Направления исследований и ctf
TRANSCRIPT
МКМК, проект «Юные программисты ФСБ России», Национальный исследовательский ядерный университет «МИФИ», Факультет Кибернетики и информационной безопасности МИФИ и Кафедра «Компьютерные системы и технологии» (КСиТ) заявляют о создании совместного проекта по изучению основ информационной безопасности, криптографии и подготовки к участию в CTF (Capture the flag)
ИССЛЕДОВАТЕЛЬСКАЯ ГРУППА «КИБЕРБЕЗОПАСНИК»
Направления исследований•1. Ложные объекты атаки
(Honeypot/Honeynet)•2. Сканирование Интернета•3. Исследование уязвимости Wi-fi сетей•4. RFID-технологии•5. Радиоперехват•6. Исследование недокументированных
возможностей ОС Windows и системного ПО•7. Программно-аппаратные разработки•8. Криптовалюты
1. Ложные объекты атаки (Honeypot)
•Honeypot – проактивная система обнаружения вторжений с широкими функциональными возможностями.
•Анализ поведения злоумышленников•Актуальная задача – улучшение
существующих алгоритмов отлова злоумышленников, а в ряде случаев – разработка новых.
1. Ложные объекты атаки (Honeypot)
•Kaspersky Labs
•DTAG Community Honeypot Project (deutsche telekom) - http://dtag-dev-sec.github.io/
•http://www.team-cymru.org/
1. Ложные объекты атаки (Honeypot)
Мёд (honeypot)•Система обнаружения вторжений•Эмулирование системы с уязвимостями
(ловушки) •Разработка алгоритмов функционирования
ловушек•Анализ вторжений злоумышленников•Анализ поведения злоумышленников•Сбор статистических данных•Обнаружение ранее неизвестных
технологий вторжения
«Мощность» honeypot
•2048 адресов IPv4•79.228.162.514.264.337.593.543.950.336
адресов IPv6•Отдельная виртуальная машина под
каждую ловушку (Win/Linux/etc.)
Разработка ловушки•Анализ существующих решений•Выработка предложений по разработке
ловушки•Разработка алгоритма ловушки•Реализация ловушки•Опытная эксплуатация ловушки•Сбор статистических данных•Анализ полученных данных
FTP•Сбор статистики о подбираемых login/password
▫Техники перебора паролей▫Сбор информации об адресах злоумышленников
•Допуск злоумышленника в файловую систему с отслеживанием проводимых изменений:▫Загрузка файлов▫Инфицирование существующих файлов▫Иные действия злоумышленников
•Имитация структуры web-сайта. •Исследование iframe-скриптов. Анализ
технологии анализа html-кода от Лаборатории Касперского.
TELNET/SSH/RSH• Сбор статистики о подбираемых login/password
▫ Техники перебора паролей▫ Сбор информации об адресах злоумышленников
• Допуск злоумышленника в файловую систему с отслеживанием проводимых изменений:▫ Исполнение команд▫ Скачивание и запуск эксплойтов▫ Скачивание и запуск proxy/socks-скриптов – анализ и
получение информации о центрах управления▫ Скачивание и запуск ботов - анализ▫ Иные действия злоумышленников
• Имитация маршрутизаторов/коммутаторов и пр. устройств.• RSH и sftp - выполнение удаленно команд, загрузка
файлов.
DNS•Имитация DNS-рекурсии (https
://www.us-cert.gov/ncas/alerts/TA13-088A).▫Эмулировать рекурсию, с целью сбора
информации о жертвах атак.▫Обнаружение центров проверки
работоспособности рекурсии злоумышленника.
•Легальные сканнеры, которые ищут DNS с открытой рекурсией и уведомляют владельца.
NTP•NTP–рекурсия (http://openntpproject.org/).•Атаки типа DDOS с использованием
«открытых» NTP.•Анализ входящих запросов, сбор данных о
злоумышленниках.•Сбор данных о сканерах открытых NTP.
