狠狠撸

狠狠撸Share a Scribd company logo

2012 the botnet traffic forensics system

?
?
Canaan Kao
Canaan Kao

the botnet traffic forensics system

1 of 50
Downloaded 15 times
The Botnet Traffic Forensics System Canaan Kao 國立清華大學通訊工程所 博士候選人 canaan@totoro.cs.nthu.edu.tw
Who am I? ? A programmer (寫程式的人). ?C/C++, Win32 SDK, Linux Kernel Programming. ? A CEH. ?(傳說中的駭客好人卡) ? 意外地參與了教育部的 Anti-Botnet 計畫,籌備了 三屆的 BoT 研討會。 (還有擔任二屆的講員….) 2012/09/07 The Botnet Traffic Forensics System 2
大綱 ?0. About Anti-Botnet Project ?1. Botnet Detection ?2. Known and Unknown ?3. DEMO ?4. Summary 2012/09/07 The Botnet Traffic Forensics System 3
0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 4
0. About Anti-Botnet Project ? 依照行政院研考會規劃,分五類: ?ANA,資安訊息情報,例如:相關攻擊手法與防禦資訊 ?INT,入侵事件情報(已確定事件、非網站) ?包含打別人與被打 ?需附證據、學校收到要處理。 ?EWA,資安預警情報(不確定事件) ?當學校收到這個不一定要處理。 ?DEF, Web 相關情報(已確定事件、網站相關) ?需附證據、學校收到要處理。 ?FBI,事件回饋情報 (不常用) 2012/09/07 The Botnet Traffic Forensics System 5
1. Botnet Detection 2012/09/07 The Botnet Traffic Forensics System 6 1. Compromise and put some things 2. Social Engineering/SPAM3. Browsing 4. Infection 5. Join Botnet/ Data Leakage Web Servers/ Landing Site/ 跳板 Cracker/Bot Master C&C Server End Users Anti-botnet Mechanism
0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 7
0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 8
0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 9
0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 10
0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 11
0. About Anti-Botnet Project ?這樣做 rule 的方法是對的, 但是,有個問題? 2012/09/07 The Botnet Traffic Forensics System 12
0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 13
0. About Anti-Botnet Project 天下武功 無堅不摧 唯快不破 2012/09/07 The Botnet Traffic Forensics System 14
0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System ? 只能靠火雲邪神了 15
0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 16 Rule Matching with Known Rule Set (snort) Traffic to Rule Converter Rule Matching with the Known and New Rules (snort) Hit/Miss Hit Miss Traffic Selector Botnet Detection Rule Verification Rule Optimization End Manual Processing Known Rule Set Input Adding New Rules into Known Rule Set Malign Traffic Input Start Malign Traffic Input Hit/Miss Hit Miss End Need to Refine? New Produced and Integrated Rule Set Benign Traffic Input Optimized Rule Set Produced Yes No
0. About Anti-Botnet Project ?RuleGen Demo? 2012/09/07 The Botnet Traffic Forensics System 17
0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 18
0. About Anti-Botnet Project ? 製作 Anti-Botnet IDS rule ?目前的 Botnet IDS Rule 組成為(共4,040條Rule) ?1,654 條自製 (由真實bot活體網路行為轉譯) –至今年止已側錄6,234隻Malware及Bot ? 2,386 條 國外公開的 botnet rule ?格式採用 Snort Rule Format (Open Source) 2012/09/07 The Botnet Traffic Forensics System 19
0. About Anti-Botnet Project ? Botnet Rule 下載者來源分佈 ?2012/1-2012/6來自世界各地 IP 499 個 202012/09/07 The Botnet Traffic Forensics System
