O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

0

Compartilhar

Baixar para ler offline

Как ловить кибермафию с помощью DNS

Baixar para ler offline

Презентация с TLDCON 2020 про использование протокола DNS для проведения расследования инцидентов ИБ и анализа вредоносных инфраструктур

  • Seja a primeira pessoa a gostar disto

Как ловить кибермафию с помощью DNS

  1. 1. Как ловить кибермафию с помощью DNS 08 сентября 2020 И попутно повышать доверие к Президенту России
  2. 2. © 2018 Cisco and/or its affiliates. All rights reserved.
  3. 3. © 2018 Cisco and/or its affiliates. All rights reserved. Домен верхнего уровня Домен второго уровня Домен третьего уровня FQDN www.cisco.com
  4. 4. © 2018 Cisco and/or its affiliates. All rights reserved. Что можно вытащить из DNS-трафика: уровень I Тип записи Значение A или AAAA IP-адрес (IPv4 или IPv6) NS Отвечающий за домен сервер имен TXT Описание домена MX Почтовый обменник CNAME Альтернативное имя для ресурса (для перенаправления на другое имя) SOA Ключевые данные о зоне (например, TTL или контакты владельца)
  5. 5. © 2018 Cisco and/or its affiliates. All rights reserved. Что можно вытащить из DNS-трафика: уровень II Протокол DNS IP/Сеть Регистрация домена Длина FQDN Лексические данные FQDN IP-адреса ASN Контакты: регистратор и владелец Дата создания Длина домена 2-го/n-го уровня Лексические данные доменов 2- го/n-го уровня Запаркованные домены CNAME, NS, SOA, MX Дата окончания Последнее обновление Значения TTL Коды ответов Страна / геолокация Временная информация
  6. 6. © 2018 Cisco and/or its affiliates. All rights reserved. yfrscsddkkdl.com qgmcgoqeasgommee.org iyyxtyxdeypk.com diiqngijkpop.ru Анализ энтропии Не выглядит ли распределение символов случайным? “N-gram” анализ Соответствуют ли наборы рядом стоящих символов языковому шаблону? Обнаружение алгоритмов генерации доменов DGA
  7. 7. © 2018 Cisco and/or its affiliates. All rights reserved. Что можно вытащить из DNS-трафика: уровень III • Энтропия / распределение символов в FQDN • Взаимосвязи между доменами / IP- адресами / e-mail владельцев / автономными системами (ASN) • Вредоносная активность, связанная с доменом / IP / e-mail владельцев / автономными системами (ASN) Кто нас атакует? Какова инфраструктура нападающих? Специфические детали угроз
  8. 8. © 2018 Cisco and/or its affiliates. All rights reserved. Знакомо ли вам имя Locky? • Через вложение Email в фишинговой рассылке • Шифрует и переименовывает файлы с .locky расширением • Примерно 90,000 жертв в день • Выкуп порядка 0.5 – 1.0 BTC (1 BTC ~ $601 US) • Связан с операторами кампании Dridex
  9. 9. © 2018 Cisco and/or its affiliates. All rights reserved. 91.223.89.201185.101.218.206 600+ Threat Grid files SHA256:0c9c328eb66672e f1b84475258b4999d6df008 *.7asel7[.]top LOCKY Domain → IP Ассоциация AS 197569IP → Network Ассоциация 1,000+ DGA domains ccerberhhyed5frqa[.]8211fr[.]top IP → Domain Ассоциация IP → Sample Ассоциация CERBER
  10. 10. © 2018 Cisco and/or its affiliates. All rights reserved. -26 DAYS AUG 21 DNS AI JUL 18 JUL 21 DNS AI JUL 14 -7 ДНЯ jbrktqnxklmuf[.]info mhrbuvcvhjakbisd[.]xyz LOCKY LOCKY DGA Network → Domain Ассоциация DGA Угроза обнаружена в день регистрации домена Угроза обнаружена до регистрации домена. ДОМЕН ЗАРЕГИСТРИРОВАН JUL 22-4 ДНЯ
  11. 11. © 2018 Cisco and/or its affiliates. All rights reserved. ИНФРАСТРУКТУРЫ Домен-к-IP-к-AS взаимоотношения через графы BGP данные маршрутов СОВМЕСТНЫЕ ЗАПРОСЫ Запросы вида домен-к- домену через рекурсивный DNS abc.org 00:34 def.co 00:35 igh.biz 00:36 bot.ru 4.3.2.1 8.7.6.5 2 FEB 4 FEB AS 346 AS 781 ПАССИВНЫЙ DNS И WHOIS Текущие и прошлые связи для домен-к-IP/nameserver/email через authoritative DNS и DNS registrars bad.cn 10 JAN bot.ru 11 JAN ok.com 12 JAN ns.dyn.com1.2.3.4 xxx@x.xx Корреляция DNS, WHOIS и BGP
