterne di
contribuire.
The Framework : la struttura
• Modulare
• Aggiunta/rimozione moduli: adattabile
• Compatibile
• Facile integrazione con altri framework
• Scalabile
• Ogni modulo è indipendente e distribuibile
Raccogliere malware dalla rete
Eseguire il malware in un
ambiente controllato
Osservare i comportamenti
di rete
Rep. le caratteristiche del C&C
Acquisire informazioni
per la geolocalizzazione
Infiltrarsi nel C&C
Estrarre le informazioni del C&C
Generare grafici
dinamici aggiornati
Pubblicare i risultati aggiornati
Modulo di visualizzazione dati
“Un’immagine comunica più di 100 parole”
Modulo di visualizzazione dati
“Un’immagine comunica più di 100 parole”
Classifica Serie A
70
60
50
40
30
20
10
0
Modulo di visualizzazione dati
“Un’immagine comunica più di 100 parole”
Classifica Serie A
70
60
53
50
40
26
30
20
10
0
ROMA
LAZIO
Visualizzazione di un C&C
Caratteristiche di un Centro di Comando
Indirizzi IP dei C&C
Nomi Host relativi al C&C
Porte TCP usate
Zombie identificati
Malware
Canali IRC
C&C Satelliti
Tutti nomi host identificati
Indirizzi e-mail
Visualizzazione dati : spider
chart
Visualizzazione dati : mappa
interattiva
Risultati
Risorse impiegate
• n.1 Router ADSL linux / Firewall
• n.1 iMac 20”
• n.1 Linea Alice ADSL 4 Mbit / 1 IP
pubblico dinamico disponibile
Tempi
• Inizio progettazione:
20 Settembre 2008
• Inizio acquisizione malware:
12 Dicembre 2008
• Inizio effettivo funzionamento Dorothy:
26 Gennaio 2009
• Fine dei test :
23 Febbraio 2009
Risultati ottenuti
• 3900 malware acquisiti di cui 309 univoci
analizzati.
• 15 C&C aventi un’indirizzo IP univoco
• 3 Centri Spam aventi un’indirizzo IP
univoco
• 3157 indirizzi e-mail univoci
• 27273 nomi host univoci, 111 dei quali
relativi ai C&C
• 8992 zombie aventi un’indirizzo IP univoco
Zombie
8992 indirizzi IP identificati come zombie
Distribuzione zombie durante
24 ore
Case study: Botnet Siwa
Informazioni
Numeri
C&C
5
Malware
198 + 8 provided by CC
WS
C&C Satelliti
37
Canali IRC
8
Port number
15
Zombie
4346
Nomi host dei C&C
42
Tutti nomi host acquisiti
27103
Indirizzi email ricevuti
3157
Case study: Botnet Siwa
Conclusioni
Dorothy può
• Identificare e tracciare botnet basate su
protocollo HTTP ed IRC
• Rappresentare automaticamente e
autonomamente tutti i dati acquisiti
• Visualizzare velocemente la minaccia
affichè si possa identificare un’indice di
rischio utile a realizzare un’efficace
contromisura
• Condividere le informazioni tra più entità
Dorothy potrebbe...
• Comunicare automaticamente l’appartenenza
di un determinato IP all’interno di una botnet
• Contattare automaticamente
• L’amministratore di sistema / responsabile
• L’ ISP
• Le forze dell’ordine di competenza
• Generare una blacklist aggiornata di tutti gli
host (C&C / zombie) appartenenti ad una
botnet
• ....
Sviluppi dal 2009 ad oggi..
• Capitolo ufficiale de Honeynet Project (Giugno 2009)
• Re ingegnirizzazione del drone
• Distribuito
• Multipiattaforma
• Re ingegnerizzazione della base di dati
• Integrazione con il progetto HIVE
• Base di dati relazionale distribuita
• Sviluppo di nuovi moduli
• Analisi statica/dinamica del malware
• Notifica istantanea
• Adattabilità a botnet di nuova generazione
• P2P
DIECI PERSONE (STUDENTI E PROFESSIONISTI DEL SETTORE) STANNO
ATTUALMENTE CONTRIBUENDO AL PROGETTO
DOMANDE
The Italian Honeynet Chapter – www.honeynet.it
marco riccardi – [email protected]
marco cremonini – [email protected]
Scarica

The Dorothy Project - The Italian Honeynet Project