0. About Anti-Botnet Project ? Botnet Rule 下載者來源分佈 ?2012/1-2012/6來自台灣 IP 184 個 21 2012/09/07 The Botnet Traffic Forensics System
1. Botnet Detection 2012/09/07 The Botnet Traffic Forensics System 22 1. Compromise and put some things 2. Social Engineering/SPAM3. Browsing 4. Infection 5. Join Botnet/ Data Leakage Web Servers/ Landing Site/ 跳板 Cracker/Bot Master C&C Server End Users Anti-botnet Mechanism
1. Botnet Detection The Botnet Traffic Forensics System 232012/09/07
? Botnet IDS 與一般的IDS要分工合作(如下),防禦外侮 與保護 servers,不是 Botnet IDS 的責任。 ? Botnet IDS 應該要 ? 得到第一手的 ? 使用者網路行為 ? 才能精準判斷 ? 內賊是誰!! 1. Botnet Detection Botnet IDS的防禦位置 24The Botnet Traffic Forensics System 2012/09/07
1. Botnet Detection Botnet IDS的防禦位置 ? 簡單地說: ?IDS 與 Botnet IDS 必須要分工合作 ?如上圖所示 ?IDS 要盡量放外面去抵擋外侮 ?Botnet IDS 要盡量放裡面去觀察使用者的網路行為 ?Botnet IDS 對於隱藏於LAN 端的 DNS/Proxy/SMTP servers 後面的 Bot Host 沒有偵測能力。 ?DNS/Proxy/SMTP servers 會成為代罪羔羊。 ?所以要盡量把 DNS/Proxy/SMTP servers 放到 Botnet IDS 的 WAN 端。 The Botnet Traffic Forensics System 252012/09/07
2. Known and Unknown ?如果說,我們對 Malware 進行動態分析, 利用對 memory 的鑑識,可以規避加殼, 取得 Malware 的本相以進行分析與歸類。 ?那 Malware 的 Traffic 是否一樣有跡可尋 ,可以依照其網路行為對 Malware 進行分 門別類,而無視於其檔案的型態? ?不管這隻 Malware 是否有加殼 ?不管是 EXE or PDF. 2012/09/07 The Botnet Traffic Forensics System 26
2. Known and Unknown ? Botnet/Malware 的通訊經常偽裝成許多既有的協定。 ?例如:IRC、HTTP and P2P ?因為獨創一格的通訊協定反而容易被發現 27 2012/09/07 The Botnet Traffic Forensics System 27
2. Known and Unknown ? 在這裡唱歌的,不一定 都是神經病 ? ?用 TCP 80 port 的 不一定是HTTP。 ?用UDP 53 port的不 一定是 DNS。 2012/09/07 The Botnet Traffic Forensics System 28
2. Known and Unknown 正常的 HTTP Request and Response 2012/09/07 The Botnet Traffic Forensics System 29
2. Known and Unknown (1)非對稱式 (Client/Server 只有一邊是用HTTP) 2012/09/07 The Botnet Traffic Forensics System 30
2012/09/07 31The Botnet Traffic Forensics System 3. Known and Unknown (2)對稱式(Server and Client 都用 HTTP) 這不是 RAR~~~~~!
2012/09/07 32The Botnet Traffic Forensics System 3. Our Approach (3)參數異常型(HTTP Request 異常)
2012/09/07 33The Botnet Traffic Forensics System 3. Our Approach (4)只使用 Port 80但是內容非 HTTP協定
2. Known and Unknown 格式正常的 DNS Query 2012/09/07 The Botnet Traffic Forensics System 34
2. Known and Unknown 格式異常的 DNS Query 2012/09/07 The Botnet Traffic Forensics System 35
2. Known and Unknown ? 目前Malware的偽裝行為跟正常網路行為還是有些 差別。 ?只要有心,還是可以分辨出來。 ?但是這些分辨的方法,未必有漂亮的數學模型。 ?很多都是靠經驗與苦工。 ?這些細微的異常,是識別 Malware Traffic 與 Normal Application 的關鍵,但常常因為它們 對 Servers/Network 來說是 Harmless 而被忽 略。 2012/09/07 The Botnet Traffic Forensics System 36
2. Known and Unknown 過去的偵測方式 主要偵測目標 主要實做方式 優點 缺點 AV-based Malware Files 針對 HTTP、 FTP、SMTP 與 POP3 用 proxy 的方式攔截檔案, 沿用主機端的掃 毒方式。 較精確 1. 慢 2. 若病毒本體 沒有出現在 Traffic 中,則 無法察覺 3. 對於已經中 毒發作的Host 缺乏偵測能力 IDS-based Harmful behavior for servers 主要先偵測 Port Scan、Flood、 SPAM、Exploits 再反推其源頭。 假設其源頭為 bot。 1. 快 2. 當Traffic中 無病毒本體也 適用 3. 對於已經中 毒發作的Host 具有偵測能力 1. 對於 Harmless 的 Malware 行為 無法偵測 2. 無法精確推 斷惡意是否為 Malware所為 37 2012/09/07 The Botnet Traffic Forensics System 37
