Поиск вредоносного программного обеспечения Лаборатория исследований средств информационной безопасности РГП « ГТС » КСИИ МИР РК Астана 2014

Вредоносное ПО Программное обеспечение, которое разрабатывается для получения несанкционированного доступа к вычислительным ресурсам ЭВМ, а также данным, которые на ней хранятся. Такие программы предназначены для нанесения ущерба владельцу информации или ЭВМ, путем копирования, искажения, удаления или подмена информации. Вредоносное ПО имеют внутренний механизм распространения по локальным и глобальным компьютерным сетям. К сетям, по которым передаются данные вредоносного ПО, можно отнести файлообменные и торрент-сети, локальные сети, сети обмена между мобильными устройствами, а также электронную почту и различные Интернет-сервисы.

Актуальные исследования Поиск вредоносных скриптов Поиск Fast-flux Service Networks

Поиск вредоносных скриптов

Поиск вредоносного кода на интернет - ресурсах Вредоносный код - программа, которая в рамках своей деятельности совершает некие несанкционированные действия. Направление в развитии вредоносных JavaScript- ов: веб-страницы, приводящие к некорректному поведению браузера пользователя.

Сбор вредоносных JavaScript Используются элементы форм как способ размещения, сокрытия и фрагментирования вредоносного кода. В частности используют тег. Он создает плавающий фрейм, который находится внутри обычного документа и позволяет загружать в область заданных размеров любые другие независимые документы.

Реальный пример из реальной жизни Обфусцированный код Деобфусцированный код function qhtban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,9,11,23,46,55,39,24,21,17,0,0,0,0,0,0,53,28,8,42,2,50,3,43,30,14,4,12,57,59,38,5,22,32,13,49,40,20,62,10, 45,19,51,0,0,0,0,35,0,27,31,41,33,25,37,60,52,16,18,56,61,1,26,58,0,47,36,48,6,44,7,54,15,34,29);for(j=Math.ceil(l/b);j>0;j-- ){r='';for(i=Math.min(l,b);i>0;i--,l--){{w|=(t[x.charCodeAt(p++)- 48]) >=8;s- wHCofM0CrDMTqHCkuIoG6V0gExWcyv2udVxkCnGXEybMX3oTwHCl_nnuuZocww4XX5bLc0kTwCWM SnM44Ho0QaoCSWGG_42VuwWG6DI0V5VCrDMTqHW0fqI')

Задачи Сбор, деобфускация и анализ семантики вредоносных скриптов Сохранение семантической сигнатуры Разработка критерия вредоносности скрипта Упредительный поиск вредоносных скриптов с использованием семантического подхода

Поиск узлов сети Fast-flux

Что такое DNS? DNS – (система доменных имен) предназначен для преобразования доменных имен в IP-адреса Когда пользователь вводит адрес веб-страницы, система DNS проверяет соответствие этого имени с IP-адресом для этого сайта, после чего перенаправляет пользователя на соответствующий сайт.

Архитектура DNS Поле RR Содержимое RR примеры NAME Имя ресурса sts.kz. TYPE Тип ресурсной записи A, NS, AAAA, MX, CNAME, SRV CLASS Класс ресурсной записи IN TTL Время жизни записи 3600 RDLENGTH Длина ресурсной записи 20 RDATA Содержимое ресурсной записи

Применяемые технологии для балансировки нагрузки DNS используется как средство балансировки нагрузки на серверы. mail.ru ns1.mail.runs2.mail.ru Доменное имя Запись «А» IP-адрес Запись «А» IP-адрес Запись «NS» Сервер отвечающий за доменную зону mail.ru Запись «NS» Сервер отвечающий за доменную зону mail.ru 1. Известный метод называется Round-Robin DNS. 2. Сети доставки контента(CDNs).

