Menu Zavrieť

Analýza ISCX datasetu z 15. júna

Dataset 2012 – ISCX – Elsevier

V tomto článku sa bližšie pozrieme na dataset sieťovej prevádzky ISCX IDS 2012 vytvorený Kanadským Inštitútom pre Kyberbezpečnosť.

Sieťové datasety slúžia na trénovanie sieťových bezpečnostných sytémov, menovite IDS a IPS.

Analýza ISCX datasetu z 15 júna v Molochu

PCAP z tohto dňa má veľkosť 24,5GB. Dataset má popis v 3 XML súboroch , pričom popis útoku je tretom z nich (TestbedTueJun15-3Flows).  Podľa popisu sa jedná o DDoS útok pomocou IRC botnetu.

Najintenzívnejšia časť útoku prebiehala hodinu a to podľa PCAPu od 21:05 do 22:05. V XML súbore sa intenzívny útok popisuje približne o 16:04, čiže je tam posun 5 hodín.

Útok prebiehal z infikovaných zariadení v privátnej sieti, kde cieľom bolo zariadenie s IP adresou 192.168.5.122. Ostatné relácie, ktoré boli označené ako útok, boli v príliš malej intenzite, aby ich bolo možné viditeľne zobraziť. Podľa popisu v XML sa začal približne hodinu pred intenzívnym útokom a skončil približne 5 hodín po.

V tomto zobrazení je čas iba z najväčšej intenzity útoku. Je vidieť, že stredom grafu je IP s najväčšou prevádzkou a to to, na ktoré sa útočilo. Je tam zároveň aj ďalšia komunikácia mimo útoku.

V tomto zobrazení sú znázornené iba adresy, ktoré mali ako cieľovú adresu 192.168.5.122, čiže cieľ útoku.

Analýza datasetu v IDS Suricata

Ako prvé Suricata hneď zo začiatku našla veľké množstvo P2P bittorent prevádzky (čo ale nemusí predstavovať útok, skôr len možné porušenie podmienok internetovej siete).

V skorých ranných hodinách (3. – 4. hodina), avšak nasledujúci deň (16.6.) bolo detegovaných niekoľko pokusov o SSH brute force útok na spomínanú IP adresu 192.168.5.122. Taktiež bolo nájdených niekoľko pokusov o rovnaký útok, no opačným smerom (interná IP adresa sa snažila dostať na externú IP adresu cez SSH).

Okrem toho Suricata detegovala niekoľko možných trojanov a malvérov (asi 60), napr. Blue Botnet na generovanie DDoS útokov a Sality na infikovanie súborov v OS Windows. V poobedných a večerných hodinách bol tiež zaznamenaný prístup na web Regnow.com, ktorý má spojitosť s typickými scammermi z Indie, ktorí sa vydávajú za MS Support a požadujú číslo kreditnej karty za odvírenie údajne infikovaného PC.

Čo sa týka DDoS útoku, Suricate sa nepodarilo priamo detegovať, že bol vykonaný DDoS útok. Jediným náznakom bolo to, že 150x za sekundu vygenerovala upozornenie „STREAM 3way handshake with ack in wrong dir“ medzi IP adresami 192.168.5.122 a 192.168.4.120. Keďže išlo vždy o rovnaké IP adresy, malo by sa jednať o DoS útok, nie DDoS. Spomenutá TCP anomália sa vyskytla z neznámych dôvodov. Nebyť jej výskytu, tak nie je žiaden náznak možného DDoS útoku.

Suricata podporuje podmienku threshold, ktorú by bolo možné použiť na detekciu DDoS útokov. Má niekoľko parametrov, ktorými sa stanovuje počet spojení, časové okno, počítanie pomocou zdrojovej alebo cieľovej IP adresy a podobne. Na internete sa nachádza signatúra, ktorá by mala detegovať DDoS útoky pomocou tejto podmienky. Test na tomto datasete ale nebol úspešný, a to aj po upravení spomínaných parametrov. Po analýze datasetu sa ukázalo, že útočné pakety obsahujú TCP znaky PUSH a ACK, pričom signatúra očakávala pakety so znakom SYN (detekcia TCP SYN flood DDoS útoku). Po odstránení tejto podmienky bola signatúra nepoužiteľná, keďže sa jej podmienky naplnili aj pri bežnej prevádzke. Skúsil som zmeniť podmienku TCP príznakov na PUSH a ACK a otestovať jej funkčnosť.

