Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis...

Étude des réseaux de logiciels malveillants

Description : Mise en place, utilisation, interprétation des résultats et proposition d’amélioration de la plateforme d’analyse de botnet Mwna Auteur : MOUGEY Camille, Grenoble INP Ensimag En collaboration avec les enseignants-chercheurs Gilles Berger-SABBATEL et Andrez DUDA du laboratoire LIG Grenoble

Plan

2 Etude des réseaux de logiciels malveillants - MOUGEY Camille - 22/05/12

•  Contexte •  Problématique •  Rappels •  Etat de l’art

•  Travail effectué

•  L’outil Mwna •  Heuristique de classification •  Cas d’étude

•  Conclusion

Plan





•  Conclusion

Introduction de la problématique


•  Botnet (roBOT NETwork) •  GTBot in 1998 •  Réseaux de machine compromise •  Gérer par un « Botmaster » •  Taille (estimée) : > 100 000 (Srizbi, Bobax, Rustock, …)

•  Buts multiples •  Monétaire •  Patriotisme •  Hacktivisme •  Puissance de calcul •  Proxy •  …

Global Threat bot source code : http://www.offensivecomputing.net/?q=node/552

Introduction de la problématique


•  Projet Européen INDECT

•  Etapes principales •  Infection •  Contrôle •  Mise à jour

•  Notre étude •  Détection de comportement Fast-Flux •  Détection d’architecture décentralisée •  Aspect prise de contrôle •  Amélioration de l’outil existant Mwna

Projet INDECT : http://www.indect-project.eu/

Rappels : Architecture Fast-Flux


Rappels : Architecture Centralisée / Décentralisée


D◆e�nition Motivations Fonctionnement Evolution Pr◆evention et d◆etection Commerce de botnets D◆emonstration Conclusion Sources Questions

D◆e�nition d'un botnet

Architecture P2P :

Exemples

Botnets P2P (utilisation du r◆eseau Gnutella par exemple)

6/38

D◆e�nition Motivations Fonctionnement Evolution Pr◆evention et d◆etection Commerce de botnets D◆emonstration Conclusion Sources Questions

D◆e�nition d'un botnet

Architecture centralis◆ee :

Exemples

Botnets IRC et HTTP

5/38

•  Centralisée •  IRC, HTTP, … •  Facile à mettre en place •  Peu fiable

•  Décentralisée •  P2P, … •  Difficile à mettre en place •  Quasiment inattaquable

University of Central Florida : An Advanced Hybrid Peer-to-Peer Botnet

Etat de l’art


•  Sujet vaste, touchant à tous les secteurs

•  Méthode de détection •  DNS •  Architecture décentralisée •  Honeypot

•  Prise de contrôle (Takeover)

•  Etude plus globale

Plan





•  Conclusion

Présentation de l’outil Mwna


•  Plateforme avec les outils pour : •  Capturer des malwares •  Faire tourner les bots dans un environnement totalement

contrôlé •  Analyser leurs interactions avec le botmaster •  Tester des méthodes et techniques ayant pour but d’atténuer la

nuisance causé par les botnets •  Eventuellement en prendre contrôle

•  Pour l’étude, deux machines •  Sur le réseaux pour la récupération / Mwna •  Isolée pour l’analyse des résultats

Mwna Architecture


•  Capture : Dionaea

•  Classification : ClamAV

•  SandBox (en ligne) •  Anubis •  CWSandbox analysis system •  Norman SandBox Online Analyzer

Dionaea : http://dionaea.carnivore.it/ ClamAV : http://www.clamav.net/lang/en/ Norman Company: http://www.norman.com/security_center/security_tools/ University of Mannheim: https://mwanalysis.org/ International Secure Systems Lab: http://anubis.iseclab.org/ Fig. 1. Functional architecture of the platform

Linux software to classify the capture malware. This is not very efficient, be-cause almost 1/3 of malware is not even identified by ClamAV, and the samemalware may correspond to different viral Clamav signatures. Even worse, thesame signature may correspond to malware having different network activities.

As a result, we have currently captured about 1600 malware samples classifiedin 450 classes, while 700 samples are not classified at all. Hence, further workshould focus on better classification methods.

