1 / 23

פרוייקט באבטחת מידע

פרוייקט באבטחת מידע. Botnet honey-pot client-side. מגישים: ולרי לייקין 321947921 אולג רבין 312076334 מנחה: עמיחי שולמן. מטרת הפרויקט. ליצור מערכת של מכונות וירטואליות שמודבקות בוירוסים מסוג BOTNET לחקור את התעבורה של הוירוסים הללו, ולהסיק מסקנות על אופי פעולתם של וירוסים אלו.

linore
Download Presentation

פרוייקט באבטחת מידע

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. פרוייקט באבטחת מידע Botnet honey-pot client-side מגישים: ולרי לייקין 321947921 אולג רבין 312076334 מנחה: עמיחי שולמן

  2. מטרת הפרויקט • ליצור מערכת של מכונות וירטואליות שמודבקות בוירוסים מסוג BOTNET • לחקור את התעבורה של הוירוסים הללו, ולהסיק מסקנות על אופי פעולתם של וירוסים אלו

  3. מערך התוכנה שלנו • התקנת מכונה וירטואלית שממוקמת על VMware workstation • על מנת למנוע נזק למחשב האישי שלנו • התקנה ולימוד WireShark • לניטור התעבורה • התקנת XP Windows • שדרוג מערכת ההפעלה ל 2SP • לאחר שלא הצלחנו להדבק עם מערכת ללא SP שידרגנו ל – 2SP

  4. ניסיונות הדבקה • Google trends • עובד רוב הזמן, הסיכוי להדבק עולה ככל שהטרנד חם יותר. • פועל טוב יותר עם שמות של אנשים, מאשר חדשות, למשל. • אתרי פורנו • הותקנו כמה plug-inים חשודים, אבל לא הייתה שום תעבורה • אתרים של Crackים • נמצאו מספר וירוסים, אבל אף אחד מהם לא ייצר תעבורה.

  5. ניסיונות הדבקה • שימוש במנועי חיפוש אחרים: Bing, Rambler. • לפי מה שגילינו, הרבה יותר קל להדבק בוירוסים ממנועי חיפוש אלה, ביחס לגוגל למשל, לדוגמא, הוירוס האחרון התגלה באמצעות חיפוש:malicious site ב Bing • My security engine - הדבקה באמצעות חיפוש ב-Bing של עדכונים לווינדוס XP. – הצלחה!

  6. My Security Engine • ניתוח התעבורה של הווירוס • בדיקת חיות מול C&C

  7. My Security Engine • ניתוח התעבורה של הווירוס • בדיקת חיות מול C&C • קבלת הוראות התקפה

  8. מבנה קובץ ההגדרות שם ההתקפה כתובות היעד עדיפות סוג ההתקפה מידע עבור ההתקפה - CONFIDENTIAL -

  9. My Security Engine • ניתוח התעבורה של הווירוס • בדיקת חיות מול C&C • קבלת הוראות התקפה • ביצוע התקפות

  10. סוגי ההתקפות • UDP, PING - שליחת חבילות של UDP וביצוע PING • PORT_FUCK – שליחת חבילות SYN (TCP) לפורטים מיועדים • HTTP - שליחת בקשות לדפים ו/או תמונות מסויימים • SECURE_PROT (HTTPS) – הופיע בקובץ ההגדרות אבל לא נצפה מעולם, כנראה דומה להתקפה הקודמת.

  11. סוגי ההתקפות • UDP, PING - שליחת חבילות של UDP וביצוע PING • PORT_FUCK – שליחת חבילות SYN (TCP) לפורטים מיועדים • HTTP - שליחת בקשות לדפים ו/או תמונות מסויימים • SECURE_PROT (HTTPS) – הופיע בקובץ ההגדרות אבל לא נצפה מעולם, כנראה דומה להתקפה הקודמת.

  12. סוגי ההתקפות • UDP, PING - שליחת חבילות של UDP וביצוע PING • PORT_FUCK – שליחת חבילות SYN (TCP) לפורטים מיועדים • HTTP - שליחת בקשות לדפים ו/או תמונות מסויימים • SECURE_PROT (HTTPS) – הופיע בקובץ ההגדרות אבל לא נצפה מעולם, כנראה דומה להתקפה הקודמת.

  13. סוגי ההתקפות • UDP, PING - שליחת חבילות של UDP וביצוע PING • PORT_FUCK – שליחת חבילות SYN (TCP) לפורטים מיועדים • HTTP - שליחת בקשות לדפים ו/או תמונות מסויימים • SECURE_PROT (HTTPS) – הופיע בקובץ ההגדרות אבל לא נצפה מעולם, כנראה דומה להתקפה הקודמת.

  14. Security Master AV • ה"דור-הבא" של My Security Engine דומה מאוד • בעל אותו C&C • מבנה קובץ ההגדרות דומה מבחינת מבנה, אבל מכיל תוכן עדכני יותר • אופן ותדירות ההתקפות דומה

  15. השוואת קבצי התקפה My Security Engine Security Master AV

  16. חיפוש אחרי וירוסים חדשים • שימוש בגוגל טרנדס – בעיקר כאשר הם מכילים שמות של אנשים • שימוש במנועי חיפוש אחרים על טרנדים שנמצאו בגוגל • חיפוש שקשור לוירוסים במנועי חיפוש לאחר הדבקה בוירוס כלשהו, לדוגמא כאשר היינו מדובקים בוירוס: • החיפוש "malicious site"ב-Bing העלה קישור לוירוס חדש כבר בדף הראשון. • חיפוששנוגע לוירוס שלנו בויקיפדיה, העלה מידע אודות הגירסא החדשה שלו: security master AV שגם אותו הצלחנו לטפוס ע"י חיפוש השם שלו

  17. השלכות לעתיד • ניתן להשתמש במערכת הקיימת, עם המכונות המודבקות כדי להמשיך לחקור את משפחת הוירוסים שלנו • ניתן להתחקות אחר מקור קבצי ההגדרה והוירוס עצמו על-מנת לגלות מי עומד מאחורי ההתקפות ומה המניע שלו • ניתן להשתמש בשיטות ההדבקה שצויינו, על-מנת להדבק בוירוסים חדשים ולחקור אותם

  18. שאלות ???

More Related