  12. 12. © 2018 Cisco and/or its affiliates. All rights reserved. ХОСТ ИНФРАСТРУКТУРА Расположение сервера IP адреса, связанные с доменом Хостится в более чем 28+ странах DNS ЗАПРОШИВАЮЩИЕ ХОСТЫ Расположение сетевые и вне-сетевые IP адреса запрашивающих домен Только заказчики из US связываются с .RU TLD Геолокационный анализ IP
  13. 13. © 2018 Cisco and/or its affiliates. All rights reserved.© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Финансовая помощь от государства?..
  14. 14. © 2018 Cisco and/or its affiliates. All rights reserved. Домен → IP 190.115.18.204 nds-vyplata.ru Домен → AS Мошеннические домены про выплаты и компенсации 95.181.172.95AS 50673AS 262254 kompensaciya-money.online, kompensaciu-2020.online, onlayn- nds.site и др. Фишинговые и вредоносные домены про коронавирус coronavirus365.ru elki-kzn116.ru Фишинговые и вредоносные домены update365-office-ens.com, covidstore.online и др.
  15. 15. © 2018 Cisco and/or its affiliates. All rights reserved. Домен → IP 91.215.153.89 AS 262254 gos-vyplaty.ru AS 59729 opz.a611qnev.buzz 190.115.24.218 Домен → IP Домен → AS a612hekq.buzz и др. Десятки мошеннических доменов про выплаты kaspersky-logins.com, niceoplata.best, electrum-btc.su и др. Сотни мошеннических и фишинговых доменов Домен → AS Сотни мошеннических и фишинговых доменов редирект Как мошенники подрывали доверие к Президенту РФ
  16. 16. © 2018 Cisco and/or its affiliates. All rights reserved.© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Заодно атаковались и все популярные антивирусы
  17. 17. © 2018 Cisco and/or its affiliates. All rights reserved. Домен → IP 91.215.153.89 AS 262254 gos-vyplaty.ru AS 59729 opz.a611qnev.buzz 190.115.24.218 Домен → IP Домен → AS a612hekq.buzz и др. Десятки мошеннических доменов про выплаты kaspersky-logins.com, niceoplata.best, electrum-btc.su и др. Сотни мошеннических и фишинговых доменов Домен → AS Сотни мошеннических и фишинговых доменов редирект
  18. 18. © 2018 Cisco and/or its affiliates. All rights reserved.© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Вспомним про коронавирус • Сотни доменов с «coronavirus» в названии • Сотни доменов с «covid» в названии • Десятки доменов с «mask» в названии
  19. 19. © 2018 Cisco and/or its affiliates. All rights reserved. Сотни «горячих» доменов
  20. 20. © 2018 Cisco and/or its affiliates. All rights reserved. Разные домены под разные города
  21. 21. © 2018 Cisco and/or its affiliates. All rights reserved. Разные домены – одна инфраструктура
  22. 22. © 2018 Cisco and/or its affiliates. All rights reserved. • telegramm1.ru • awitoo.ru и avitio.ru • Проект «Голос» • Faceboook • Amazon • iCloud + сервисы Apple • Очкарик Интересная AS 197695
  23. 23. © 2018 Cisco and/or its affiliates. All rights reserved. Не только маски и тесты от коронавируса
  24. 24. © 2018 Cisco and/or its affiliates. All rights reserved. В качестве заключения 1 2 3 4 5 Анализ DNS позволяет выявлять не только единичные вредоносные ресурсы Необходимо накопление данных о доменах Помимо анализа данных о доменах, необходимо анализировать связи Обычно даже только по AS можно судить о вредоносности домена Анализ DNS позволяет предсказывать многие атаки 6 7 AS и IP часто используются под разные, но вредоносные цели Неочевидная и небыстрая процедура разделегирования вредоносных доменов 8 Существующие базы данных о DNS/IP/AS – частные и, преимущественно, зарубежные
  25. 25. © 2018 Cisco and/or its affiliates. All rights reserved. Вопросы?
  26. 26. alukatsk@cisco.com

Презентация с TLDCON 2020 про использование протокола DNS для проведения расследования инцидентов ИБ и анализа вредоносных инфраструктур

Vistos

Vistos totais

1.616

No Slideshare

0

De incorporações

0

Número de incorporações

1.224

Ações

Baixados

18

Compartilhados

0

Comentários

0

Curtir

0

×