2. Known and Unknown 現在的偵測方式 ? 現在的偵測方式: The state of the art ? AV+IDS+VM ?加IDS解決了 ?對於已經中毒發作的Host 缺乏偵測能力 ?可以偵測 Harmful 行為 ?加VM增強了 ?對未知型 Malware 的偵測能力. ? 但是 ?因為傳統 AV 和 VM 都需要把 packets 還原成檔案才 有辦法動作,所以依然是慢 ?對於 Harmless 的 Malware 行為無法偵測 38 2012/09/07 The Botnet Traffic Forensics System 38
2. Known and Unknown ?我們目前除了能夠建立 “harmful” 的 行為模型外,也能夠建立 “harmless but malicious” 的行為模型,針對未 知的網路行為進行相似度的比對,可 以發預警防範於未然。 2012/09/07 The Botnet Traffic Forensics System 39
2. Known and Unknown:網路行為 ? 不同的族群 40 2012/09/07 The Botnet Traffic Forensics System 40
2. Known and Unknown:網路行為 ? Based on known Malware to find the unknown ones. ?Old->New ?異中求同 ?擱置差異 ?共創雙贏? 2012/09/07 The Botnet Traffic Forensics System 41
2. Known and Unknown: The Family ? 相同族群 42 2012/09/07 The Botnet Traffic Forensics System 42
2. Known and Unknown: The Family ? 四個不同 MD5 的 Malware ?0daf294cb73024bee7312932fa70e997 ?Trojan-Downloader.Win32.Agent.solm ?7108b98a3c83022c42ee1375ec569a3b ?Trojan-Downloader.Win32.Agent.sqai ?83d2ab4747ff0d9b47bce98690312680 ?Trojan-GameThief.Win32.Frethoq.doh ?C3e7d7960590baaefbc72d601e0b6d73 ?Cannot be detected by AV 432012/09/07 The Botnet Traffic Forensics System
2. Known and Unknown: The challenge: DGA ? DGA: Domain Generation Algorithm ?簡單地說,就是 Client (bot) 和 Server (bot master) 會依照特定的 time slot或是在特定的條件下,使用特 定(非固定)的domain names 進行轉址通訊。 ?這會增加 RuleGen 自動採碼的困難。 ?在 A 時間所採到的 domain name / signature 無法 適用於 B 時間。 ?對策: ?使用逆向工程找出其 Algorithm ?鎖 IPs, 如果不常換的話…. ?其他… 2012/09/07 The Botnet Traffic Forensics System 44
2. Known and Unknown: The challenge: DGA 2012/09/07 The Botnet Traffic Forensics System 45
2. Known and Unknown: The challenge: DGA 2012/09/07 The Botnet Traffic Forensics System 46
3. DEMO ? The Botnet Traffic Forensics System (BETA) ? https://solomon.botnet.tw ? Powered by ?The Anti-Botnet Project of TANet ?BroadWeb Corp. ? Please report bugs/problems to ?canaan at totoro.cs.nthu.edu.tw 2012/09/07 The Botnet Traffic Forensics System 47
3. DEMO ?建議使用方式 (for自我檢查): ?1. 睡覺前關閉大部分的應用程式 ?只留下 IE 開著 ?2. 開 WireShark 錄自己本機的封包 ?注意:有些 Malware 可能會偵測 WireShark running 就不發作 ?3. 睡醒後把錄到的 pcap 送到 Solomon ? ?目前有 size 限制 10M. 2012/09/07 The Botnet Traffic Forensics System 48
4. Summary ? 科技一直不斷地進步,網路攻擊的手法也一直不 斷的翻新,與時俱進,成為防禦端不可避免的功 夫。 ? Malware 透過加殼,可以快速變化出許多不同的 實體,但是本相相同,所以會有相同的網路行為 ,Botnet 網路行為鑑識是可行的。 ? 因為 Malware 數量的快速增加,使得自動化分析 成為必要的手段。 ? DGA 會是新一代自動化採碼與分析的挑戰。 2012/09/07 The Botnet Traffic Forensics System 49
Thanks for your attention ? ?Q&A ? As the host of heaven cannot be numbered, neither the sand of the sea measured. Jer33:22 2012/09/07 The Botnet Traffic Forensics System 50

More Related Content

2012 the botnet traffic forensics system

  • 1. The Botnet Traffic Forensics System Canaan Kao 國立清華大學通訊工程所 博士候選人 canaan@totoro.cs.nthu.edu.tw