After malware classification, we submit at least one sample of each classto three online sandboxed analysis tools: Norman SandBox Online Analyzer 3,CWSandbox analysis system4, and Anubis5. These systems operate by tracingthe execution of the processes in a real or emulated Windows environment,however they can be defeated by malware that contains anti-emulation or anti-tracing code.

3 Norman Company, http://www.norman.com/security_center/security_tools/4 University of Mannheim, https://mwanalysis.org/5 International Secure Systems Lab, http://anubis.iseclab.org/

Heuristiques


•  Détection automatique de candidat Fast-Flux •  Etude des résolutions DNS •  Vérification avec les heuristiques Fluxor •  Vérification avec les bases de données existantes

•  Résultats peu convaincant •  Nos heuristiques sont-elles suffisamment fines ? •  A-t-on réellement capturé des échantillons Fast-Flux ? •  Méthode inductive

Université de Milano : FluXOR: detecting and monitoring fast-flux service networks

Cas d’étude : Botnet centralisé, basé sur un protocole IRC


•  Résolution DNS « d.homler.net » en 2 IPs •  Exemple de session PASS eee KCIK exemple rssr c1 c2 c3 c4 :[email protected] PRIVMSG exemple :VERSION :hub.us.com 001 exemple :us, exemple!c1@*-*-*-* :hub.us.com 005 exemple :exemple!c1@*-*-*-* JOIN :#dpi :hub.us.com 353 exemple @ #dpi :exemple :hub.us.com #dpi !dl http://x.x.x.x/path/i.exe t.exe 1

•  Démon IRC modifié •  ISON et USERHOST pour lister les pseudos (dans A-Za-z) •  Estimé la taille du botnet, impossible réellement (~1013 requêtes)

•  Sulley (frelatage) : résultat non concluant •  Ingénierie inverse : binaire auto-chiffré

Sulley fuzzer on GitHUB : https ://github.com/OpenRCE/sulley

Cas d’étude n°2 : Ransomware


•  Après une résolution DNS et une connexion HTTP, plus rien •  Inhabituel pour un bot

•  Classé comme Ransomware « Kryptik »

•  2 requêtes Web •  Retours chiffrés

•  N’est pas membre d’un botnet

Cas d’étude n°3 : Architecture inconnue


•  Connexion directe, sans résolution DNS préalable

•  Suspicion d’une architecture décentralisée

•  Vérification des IPs contactées •  Par résolution DNS inverse •  Les deux IPs contactées sont des Kimsufi •  Botnet centralisé, peu fiable

•  Comportement déterministe

•  Heuristique d’architecture décentralisée à revoir

Hébergeur Kimsufi : http ://www.kimsufi.com/fr/

Conclusion


•  Classification des Fast-Flux •  Aucun échantillon, impossible de valider nos hypothèses •  Nécessité d’augmenter l’étendue de leur récolte

•  Classification des décentralisés •  Découverte d’un contre-exemple de l’état de l’art •  Nécessité d’affiner les heuristiques

•  Capture de malwares autres •  La capture ne se fait pas que sur des botnets •  Pour affiner les classifications, il faut trouver un moyen de les

écarter

Conclusion - Questions


?

Références


•  Protection des attaques DDoS •  http://d4n3ws.polux-hosting.com/2012/04/10/comment-se-

defendre-dun-ddos/

•  Polytech Grenoble « Botnets, les fantômes de l’internet » •  Iheb Khemissi, Joris Brémond Polytech Grenoble

•  Communauté active française •  Botnets.fr •  #botnets.fr sur freenode

•  Projet Honeynet •  Know your enemy : Tracking botnet

•  Your Botnet is My Botnet: Analysis of a Botnet Takeover •  Université de Californie

Références


•  Université de Floride Centrale •  An Advanced Hybrid Peer-to-Peer Botnet •  Honeypot detection in advanced botnet attacks •  Honeypot-Aware Advanced Botnet Construction and

Maintenance

•  Laboratoire LIG Grenoble •  Étude des réseaux de logiciels malveillants •  Analysis of Malware Network Activity

Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis...

Documents

Transcript of Étude des réseaux de logiciels malveillants - Ensiwiki · • Your Botnet is My Botnet: Analysis...