Round-Robin DNS (в переводе с англ. «по кругу») метод распределения нагрузки список из нескольких адресов серверов, предоставляющих идентичный сервис; с каждым ответом последовательность ip-адресов меняется порядок возвращается в циклическом режиме Через несколько секунд

CDN (Content Delivery/Distribution Network) Сеть доставки (и дистрибуции) контента географически распределённая сетевая инфраструктура, позволяющая оптимизировать доставку и дистрибуцию контента конечным пользователям в сети Интернет. Одноточечная дистрибуция Дистрибуция средствами CDN

CDN CDN вычисляет "ближайший" сервер (с точки зрения топологии сети и текущих характеристик линии связи) и возвращает его IP-адрес. Затем клиент устанавливает соединение с этим сервером и получает содержимое. Технология CDN способна предотвратить задержки при передаче данных, возможные прерывания связи и потери на перегруженных каналах и стыках между ними. Управление нагрузкой при передаче сетевого трафика позволяет разгрузить магистраль и узлы сети, распределив возникающую нагрузку между удалёнными серверами.

Одна технология, но разные применения Round-Robin DNS и CDNs возвращают несколько IP- адресов в ответ на запрос DNS. Сервисные сети Fast-Flux (FFSNs) используют ту же идею. С помощью методики, аналогичной Round-Robin DNS или CDN, злоумышленник всегда возвращает иной набор IP-адресов для запроса DNS и, таким образом, делает свое обнаружение невозможным и сложным.

Что такое Fast-flux? Ботнет - компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами автономным ПО. Fast flux - это DNS техника, используемая ботнетами, которая позволяет скрывать следы и преодолевать провайдерские фильтры, блокирующие доступ по IP- адресам.

Что такое Fast-Flux? Целью fast-flux является назначение любому полнофункциональному доменному имени (например, множества (сотен, а иногда и тысяч) IP-адресов. Переключение между ними в потоке происходит очень быстро, при этом используется комбинация (Round-Robin DNS)циклического набора IP-адресов и очень маленького значения TTL для каждой отдельной записи в DNS. Новый набор IP-адресов именам хостов может назначаться с периодичностью в три минуты. Поэтому браузер, каждые три минуты соединяющийся с одним и тем же сайтом, на самом деле всякий раз соединяется с разными зараженными компьютерами.

Виды Fast-flux Fast-Flux Single Flux ( однопоточные ) Double Flux ( двухпоточные )

Single Flux Очень быстро меняются только записи типа «А» (IP- адрес ) для одного и того же домена divewithsharks.hk IN A divewithsharks.hk IN A divewithsharks.hk IN A divewithsharks.hk IN A divewithsharks.hk IN A divewithsharks.hk IN NS ns1.world-wr.com. divewithsharks.hk IN NS ns2.world-wr.com. ns1.world-wr.com IN A ns2.world-wr.com IN A divewithsharks.hk IN A divewithsharks.hk IN A divewithsharks.hk IN A divewithsharks.hk IN A divewithsharks.hk IN A divewithsharks.hk IN NS ns1.world-wr.com. divewithsharks.hk IN NS ns2.world-wr.com. ns1.world-wr.com IN A ns2.world-wr.com IN A

Double Flux Очень быстро меняются не только записи типа «А» (IP- адрес ) для одного и того же домена, но и NS записи (адрес узла, отвечающего за доменную зону) login.mylspacee.com. 177 IN A login.mylspacee.com. 177 IN A login.mylspacee.com. 177 IN A login.mylspacee.com. 177 IN A login.mylspacee.com. 177 IN A mylspacee.com IN NS ns3.mylspaceeee.hk. mylspacee.com IN NS ns4.myheroisyourslove.hk. mylspacee.com IN NS ns2.kraeshnt.com. mylspacee.com IN NS ns1.hfgkrflodkf.hk. mylspacee.com IN NS ns5.crwilld.com. ns1.hfgkrflodkf.hk. 854 IN A ns2.kraeshnt.com. 854 IN A ns3.mylspaceeee.hk. 854 IN A ns4.myheroisyourslove.hk. 854 IN A ns5.crwilld.com 854 IN A login.mylspacee.com. 161 IN A login.mylspacee.com. 161 IN A login.mylspacee.com. 161 IN A login.mylspacee.com. 161 IN A login.mylspacee.com. 161 IN A mylspacee.com IN NS ns3.vqthe.cn. mylspacee.com IN NS ns2.aaaaaaaaa.cn. mylspacee.com IN NS ns5.thearmynext5. hk mylspacee.com IN NS ns1.hfgkrflodkf.hk. mylspacee.com IN NS ns4.myheroisyourslove.hk. ns1.hfgkrflodkf.hk IN A ns2.aaaaaaaaa.cn IN A ns3.vqthe.cn IN A ns4.myheroisyourslove.hk IN A ns5.thearmynext5.hk IN A

Fast-flux ответственны за : фишинговые веб-сайты экстремистские сайты незаконная онлайн-торговля медицинскими препаратами сайты с незаконным контентом для взрослых вредоносные сайты использующих уязвимости браузеров и веб-ловушки для распространения вредоносных ПО.