  • 2. Who am I? ? A programmer (寫程式的人). ?C/C++, Win32 SDK, Linux Kernel Programming. ? A CEH. ?(傳說中的駭客好人卡) ? 意外地參與了教育部的 Anti-Botnet 計畫,籌備了 三屆的 BoT 研討會。 (還有擔任二屆的講員….) 2012/09/07 The Botnet Traffic Forensics System 2
  • 3. 大綱 ?0. About Anti-Botnet Project ?1. Botnet Detection ?2. Known and Unknown ?3. DEMO ?4. Summary 2012/09/07 The Botnet Traffic Forensics System 3
  • 4. 0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 4
  • 5. 0. About Anti-Botnet Project ? 依照行政院研考會規劃,分五類: ?ANA,資安訊息情報,例如:相關攻擊手法與防禦資訊 ?INT,入侵事件情報(已確定事件、非網站) ?包含打別人與被打 ?需附證據、學校收到要處理。 ?EWA,資安預警情報(不確定事件) ?當學校收到這個不一定要處理。 ?DEF, Web 相關情報(已確定事件、網站相關) ?需附證據、學校收到要處理。 ?FBI,事件回饋情報 (不常用) 2012/09/07 The Botnet Traffic Forensics System 5
  • 6. 1. Botnet Detection 2012/09/07 The Botnet Traffic Forensics System 6 1. Compromise and put some things 2. Social Engineering/SPAM3. Browsing 4. Infection 5. Join Botnet/ Data Leakage Web Servers/ Landing Site/ 跳板 Cracker/Bot Master C&C Server End Users Anti-botnet Mechanism
  • 7. 0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 7
  • 8. 0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 8
  • 9. 0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 9
  • 10. 0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 10
  • 11. 0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 11
  • 12. 0. About Anti-Botnet Project ?這樣做 rule 的方法是對的, 但是,有個問題? 2012/09/07 The Botnet Traffic Forensics System 12
  • 13. 0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 13
  • 14. 0. About Anti-Botnet Project 天下武功 無堅不摧 唯快不破 2012/09/07 The Botnet Traffic Forensics System 14
  • 15. 0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System ? 只能靠火雲邪神了 15
  • 16. 0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 16 Rule Matching with Known Rule Set (snort) Traffic to Rule Converter Rule Matching with the Known and New Rules (snort) Hit/Miss Hit Miss Traffic Selector Botnet Detection Rule Verification Rule Optimization End Manual Processing Known Rule Set Input Adding New Rules into Known Rule Set Malign Traffic Input Start Malign Traffic Input Hit/Miss Hit Miss End Need to Refine? New Produced and Integrated Rule Set Benign Traffic Input Optimized Rule Set Produced Yes No
  • 17. 0. About Anti-Botnet Project ?RuleGen Demo? 2012/09/07 The Botnet Traffic Forensics System 17
  • 18. 0. About Anti-Botnet Project 2012/09/07 The Botnet Traffic Forensics System 18
  • 19. 0. About Anti-Botnet Project ? 製作 Anti-Botnet IDS rule ?目前的 Botnet IDS Rule 組成為(共4,040條Rule) ?1,654 條自製 (由真實bot活體網路行為轉譯) –至今年止已側錄6,234隻Malware及Bot ? 2,386 條 國外公開的 botnet rule ?格式採用 Snort Rule Format (Open Source) 2012/09/07 The Botnet Traffic Forensics System 19
  • 20. 0. About Anti-Botnet Project ? Botnet Rule 下載者來源分佈 ?2012/1-2012/6來自世界各地 IP 499 個 202012/09/07 The Botnet Traffic Forensics System