▫Отсеивать легальные сканеры от злоумышленников
SMTP•почтовый спам•перебор паролей к учетным записям.•исследование новых технологий спама.
▫популярен спам с легальных почтовых ящиков, с дешевых доменных имен.
•в данном направлении сложно придумать что-то инновационное, однако, можно эффективно собирать статистику и находить закономерности.
•Эра ipv6 – насколько все плохо?
POP3/IMAP•Подбор паролей
▫осуществляется меньше, чем в случае с smtp, но все же происходит.
•IMAP-ящики должны быть привлекательны, так как можно организовать хищение персональных данных.
SNMP• snmpget – чтение информации с устройств.• snmpset – отдельные возможности по управлению
устройствами.• Имитация устройства без пароля или со слабым
паролем.• Съем статистических данных и предоставление
возможности частичного управления.• Необходима имитация MIB (Management
Information Base).
Имитация Windows-сервисов•Порты 135, 139, 445 и пр. •Имитация открытых сетевых папок
▫Анализ загружаемых файлов▫Имитация файловой системы
•Имитация domain-авторизации▫Подбор паролей
MSSQL/MYSQL• СУБД: MSSQL/mysql/postgres/oracle
▫подбор паролей• Выполнение произвольного кода на целевой
системе.• Возможно хищение персональных данных
(ФИО+email и пр.) для последующего спама.• https://www.blackhat.com/presentations/bh-europe-
09/Guimaraes/Blackhat-europe-09-Damele-SQLInjection-whitepaper.pdf
RDP/VNC (*)• Очень много систем без пароля (https://xakep.ru
/2016/03/25/vncroulette/)• Имитация системы без пароля• Имитация системы с (простым) паролем.• Сложности с реализацией протокола• Сложная задача имитации системы после
авторизации.▫Требуется предварительная проработка
архитектуры ловушки
SIP/Asterisk•Злоумышленники инициируют звонки на
платные номера с целью заработка денег.•Возможность собирать blacklist номеров.•Подобный проект уже отчасти существует,
на стадии становления (http://subnets.ru/blog/?p=5270).
Proxy/SOCKS•порты: 80, 3128, 8080.•Сбор данных об источниках сканов.•Имитация открытых proxy
▫Интерес представляют как инициаторы запросов, так и передаваемая информация.
•Направление очень богато на статистические результаты.
Web-ловушки (*)• Использование базы данных exploit-ов и уязвимостей, в
части web ПО, для установки уязвимого программного обеспечения и привлечения сканеров.▫ remote execution/remote upload php▫ Bindshell-скрипты авторской сборки
(http://www.jatit.org/volumes/Vol81No3/17Vol81No3.pdf). ▫ поиск /cgi-bin/ скриптов.▫ SQL-инъекции.▫ JAVA - возможно, эксплуатация шеллкода, это направление в
части JAVA было исследовано не так давно (https://github.com/schierlm/JavaPayload/blob/master/JavaPayload/src/javapayload/stage/Shellcode.java) (http://blog.cobaltstrike.com/2013/08/29/how-to-inject-shellcode-from-java/).
• Исследование атак, которые не попадают в общую сетку.
Прочие сервисы• IRC
▫6667-6669,7000 – пункты управления ботнетами.▫сканеры irc-сетей.
• RTSP▫Злоумышленники ведут поиск открытых веб-камер, а
также трансляций видеосигналов.• SVN/CVS
▫порты: 3690, 2401, 5999▫Файловые репозитории, содержащие исходные коды▫Информация об инициаторах сканирований
• Сканирование иных портов:▫aodv(654)– adhoc,▫netviewdm(729-731) – ibm newview
2. Сканирование Интернета (*)•Поиск уязвимых версий ПО.•Обнаружение «закладок»
злоумышленников.•Анализ современных технологий,
применяемых злоумышленниками.•Статистические данные об использовании
различных версий прикладного ПО.•Актуальная задача – повышение
эффективности сканирования.
2. Сканирование Интернета•Nmap -> Zmap
2. Сканирование Интернета•Существующие решения – zmap (недостаток –
приоритет скорость, а не эффективность)•Сканирование всех ipv4 адресов и всех портов
(tcp/udp): 0-65535•Аналитические данные – версии сервисов и
типы сервисов на стандартных портах, а также специфические сервисы на нестандартных портах (>10000 в том числе).
•Задача – разработка интеллектуальной модели сканирования с целью повышения «пробиваемости» систем обнаружения вторжений и межсетевых экранов.
2. Сканирование Интернета
2. Сканирование Интернета•420 млн хостов, с включенным ICMP. •165 млн хостов имеет хотя бы один
открытый порт.•36 млн не ответило на ICMP.•141 млн хостов - не ответило совсем. •1051 млн хостов имело RDNS.
▫из них 729 млн – «трупы».•4.3 млн подсетей /24 содержало в себе
420 млн хостов, которые ответили на ICMP.
2. Сканирование Интернетаназвание устройство количество %
hp-pjl HP LaserJet P2055 Series 6628 2.71
hp-pjl hp LaserJet 4250 4678 1.913irc Dancer ircd 4095 1.674hp-pjl LASERJET 4050 3554 1.453
telnet Cisco router telnetd 3497 1.43
hp-pjl HP LaserJet P2015 Series 3237 1.324
hp-pjl hp LaserJet 1320 series 3079 1.259
hp-pjl HP LaserJet P3005 3021 1.235
hp-pjl HP LaserJet P3010 Series 2935 1.2
hp-pjl HP LaserJet P4015 2917 1.193
hp-pjl HP Color LaserJet CP2025dn 2855 1.167
hp-pjl HP LaserJet 4100 Series 2640 1.079
hp-pjl hp LaserJet 4200 2627 1.074hp-pjl ? 2509 1.026
3. Исследование уязвимости Wi-fi сетей
•Эмулирование общедоступных Wi-fi сетей и анализ трафика (например, MosMetro_Free).Ноябрь 2015г:
Это не первый случай, когда бесплатная Wi-Fi-сеть московского метро оказывается атакованной хакерами. Так, в мае этого года тысячи пассажиров увидели порно на экранах своих смартфонов и планшетов вместо привычной стартовой страницы. А в начале ноября пассажиры Московского метрополитена пожаловались на оскорбления при подключении к бесплатному Wi-Fi.
3. Исследование уязвимости Wi-fi сетей (*)
•Генерация большого количества SSID-точек доступа для проведения экспериментов
•Требуется – знание Си•Отслеживание поведения мобильных
устройств
•Возможные эффекты: переполнение буфера?
3. Исследование уязвимости Wi-fi сетей (*)
•Сканирование общедоступных точек на территории города Москвы – сбор статистических данных▫Лаборатория Касперского проводит подобную
аналитику).•Задача – скан всех улиц в пределах
бульварного/Кремлёвского кольца Москвы. •Проблемы – большие затраты по времени,
необходимо дробить задачи. Большие массивы данных в результате исследования.
•Используемый комплекс – Vistumbler + GPS + USB Wi-Fi
3. Исследование уязвимости Wi-fi сетей
3. Исследование уязвимости Wi-fi сетей
Более 7 тыс. Wi-fi точек
3. Исследование уязвимости Wi-fi сетей
Сканирование территории Кремлёвского кольца – ВЫПОЛНЕНО!
Аналитика Касперского – «1.5тыс. Точек Wi-fi в центре Москвы» – недостоверные данные!
Бульварное кольцо – задача №2.
4. RFID-технологии
4. RFID-технологии•Аппаратная разработка комплекта «антенна-
устройство», для съема идентификаторов RFID-меток у пользователей на значительном расстоянии – 1-2м.
•Задача▫расчет необходимой площади антенны для
дистанционного съема информации с карт,▫расчет излучаемой мощности,▫создание экспериментального стенда,▫проведение эксперимента и анализ
результатов.
