Расследование DDoS атак. Расследование компьютерных инцидентов и преступлений в России. Илья Сачков CISM Group-IB (Группа информационной безопасности)

Преступная группа

Ответственность за нарушение ИБ Отсутствие ответственности удешевляет стоимость нелегальных услуг и сводит работу информационной безопасности в гонку вооружений. 20$ стоимость заражения 1000 машин 200 – 500 Euro – DDoS атака до 20Гб (24 часа)

Вектора развития КиберпреступностьИнформационная безопасность Технологии Цель: прибыль

Задачи расследования 1.Привлекать в ответственности преступников Если этого не делать, то стоимость услуг будет далее дешеветь, а качество возрастать. Как увеличить шансы: 1.Помогать правоохранительным органам 2.Обмениваться информацией (дела по одним и тем же людям лежат в разных подразделениях от разных заявителей) Нет идеальных преступлений – при желании можно найти все

Бот-сети. Тенденции Интеллектуальные боты 2. Появление ещё большого количества непрофессиональных бот сетей: с помощью конструкторов или специальных программ для их создания. Для создания и управления такой сетью не требуются специальные знания. 3. Профессиональные бот сети стали использовать передовые технологии для управления и обеспечения анонимности 4. Усиление партнерских бот-сетей («партнерки»).

Бот-сети. Технологии 1.First come – установление патчей после заражения; 2. Port knocking – аутентификация; 3. Использование пиринговых сетей для управления бот-нетом. Skype, p2p и т.д. 4. Fast flux – уже почти стандарт. 5. Текстовые управляющие центры (социальные сети, блоги)

DDoS атаки В 2009 году основными сферами деятельности, подвергшимися DDoS атакам являлись: Банковские платежные системы Системы электронных платежей Предприятия электронной коммерции Средства массовой информации Телекоммуникационные компании Расходы на атаку евро в день.

DDoS атаки С прошлой недели и по текущий момент (с 15 апреля) медицинские клиники магазины автозапчастей оконные фабрики

Расследование обстоятельств DDoS Используем возможности Honeynet

Исследование команд бота Бот под контролем GET /main/rand/test.php?ver=0001id=151D4f12E2&cmd=0102 HTTP/1.0 Host: zlozlozlo.cn HTTP/ OK Date: Tue, 26 Aug :16:50 GMT Server: Apache/2 X-Powered-By: PHP/ Vary: Accept-Encoding,User-Agent Content-Length: 17 Connection: close Content-Type: text/html

Где находится URL? Бот под контролем Host: zlozlozlo.cn IP: далеко.далеко.далеко.далеко Делаем трассировку!

TRACERT! В реальности все ближе Tracert IP: далеко.далеко.далеко.далеко :7 11msk.datacentr.ru ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms 7 te2.msk.dadadata.ru ( ) ms ms ms ( ) ms ms ms ( ) ms ms ms 7 tmsk.datacentr.ru ( ) ms ms ms ( ) ms ms ms 9 далеко.далеко.далеко.далеко (далеко.далеко.далеко.далеко) ms ms ms

+ и - Преимущества: Быстро Бесплатно Если сервер в РФ расследование упрощается в разы Есть вредоносная программа(273 по старой практике) Недостатки: Не всегда работает (новые технологии ботнетов) Бота может не быть в Honeynet

Автономные сети Смотрим схему

Сбор доказательств 1.IP адреса (IP to IP c указанием времени) 2.Дамп трафика. Не нужны 30 ГБ файлы. Нужен фрагмент до 100 Мб. Если трафик меняется – новый дамп. 3.Делаем надпись на ресурсе «Сайт заблокирован» и нотариально снимаем копию – (скриптом) 4.Перед DDoS чаще всего идет сканирование ресурса, архитектуры сети. Снимаем логи с IDS. 1 to 5 units - $ each 6 or more units - $ each 5. Проверка информации в прессе/блогах и т.д. 6.Оформление служебной записки. 7.Расчет ущерба 8.Информация от Интернет-провайдера\хостинга

Сбор доказательств на стороне ISP 1.В договоре на оказание телекоммуникационных услуг добавьте пункт о Ваших требованиях по хранению и содержанию логов. 2.Оповещение со стороны ISP в случае атаки – в SLA

Хорошие новости В новых комментариях к УК РФ, выпущенных Верховным судом РФ – официальное признание создание бот сетей, а так же осуществления DDoS атак – преступлением.( )

Бот-сети. Наши меры Информация для IPS в режиме реального времени о нахождении бот- машин в их сетях. Распределенная кооперативная система для расследования DDoS атак и остановки StopDDOS.ru (Константин Тимашков)

Бот-сети. Наши меры Создание, поддержание, развитие Российского сегмента Honeynet Project Бесплатно устанавливаем HoneyPots, WatchDogs и другие кооперативные агенты для отслеживания и изучения бот-сетей. Предоставление и обмен информацией на некоммерческой основе.

Бот-сети и киберпреступность. Наши меры Срочная бесплатная рассылка Group-IB & RISSPA: методы совершения компьютерных преступлений; сообщения с распределенных IDS систем о сетевых атаках и эпидемиях, о проводимых в данный момент DDoS атаках и информацию об активных бот-нета; данные с систем Honey Net о новых типах вредоносного ПО и способа его распространения. Ассоциация RISSPA ( Russian Information Systems Security Professional Association,

Бот-сети. Проблемы 1. Отсутствие в России работающих CERTов (Computer Emergency Response Team) 2. Отсутствие работающих международных соглашений и законодательства по борьбе с подобными явлениями. 3. Техническая безграмотность населения и простота заражения ПК вирусами. Стоимость заражения 1000 машин вирусами начинается от 20 долларов США. 4. Малое количество успешных уголовных дел из-за сложностей законодательства и правовых уловок, которыми пользуются злоумышленники и их адвокаты

Мой любимый реальный пример Как Вы думаете, сколько зарабатывает создатель «средней» по технологии бот сети?

Реальный пример $ за 1.5 года

Илья Сачков CISM Группа информационной безопасности ?