  • 21. 0. About Anti-Botnet Project ? Botnet Rule 下載者來源分佈 ?2012/1-2012/6來自台灣 IP 184 個 21 2012/09/07 The Botnet Traffic Forensics System
  • 22. 1. Botnet Detection 2012/09/07 The Botnet Traffic Forensics System 22 1. Compromise and put some things 2. Social Engineering/SPAM3. Browsing 4. Infection 5. Join Botnet/ Data Leakage Web Servers/ Landing Site/ 跳板 Cracker/Bot Master C&C Server End Users Anti-botnet Mechanism
  • 23. 1. Botnet Detection The Botnet Traffic Forensics System 232012/09/07
  • 24. ? Botnet IDS 與一般的IDS要分工合作(如下),防禦外侮 與保護 servers,不是 Botnet IDS 的責任。 ? Botnet IDS 應該要 ? 得到第一手的 ? 使用者網路行為 ? 才能精準判斷 ? 內賊是誰!! 1. Botnet Detection Botnet IDS的防禦位置 24The Botnet Traffic Forensics System 2012/09/07
  • 25. 1. Botnet Detection Botnet IDS的防禦位置 ? 簡單地說: ?IDS 與 Botnet IDS 必須要分工合作 ?如上圖所示 ?IDS 要盡量放外面去抵擋外侮 ?Botnet IDS 要盡量放裡面去觀察使用者的網路行為 ?Botnet IDS 對於隱藏於LAN 端的 DNS/Proxy/SMTP servers 後面的 Bot Host 沒有偵測能力。 ?DNS/Proxy/SMTP servers 會成為代罪羔羊。 ?所以要盡量把 DNS/Proxy/SMTP servers 放到 Botnet IDS 的 WAN 端。 The Botnet Traffic Forensics System 252012/09/07
  • 26. 2. Known and Unknown ?如果說,我們對 Malware 進行動態分析, 利用對 memory 的鑑識,可以規避加殼, 取得 Malware 的本相以進行分析與歸類。 ?那 Malware 的 Traffic 是否一樣有跡可尋 ,可以依照其網路行為對 Malware 進行分 門別類,而無視於其檔案的型態? ?不管這隻 Malware 是否有加殼 ?不管是 EXE or PDF. 2012/09/07 The Botnet Traffic Forensics System 26
  • 27. 2. Known and Unknown ? Botnet/Malware 的通訊經常偽裝成許多既有的協定。 ?例如:IRC、HTTP and P2P ?因為獨創一格的通訊協定反而容易被發現 27 2012/09/07 The Botnet Traffic Forensics System 27
  • 28. 2. Known and Unknown ? 在這裡唱歌的,不一定 都是神經病 ? ?用 TCP 80 port 的 不一定是HTTP。 ?用UDP 53 port的不 一定是 DNS。 2012/09/07 The Botnet Traffic Forensics System 28
  • 29. 2. Known and Unknown 正常的 HTTP Request and Response 2012/09/07 The Botnet Traffic Forensics System 29
  • 30. 2. Known and Unknown (1)非對稱式 (Client/Server 只有一邊是用HTTP) 2012/09/07 The Botnet Traffic Forensics System 30
  • 31. 2012/09/07 31The Botnet Traffic Forensics System 3. Known and Unknown (2)對稱式(Server and Client 都用 HTTP) 這不是 RAR~~~~~!
  • 32. 2012/09/07 32The Botnet Traffic Forensics System 3. Our Approach (3)參數異常型(HTTP Request 異常)
  • 33. 2012/09/07 33The Botnet Traffic Forensics System 3. Our Approach (4)只使用 Port 80但是內容非 HTTP協定
  • 34. 2. Known and Unknown 格式正常的 DNS Query 2012/09/07 The Botnet Traffic Forensics System 34
  • 35. 2. Known and Unknown 格式異常的 DNS Query 2012/09/07 The Botnet Traffic Forensics System 35
  • 36. 2. Known and Unknown ? 目前Malware的偽裝行為跟正常網路行為還是有些 差別。 ?只要有心,還是可以分辨出來。 ?但是這些分辨的方法,未必有漂亮的數學模型。 ?很多都是靠經驗與苦工。 ?這些細微的異常,是識別 Malware Traffic 與 Normal Application 的關鍵,但常常因為它們 對 Servers/Network 來說是 Harmless 而被忽 略。 2012/09/07 The Botnet Traffic Forensics System 36
  • 37. 2. Known and Unknown 過去的偵測方式 主要偵測目標 主要實做方式 優點 缺點 AV-based Malware Files 針對 HTTP、 FTP、SMTP 與 POP3 用 proxy 的方式攔截檔案, 沿用主機端的掃 毒方式。 較精確 1. 慢 2. 若病毒本體 沒有出現在 Traffic 中,則 無法察覺 3. 對於已經中 毒發作的Host 缺乏偵測能力 IDS-based Harmful behavior for servers 主要先偵測 Port Scan、Flood、 SPAM、Exploits 再反推其源頭。 假設其源頭為 bot。 1. 快 2. 當Traffic中 無病毒本體也 適用 3. 對於已經中 毒發作的Host 具有偵測能力 1. 對於 Harmless 的 Malware 行為 無法偵測 2. 無法精確推 斷惡意是否為 Malware所為 37 2012/09/07 The Botnet Traffic Forensics System 37
  • 38. 2. Known and Unknown 現在的偵測方式 ? 現在的偵測方式: The state of the art ? AV+IDS+VM ?加IDS解決了 ?對於已經中毒發作的Host 缺乏偵測能力 ?可以偵測 Harmful 行為 ?加VM增強了 ?對未知型 Malware 的偵測能力. ? 但是 ?因為傳統 AV 和 VM 都需要把 packets 還原成檔案才 有辦法動作,所以依然是慢 ?對於 Harmless 的 Malware 行為無法偵測 38 2012/09/07 The Botnet Traffic Forensics System 38
  • 39. 2. Known and Unknown ?我們目前除了能夠建立 “harmful” 的 行為模型外,也能夠建立 “harmless but malicious” 的行為模型,針對未 知的網路行為進行相似度的比對,可 以發預警防範於未然。 2012/09/07 The Botnet Traffic Forensics System 39
  • 40. 2. Known and Unknown:網路行為 ? 不同的族群 40 2012/09/07 The Botnet Traffic Forensics System 40
  • 41. 2. Known and Unknown:網路行為 ? Based on known Malware to find the unknown ones. ?Old->New ?異中求同 ?擱置差異 ?共創雙贏? 2012/09/07 The Botnet Traffic Forensics System 41
  • 42. 2. Known and Unknown: The Family ? 相同族群 42 2012/09/07 The Botnet Traffic Forensics System 42
  • 43. 2. Known and Unknown: The Family ? 四個不同 MD5 的 Malware ?0daf294cb73024bee7312932fa70e997 ?Trojan-Downloader.Win32.Agent.solm ?7108b98a3c83022c42ee1375ec569a3b ?Trojan-Downloader.Win32.Agent.sqai ?83d2ab4747ff0d9b47bce98690312680 ?Trojan-GameThief.Win32.Frethoq.doh ?C3e7d7960590baaefbc72d601e0b6d73 ?Cannot be detected by AV 432012/09/07 The Botnet Traffic Forensics System
  • 44. 2. Known and Unknown: The challenge: DGA ? DGA: Domain Generation Algorithm ?簡單地說,就是 Client (bot) 和 Server (bot master) 會依照特定的 time slot或是在特定的條件下,使用特 定(非固定)的domain names 進行轉址通訊。 ?這會增加 RuleGen 自動採碼的困難。 ?在 A 時間所採到的 domain name / signature 無法 適用於 B 時間。 ?對策: ?使用逆向工程找出其 Algorithm ?鎖 IPs, 如果不常換的話…. ?其他… 2012/09/07 The Botnet Traffic Forensics System 44
  • 45. 2. Known and Unknown: The challenge: DGA 2012/09/07 The Botnet Traffic Forensics System 45
  • 46. 2. Known and Unknown: The challenge: DGA 2012/09/07 The Botnet Traffic Forensics System 46
  • 47. 3. DEMO ? The Botnet Traffic Forensics System (BETA) ? https://solomon.botnet.tw ? Powered by ?The Anti-Botnet Project of TANet ?BroadWeb Corp. ? Please report bugs/problems to ?canaan at totoro.cs.nthu.edu.tw 2012/09/07 The Botnet Traffic Forensics System 47
  • 48. 3. DEMO ?建議使用方式 (for自我檢查): ?1. 睡覺前關閉大部分的應用程式 ?只留下 IE 開著 ?2. 開 WireShark 錄自己本機的封包 ?注意:有些 Malware 可能會偵測 WireShark running 就不發作 ?3. 睡醒後把錄到的 pcap 送到 Solomon ? ?目前有 size 限制 10M. 2012/09/07 The Botnet Traffic Forensics System 48
  • 49. 4. Summary ? 科技一直不斷地進步,網路攻擊的手法也一直不 斷的翻新,與時俱進,成為防禦端不可避免的功 夫。 ? Malware 透過加殼,可以快速變化出許多不同的 實體,但是本相相同,所以會有相同的網路行為 ,Botnet 網路行為鑑識是可行的。 ? 因為 Malware 數量的快速增加,使得自動化分析 成為必要的手段。 ? DGA 會是新一代自動化採碼與分析的挑戰。 2012/09/07 The Botnet Traffic Forensics System 49
  • 50. Thanks for your attention ? ?Q&A ? As the host of heaven cannot be numbered, neither the sand of the sea measured. Jer33:22 2012/09/07 The Botnet Traffic Forensics System 50