4. RFID-технологии (*)•Анализ защищенности транспортных карт
типа «Тройка» и прочих.•Москва (тройка), Санкт-Петербург
(подорожник), Нижний Новгород (транспортная карта), Новосибирск (ЕТК) и пр.
•Задача▫анализ применяемых средств шифрования▫анализ возможности клонирования и
модификации данных на транспортных картах.
5. Радиоперехват•Перехват радиопереговоров экстренных
служб (МЧС, Полиция и пр.).•Расшифровка переговоров с помощью
сервисов типа Yandex Speechkit – преобразование голоса в текст.
•Анализ местоположения самолётов в комплексе с сервисом FlightRadar.
•Анализ иных частот специализированного диапазона.
•Европа - ASTRID TETRA Network (шаринг rtl-sdr устройств с европейскими коллегами)
5. Радиоперехват
5. РадиоперехватСборка из нескольких приёмо-передающих устройств
5. РадиоперехватПередвижной радио перехватчик
6. Исследование недокументированных возможностей
ОС Windows (*)•Анализ проверки достоверности цифрового
сертификата в ОС Windows.•Исследование механизма подмены
сертификата в подписанном файле в динамическом режиме.
•Почему цифровой сертификат скрывает вирусы?
•Какой приоритет отдается файлам, подписанным сертификатом от Microsoft?
6. Исследование недокументированных возможностей ОС Windows
•Изучение формата цифровой подписи
•Исследование проверки цифровой подписи в ОС Windows
•Разработка механизма подмены цифрового сертификата
•Исследование полученных результатов
6. Исследование недокументированных возможностей антивирусов
•Kaspersky:▫Система мониторинга содержимого страниц
с использованием JS-скриптов;▫Kaspersky Security Network – анализ
трафика, методы шифрования, ключи?▫Взаимодействие модулей антивируса между
собой – pipe/shared memory? Анализ исходных кодов от 2008 года.
7. Программно-аппаратные разработки
Чем занимаются в США?
7. Программно-аппаратные разработки
Чем занимаются в США?
7. Программно-аппаратные разработки
Чем занимаются в США?
7. Программно-аппаратные разработки
СВЧ-радиообмен• Минимальные
размеры• Скрытые
каналы передачи данных
7. Программно-аппаратные разработки
• Программно-аппаратные исследования.
• Организация передачи данных с помощью плат в СВЧ-диапазоне.
• Перспективы – передача HDMI-сигнала?
8. Криптовалюты• Реальная майнинг-
ферма!• Майнинг Ethereum –
«зефирок».• Майнинг
«альтернативных» криптовалют.
• Доступ к оборудованию.
• Аппаратные задачи.• Программные задачи.
8. Криптовалюты• Майнинг фермы:
▫ Майнинг Ethereum-а на высокопроизводительных картах.▫ Майнинг «альтернативных» крипто валют на
низкопроизводительных картах.▫ Solo майнинг▫ Использование stratum proxy▫ 1+ GHs▫ GPU:
AMD Radeon RX 470 карты AMD 7970 HD карты AMD Radeon R7 370 карты GeForce карты и еще зоопарк карт!
▫ Бескорпусные фермы▫ ПО: Ubuntu Linux (версии 15.02, 16.02) + ethminer-genoil▫ Локальный и удаленный доступ к аппаратуре
8. Криптовалюты• Программные задачи:
▫Повышение эффективности майнеров (ethminer, genoil) под определенные графические карты.
▫Автоматизация процесса и контроля майнинга.▫«Разгон» GPU-карт, экстремальные режимы.▫Перепрошивка GPU-карт, нахождение оптимальных
параметров работы.
• Аппартные задачи:▫Повышение «плотности» GPU-карт на одну
материнскую плату. Нестандартные проблемы и задачи. Прошивка материнских плат и GPU.
▫Повышение стабильности GPU-карт на высоких нагрузках.