Bolo potrebné nájsť hranicu počtu paketov za sekundu, ktorá je dostatočne nízka aby ohlásila potenciálny DDoS útok a dostatočne vysoká, aby neohlasovala bežné prevádzku ale len IP adresy skutočne zúčastnené na DDoS útoku (toto som porovnával s výsledkami Petra a Patrika).

Prácu mi komplikovalo to, že pakety prechádzali nie len z útočiacich IP na server, ale aj v opačnom smere, keďže server sa snažil odpovedať na HTTP žiadosti. Mohol by som stanoviť podmienku signatúry, že cieľová IP musí byť zhodná s IP server, no tým by som znemožnili použitie signatúry na ďalšie účely. Vyriešil som to tak, že pri formátovaní textu (odstraňovanie duplicít a iných zbytočností) som bral do úvahy len zdrojové IP adresy alertov, cieľové som úplne ignoroval.

Pri počítaní paketov pomocou cieľovej IP adresy je potrebné, aby som dostal min. jeden alert. Došiel som k záveru, že práve jeden alert sa vygeneruje pri toku prekračujúcom cca 8500p/1s. Min. tok, pri ktorom sa stále jednalo len o útočné IP adresy bol cca 800p/1s.

Pri počítaní paketov pomocou zdrojovej IP adresy je naopak potrebné, aby bol vygenerovaný min. jeden alert pre každú útočnú IP adresu. Max. tok, pri ktorom boli odhalené všetky útočné IP adresy bol cca 200p/1s. Min. tok, pri ktorom sa tam nenachádzali neútočné IP adresy bol cca 100p/1s.

Súhrn nájdených útokov (okrem DDoS) pomocou Suricata IDS:

PCAP Čas Útok Zdr. IP a port Cieľ. IP a port
05:58:34.34 Blue Botnet 192.168.3.115:3204 72.32.84.3:80
06:52:16.11 Blue Botnet 192.168.3.115:3745 72.32.84.3:80
07:00:26.37-07:01:49.75 Blue Botnet 192.168.2.108 68.178.178.33:80
07:26:06.70 SSH Scan 192.168.2.107:4611 112.203.155.205:22
09:13:55.36 Sality 192.168.2.107:1193 208.87.32.68:80
09:52:16.48 Sality 192.168.2.112:4139 208.87.32.68:80
11:52:36.59-12:20:50.57 Blue Botnet 192.168.4.119:3056 68.178.178.33:80
12:22:13.68 Blue Botnet 192.168.4.119:3071 68.178.178.33:80
13:42:37.50 Blue Botnet 192.168.3.115:3965 69.20.70.155:80
13:43:17.58 Blue Botnet 192.168.3.115:4147 72.32.84.3:80
13:43:26.02 Sality 192.168.3.115:4165 208.87.32.68:80
13:50:04.74 Blue Botnet 192.168.1.102:1033 67.113.14.176:80
13:51:41.43 Blue Botnet 192.168.1.102:1070 67.113.14.176:80
13:52:37.86 Blue Botnet 192.168.1.105:60212 174.137.114.60:80
13:52:40.68 Blue Botnet 192.168.1.105:60230 174.137.114.60:80
13:52:41.26 Blue Botnet 192.168.1.102:1035 67.113.14.176:80
13:53:53.14 Sality 192.168.4.121:59808 208.87.32.68:80
13:54:08.33 Blue Botnet 192.168.1.105:60267 174.137.114.60:80
13:55:32.63 Sality 192.168.1.105:60415 208.87.32.68:80
13:57:59.03 Sality 192.168.1.105:60542 208.87.32.68:80
14:01:57.07 Sality 192.168.2.113:4080 208.87.32.68:80
14:30:42.14 Sality 192.168.1.102:2012 208.87.32.68:80
15:00:18.78 Sality 192.168.4.120:1197 208.87.32.68:80
15:52:56.48 Sality 192.168.1.105:5486 208.87.32.68:80
16:19:14.08 Sality 192.168.4.120:1825 208.87.32.68:80
16:36:36.10 Blue Botnet 192.168.1.102:1116 76.74.254.123:80
16:39:18.07 Blue Botnet 192.168.1.102:1280 76.74.254.120:80
16:54:38.75 Blue Botnet 192.168.2.111:1629 68.178.178.33:80
16:55:15.07 Sality 192.168.1.102:2409 208.87.32.68:80
17:21:56.68 Blue Botnet 192.168.4.118:1087 60.199.247.118:80
17:56:24.79 Sality 192.168.3.116:2900 208.87.32.68:80
18:54:46.43 Sality 192.168.4.120:1365 208.87.32.68:80
19:17:27.72 Sality 192.168.1.105:18681 208.87.32.68:80
20:27:20.45- 22:06:47.20 IRC správy * *
22:18:00.45 Regnow.com 192.168.4.118:1868 209.87.178.183:80
23:12:26.69 Sality 192.168.1.105:31055 208.87.32.68:80
23:13:43.47- 23:14:04.25 Blue Botnet 192.168.1.101:2190 68.178.178.97:80
23:18:04.48 Regnow.com 192.168.1.102:4394 209.87.178.183:80
00:03:06.58 Sality 192.168.1.105:31329 208.87.32.68:80
03:56:02.22- 03:57:15.40 SSH Scan 217.76.44.243 192.168.5.122:22
04:01:24.27 MSIL/Karmen Rans. 192.168.4.119:2376 208.122.215.180:80
04:36:30.46 SSH Scan 217.76.44.243:57117 192.168.5.122:22

*

192.168.1.103:4889 -> 192.168.2.112:6667

192.168.1.105:22348 -> 192.168.2.112:6667

192.168.2.109:2969 -> 192.168.2.112:6667

192.168.2.110:3311 -> 192.168.2.112:6667

192.168.2.112:6667 -> 192.168.1.103:4889

192.168.2.112:6667 -> 192.168.1.105:22348

192.168.2.112:6667 -> 192.168.2.109:2969

192.168.2.112:6667 -> 192.168.2.110:3311

192.168.2.112:6667 -> 192.168.2.113:2581

192.168.2.112:6667 -> 192.168.4.118:3761

192.168.2.112:6667 -> 192.168.4.120:4784

192.168.2.113:2581 -> 192.168.2.112:6667

192.168.4.118:3761 -> 192.168.2.112:6667

192.168.4.120:4784 -> 192.168.2.112:6667

Analýza datasetu z XML súboru a z článku v PDF  (JU)

  • Testovaná doba: 00:01:06 Piatok 11.06.2011  – 00:01:06 Piatok 18.06.2011
  • My sme analyzovali 15.6.
    • Posun času v XML oproti PCAPom je 5 hodín dozadu
      (t.j. 16:00 v XML =  21:00 v PCAPe)

Ako sa postupovalo:

                1. Information gathering and reconnaissance (passive and active)

2. Vulnerability identification and scanning

3. Gaining access and compromising a system

4. Maintaining access and creating backdoors

5. Covering tracks\

Scenario 1: infiltrating the network from the inside

  •  využil sa DNS request a zistila adresa mail servera, a odoslali sa na mailové adresy správy, ktoré obsahovali vírus, ktorým sa útocníci dostali do vnútra siete, pomocou nástroj Metasploit a reverse TCP shell 5555 si vytvorili spojenie na stanice, ktoré ležia vo vnútornej sieti
    • Zneužité boli stanice v tejto sieti vnútri: 192.168.3.0/24

Scenario 2: HTTP DoS

  • Použil sa nástroj Slowloris, ktorý zahltí Web server tým, že posiela nekompletné http requesty, aby udržal otvorený socket a keďže Web server má iba konečný počet socketov, tak za nejaký čas sa využijú všetky a server bude nedostupný pre ďalšie požiadavky

Scenario 3: DDoS using an IRC Botnet (Internet Relay Chat)

  • Tento bot bol poslaný na používateľov ako update message
  • Následne spustil DoS http GET útok z každého infikovaného zariadenia, čím sa vytvorili stovky požiadaviek
  • Útok trval 60 minút
    •  v XML označené AppName: HTTPweb
    •  IP adresa web servera, na ktorý sa útočilo: 192.168.5.122
    •  začiatok a koniec útoku:
      • PCAP čas: cca 21:00 – 22:00
      • XML čas: 16:04:42 – 17:05:49
    •  prvý a posledný tok, ktorý patrí  danému útoku:
      • 16:04:42 – 16:04:43
        • IPsource: 192.168.2.113 /Ps: 2677
        • IPdest: 192.168.5.122 /Pd: 80
        • Trvanie: 1s
        • Počet paketov jedným smerom (source): 103
        • Počet paketov druhým smerom (dest): 270
      • 17:05:48 – 17:05:49
        • IPsource: 192.168.2.110 /Ps: 4131
        • IPdest: 192.168.5.122 /Pd: 80
        • Trvanie: ?
        • Počet paketov jedným smerom (source): 78
        • Počet paketov druhým smerom (dest): 170

Scenario 4: Brute Force SSH

  • Slovníkové útoky na používateľov

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.