'

Расследование DDoS атак. Расследование компьютерных инцидентов и преступлений в России.

Понравилась презентация – покажи это...





Слайд 0

Расследование DDoS атак. Расследование компьютерных инцидентов и преступлений в России. Илья Сачков CISM Group-IB (Группа информационной безопасности) sachkov@group-ib.ru


Слайд 1

Преступная группа


Слайд 2

Ответственность за нарушение ИБ Отсутствие ответственности удешевляет стоимость нелегальных услуг и сводит работу информационной безопасности в гонку вооружений. 20$ стоимость заражения 1000 машин 200 – 500 Euro – DDoS атака до 20Гб (24 часа)


Слайд 3

Вектора развития Киберпреступность Информационная безопасность Технологии Цель: прибыль Цель: прибыль


Слайд 4

Задачи расследования Привлекать в ответственности преступников Если этого не делать, то стоимость услуг будет далее дешеветь, а качество возрастать. Как увеличить шансы: Помогать правоохранительным органам Обмениваться информацией (дела по одним и тем же людям лежат в разных подразделениях от разных заявителей) Нет идеальных преступлений – при желании можно найти все


Слайд 5

Бот-сети. Тенденции 2009- 2010 1. Интеллектуальные боты 2. Появление ещё большого количества непрофессиональных бот сетей: с помощью конструкторов или специальных программ для их создания. Для создания и управления такой сетью не требуются специальные знания. 3. Профессиональные бот сети стали использовать передовые технологии для управления и обеспечения анонимности 4. Усиление партнерских бот-сетей («партнерки»).


Слайд 6

Бот-сети. Технологии First come – установление патчей после заражения; 2. Port knocking – аутентификация; 3. Использование пиринговых сетей для управления бот-нетом. Skype, p2p и т.д. 4. Fast flux – уже почти стандарт. 5. Текстовые управляющие центры (социальные сети, блоги)


Слайд 7

DDoS атаки В 2009 году основными сферами деятельности, подвергшимися DDoS атакам являлись: Банковские платежные системы Системы электронных платежей Предприятия электронной коммерции Средства массовой информации Телекоммуникационные компании Расходы на атаку 100-500 евро в день.


Слайд 8

DDoS атаки С прошлой недели и по текущий момент (с 15 апреля) медицинские клиники магазины автозапчастей оконные фабрики


Слайд 9

Расследование обстоятельств DDoS Используем возможности Honeynet


Слайд 10

Исследование команд бота Бот под контролем GET /main/rand/test.php?ver=0001id=151D4f12E2&cmd=0102 HTTP/1.0 Host: zlozlozlo.cn HTTP/1.1 200 OK Date: Tue, 26 Aug 2009 16:16:50 GMT Server: Apache/2 X-Powered-By: PHP/5.0.11 Vary: Accept-Encoding,User-Agent Content-Length: 17 Connection: close Content-Type: text/html


Слайд 11

Где находится URL? Бот под контролем Host: zlozlozlo.cn IP: далеко.далеко.далеко.далеко Делаем трассировку!


Слайд 12

TRACERT! В реальности все ближе Tracert IP: далеко.далеко.далеко.далеко :7 11msk.datacentr.ru (120.209.15.202) 49.418 ms 49.416 ms 49.322 ms 8 77.91.231.212 (77.91.231.212) 49.440 ms 49.306 ms 49.822 ms 9 91.213.174.26 (196.213.174.26) 49.451 ms 49.545 ms 49.704 ms 7 te2.msk.dadadata.ru (155.239.10.202) 49.418 ms 49.416 ms 49.322 ms 8 77.91.231.212 (177.91.231.212) 49.440 ms 49.306 ms 49.822 ms 9 91.213.174.26 (99.213.174.26) 49.451 ms 49.545 ms 49.704 ms 7 tmsk.datacentr.ru (19.23.104.202) 49.418 ms 49.416 ms 49.322 ms 8 77.91.231.212 (177.191.21.212) 49.440 ms 49.306 ms 49.822 ms 9 далеко.далеко.далеко.далеко (далеко.далеко.далеко.далеко) 49.451 ms 49.545 ms 49.704 ms


Слайд 13

+ и - Преимущества: Быстро Бесплатно Если сервер в РФ расследование упрощается в разы Есть вредоносная программа(273 по старой практике) Недостатки: Не всегда работает (новые технологии ботнетов) Бота может не быть в Honeynet


Слайд 14

Автономные сети Смотрим схему


Слайд 15

Сбор доказательств IP адреса (IP to IP c указанием времени) Дамп трафика. Не нужны 30 ГБ файлы. Нужен фрагмент до 100 Мб. Если трафик меняется – новый дамп. Делаем надпись на ресурсе «Сайт заблокирован» и нотариально снимаем копию – (скриптом) Перед DDoS чаще всего идет сканирование ресурса, архитектуры сети. Снимаем логи с IDS. http://www.snort.org/snort-rules/?#rules 1 to 5 units - $499.00 each 6 or more units - $399.00 each 5. Проверка информации в прессе/блогах и т.д. Оформление служебной записки. Расчет ущерба Информация от Интернет-провайдера\хостинга


Слайд 16

Сбор доказательств на стороне ISP В договоре на оказание телекоммуникационных услуг добавьте пункт о Ваших требованиях по хранению и содержанию логов. Оповещение со стороны ISP в случае атаки – в SLA


Слайд 17

Хорошие новости В новых комментариях к УК РФ, выпущенных Верховным судом РФ – официальное признание создание бот сетей, а так же осуществления DDoS атак – преступлением.(272-273)


Слайд 18

Бот-сети. Наши меры Информация для IPS в режиме реального времени о нахождении бот-машин в их сетях. Распределенная кооперативная система для расследования DDoS атак и остановки StopDDOS.ru (Константин Тимашков)


Слайд 19

Бот-сети. Наши меры Создание, поддержание, развитие Российского сегмента Honeynet Project Бесплатно устанавливаем HoneyPots, WatchDogs и другие кооперативные агенты для отслеживания и изучения бот-сетей. Предоставление и обмен информацией на некоммерческой основе.


Слайд 20

Бот-сети и киберпреступность. Наши меры Срочная бесплатная рассылка Group-IB & RISSPA: методы совершения компьютерных преступлений; сообщения с распределенных IDS систем о сетевых атаках и эпидемиях, о проводимых в данный момент DDoS атаках и информацию об активных бот-нета; данные с систем Honey Net о новых типах вредоносного ПО и способа его распространения. Ассоциация RISSPA (Russian Information Systems Security Professional Association, www.risspa.ru)


Слайд 21

Бот-сети. Проблемы 1. Отсутствие в России работающих CERT’ов (Computer Emergency Response Team) 2. Отсутствие работающих международных соглашений и законодательства по борьбе с подобными явлениями. 3. Техническая безграмотность населения и простота заражения ПК вирусами. Стоимость заражения 1000 машин вирусами начинается от 20 долларов США. 4. Малое количество успешных уголовных дел из-за сложностей законодательства и правовых уловок, которыми пользуются злоумышленники и их адвокаты


Слайд 22

Мой любимый реальный пример Как Вы думаете, сколько зарабатывает создатель «средней» по технологии бот сети?


Слайд 23

Реальный пример 1 733 492 $ за 1.5 года


Слайд 24

Илья Сачков CISM Группа информационной безопасности sachkov@group-ib.ru www.group-ib.ru ?


×

HTML:





Ссылка: