Blog Home Topics: DDoS , IoT , PDoS

Беседы с ботами ИВ

авг 01, 2017 Опубликовано Radware
Беседы с ботами ИВ

Aвтор: Паскаль Геененс, Radware Ltd - @geenensp

После атаки Dyn бот-сетью Mirai в октябре 2016 года стало понятно, что мы достигли той точки, которая изменит ландшафт DDoS-угроз в ближайшие месяцы или годы. Интернет вещей (ИВ) станет важной частью этого нового ландшафта. После атаки неадекватное состояние защиты ИВ и примитивная природа бот-сетей, использующих устройства ИВ, такие как IP-камеры, видеоплееры и маршрутизаторы, стали очевидными и привлекли внимание многих исследователей и репортеров в сфере безопасности. ИВ стал игровой площадкой для множества новых ботов и постепенно превращается в поле битвы, где плохие боты, хорошие боты и боты-герои сражаются за плохо разработанные и незащищенные устройства, число которых неуклонно растет.
 
К декабрю 2016 года наблюдалось увеличение количества бот-сетей. Их численность превысила сотни тысяч с потенциалом примерно в миллион ботов, если бы попытка захвата DT в ноябре 2016 года не привела к отказу 900 000 интернет-модемов жителей после использования уязвимости в TR-069. ИВ стал серьезным оружием для DDoS, и пришло время начать оценивать масштаб угрозы и следить за новыми и появляющимися уязвимостями, используемыми бот-сетями.
 
Благодаря агрессивному методу сканирования и сбора информации, используемому сетью Mirai, и самому числу бот-сетей, которые стали известны за последние девять месяцев, любое незащищенное устройство будет быстро использовано после его подключения к Интернету. Если ваш IP не входит в исключенные диапазоны, жестко закодированные в оригинальной Mirai, включая почту США, министерство обороны, Администрацию адресного пространства Интернета (IANA) и диапазоны IP, принадлежащие Hewlett-Packard и General Electric, любое подключение к Интернету, где бы оно ни находилось и каким бы оно ни было, будет постоянным объектом попыток заражения со стороны Mirai и друзей. В начале января для нас настало время развернуть несколько датчиков, чтобы выяснить, насколько ситуация плоха на самом деле. Поэтому мы начали с очень простого специально разработанного telnet-сервера, который прослушивает порт 23 и принимает комбинацию моих имени пользователя и пароля, а для удаленного узла выглядит как оболочка или интерфейс командной строки. Отслеживая начальные соединения, мы обнаружили, что между любыми двумя подключениями ботов, пытающихся захватить наш узел, было менее 10 минут. Сейчас это время сократилось до трех–пяти минут между любыми двумя попытками компрометации.
 
С учетом этой регулярной активности мы решили создать чат-бот (который мы удобно назвали нашей ИВ-ловушкой), ведущий содержательный диалог с ботами, чтобы заставить их раскрыть двоичную суть своего вредоносного кода. Некоторые боты ожидают определенных реакций на выданные команды и, не получив их, исчезают. Поскольку недостатка в новых попытках не было, мы смогли итерационно построить содержательный диалог с большинством ботов и поддерживать его, пока атакующие узлы не показывали свое настоящее лицо и не выдавали местоположение двоичного кода своего вредоносного кода, обычно представленное командой wget или ftp/tftp.
 
Как и ожидалось, большинство последовательностей команд сбрасывателей были согласованы и во многом похожи, за исключением некоторых рандомизированных маркеров и местоположений загрузки кода. Путем объединения и нормализации последовательностей команд ботов и их хеширования мы смогли создать отпечаток, уникально идентифицирующий семейства схожих ботов.

 
hajime-dropper-command-sequence.png

Рисунок: последовательность команд сбрасывателя Hajime

 
Когда боты почувствовали себя достаточно уверенно, чтобы делиться с нашей ловушкой местоположением загрузки вредоносного кода, мы добавили ловушке несколько функций для получения и загрузки вредоносного кода в память, чтобы потом мы могли хешировать содержимое и создать отпечаток вредоносного ПО. Новые отпечатки, которые не известны ловушке, далее анализируются путем подачи хэшей md5 и sha256 на virustotal.com, а если это неизвестный вредоносный код, он отправляется на virustotal, а мы получаем хорошего кандидата для дальнейшего изучения. Отпечатки файлов являются отличным средством для поддержки идентификации идентичных ботов с вредоносными кодами, которые со временем развиваются, таких как Hajime. Отпечаток последовательности команд соответствует Hajime, но отпечатки двоичных файлов со временем меняются, что позволяет нам отслеживать новые версии, поставляемые тем же ботом.
 
Информация об удаленном узле, включая данные geoip, оригинальную последовательность команд и отпечаток последовательности команд, а также отпечаток вредоносного кода, хранятся в MongoDB для анализа. Запрашивая данные в MongoDB, мы можем проследить историю и эволюцию существующих и новых ботов, пытающихся использовать нашу ловушку. Со временем мы добавили поддержку новых протоколов и эксплойтов, таких как TR-064/069 и NewNTPServer, HTTP go-ahead RCE и общий SSH, максимально точно имитируя реальные устройства и заставляя ботов поверить, что они заполучили новую жертву.

 
tr-064-newntpserver-rce-exploit.png
Рисунок: эксплойт TR-064 NewNTPServer RCE

Новейшее пополнение инфраструктуры нашей ловушки ИВ – стек ELK (Elasticsearch, Logstash, Kibana), обеспечивающий панели управления в реальном времени и информацию об активности бот-сетей в наших ловушках.


kibana-dashboard.png
Рисунок: панель управления Kibana для одной из наших ловушек
 
Использование схемы чат-бота для ловушки обеспечивает более безопасное и надежное средство обнаружения с большой гибкостью в том, что касается создания отпечатков и анализа активности. Ни одна из команд ботов в действительности ловушкой не выполняется, и только известные и заранее запрограммированные запросы вызывают заранее запрограммированные отклики. Поскольку число попыток заражения в час велико, эта схема хорошо работает и собирает и изучает данные об угрозах и бот-сетях ИВ. Эту ловушку нельзя сравнивать с более традиционными ловушками telnet/SSH, поскольку она не допускает неожиданных и незапрограммированных команд и откликов. Другие ловушки имеют реальную функциональность оболочки и позволяют атакующему узлу больше творческого подхода, обеспечивая отличный способ изучения нового поведения атакующих. Ловушка ИВ не дает такой свободы творчества и, будучи способной выявлять новые типы ботов и попыток сбрасывателей, она требует работы по программированию и имитации новых команд, протоколов и эксплойтов. Для всех намерений и целей исследования ловушка обеспечивает нас правильными средствами и статистикой, необходимыми нам, чтобы лучше понять и распознать картину угроз ИВ, которые несут в себе боты.
 

Radware
© 2008-2018 Radware, Ltd. All rights reserved.