Пример Fast-Flux ботнета Storm Worm 17 января 2007 года Бэкдор электронные письма с заголовком "230 dead as storm batters Europe ("230 погибших в результате бурь в странах Европы") Вложенные файлы Full Clip.exe Full Story.exe Read More.exe Video.exe. Около 40 млн зараженных компьютеров

Анализ данных собранный посредством Passive DNS Collector Box Passive DNS Collector Box – это система, собирающая информацию о ресурсных записях системы DNS на основании запросов пользователей сети Интернет DNS записи захватываются и направляются в пункт сбора для анализа и сохраняются в базе данных. Масштаб – примерно 0,5-1 млн. запросов в секунду Анализируя количественные характеристики DNS- запросов и соответствующих ресурсных записей, можно сделать выводы о характере доменных имен.

Задачи o Предложить набор параметров ресурсных DNS-записей, а также частотных характеристик запросов (т.н. модель использования DNS-записей) o Построить кластеры (или категории) доменных имен по указанной модели, используя кластерный анализ, а также интерпретировать эти кластеры по смыслу o Предложить алгоритм для эффективного обновления кластеров по результатам DNS-ответов в режиме «на лету» o Оценить вычислительную сложность предложенного алгоритма

Набор параметров для обнаружения FFSNs Количество А записей для одного домена (обычные домены возвращают от одного до трех А-записи, когда домены fast-flux часто возвращают от пяти и больше А-записи в одном DNS ответе) Количество NS записей для одного домена(fast-flux домены возвращают несколько NS-записи и разные А-записи для этих же NS) Количество уникальных ASN для всех A записей (обычные домены и даже домены распределенные через CDN возвращают только записи из одной конкретной AS. В отличие от этого, Fast Flux Service Networks как правило, расположены в разных AS, так как зараженные машины разбросаны по разным провайдерам) Очень низкий TTL (не основной параметр, так как домены распределенные через CDN тоже имеют низкий ТТL из-за скорости адаптации к перегрузке сети или отключения сервера)

Научные публикации «Measuring and Detecting Fast-Flux Service Networks», In Annual Network and Distributed System Security Symposium 2008, University of Mannheim «FluXOR: detecting and monitoring fast-flux service networks», In Detection of Intrusions and Malware and Vunerability Assessment, Universita degli Studi di Milano «EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis», In Annual Network and Distributed System Security Symposium 2011, Institute Eurecom, Northeastern University,University of California

Другие математические вопросы

Эффективный поиск подстроки в строке Классический алгоритм Ахо - Корасик : Применяется в антивирусах, IDS/IDP для сигнатурного поиска Представляет собой поиск вхождения строки с помощью « бора » - детерминированного конечного автомата на основе префиксного дерева Вычислительная сложность O(n σ + H + k), где H длина текста, n общая длина всех слов в словаре, σ размер алфавита, k общая длина всех совпадений. Задачи : Модифицировать алгоритм для повышения скорости его работы ( как вариант, предложить полностью свой алгоритм ); Использовать конвейеризацию, SIMD и т. д. сравнить производительность модификации с эталоном.

Выявление аномалий в сетевом трафике Сетевой трафик можно представить в виде набора частотных параметров сетевых протоколов (TCP, UDP, etc.) Набор этих параметров задает модель трафика. Аномалии – это резкое отклонение модели от « нормального » состояния выше допустимого порога Задачи : Предложить репрезентативную ( т. е. достаточно объективно отражающую состояние ) модель сетевого трафика Предложить математический аппарат для выявления аномалий ( например, с помощью дискретного вейвлет - преобразования ) Предложить алгоритм для эффективного выявления аномалий в живом сетевом трафике, т. е. « на лету » Оценить вычислительную сложность предложенного алгоритма

Спасибо за внимание !