Bypassing ISP and Enterprise Anti-DDoS with 90 s technology

Transkript

1 So you think IoT DDoS botnets are dangerous Bypassing ISP and Enterprise Anti-DDoS with 90 s technology Dennis Rand

2 Hvem er jeg? Dennis Rand stifter af ecrimelabs ApS, 100% ejet af mig med fokus på defensive løsninger herunder MISP hosting Bagrund: Arbejdet dedikeret I sikkerheds branchen siden 2003, men started I 90 erne Fokus på både offense og defense Har arbejdet I flere forskellige sikkerheds konsulent huse, ved en større ISP samt I den finansielle sektor.

3 Disclaimer Dette er IKKE en guide til at udfører DDoS angreb, eller på nogen måde en opfordring. Målsætningen er at give information omkring en angrebs teknik hvor der p.t. ikke er nogen teknisk løsning

4 Overview Hvorfor started jeg dette projekt Typiske Anti-DDoS løsninger i dag Taking down the world Max Pain Spørgsmål

5 Motivation and tanker Mens jeg arbejde I et SOC team ved en større ISP I Danmark hvor jeg blandt andet lavede DDoS mitigeringer undrede det mig hvor trivielle angreb der blev lavet og hvor simplet det var at mitigeringerer Det var I forbindelse med denne research jeg kom på Max Pain.

6 Initial ide og data indsamling I forbindelse med mit research har jeg fokuseret på UDP services Jeg started i begyndelse af 2016 og dækker I dag 20 services and 21 angrebs typer. Proof-of-Concept er fokuseret på UDP, MEN indholdet og problematikken (Max Pain) kan trivielt adopteres til at indeholde yderlige services samt botnets.

7 Booters og Stressers Booters or Stressers kan findes over alt på internettet, og de er effective men i dag er systemerne primært bygget ud fra DDoS Harder and not Smarter Selv disse services anvender Anti-DDoS løsninger som Cloudflare

8 Anti-DDoS infrastrukture implementation DDoS Scrubber ISP Legitim traffik Volumetrisk angreb Internet On-site scrubbers

9 UDP Protokoller Der har på verdensplan været gennemsnitlig potentielle sårbare services eksponeret over de sidste 8 måneder

10 UDP Protokoller Protokol navn Request byte size Average / Maximum Amplification factor Attacker controlled (amp factor) CHARGEN(UDP/19) 1 byte NO Average Numbers on internet DNS(UDP/53) 37 bytes YES SSDP/UPNP(UDP/1900) 94 bytes NO Portmap(UDP/111) 40 bytes NO SIP(UDP/5060) 128 bytes 3 19 NO TFTP(UDP/69) 10 bytes 3 99 YES NetBIOS(UDP/137) 50 bytes NO MSSQL(UDP/1434) 1 byte NO Steam(UDP/27015) 25 bytes NO NTP(UDP/123) - MONLIST 8 bytes YES NTP(UDP/123) - READVAR 12 bytes NO SNMP(UDP/161) 40 bytes NO Attack protocol Request byte size Average / Maximum Amplification factor Attacker controlled mdns(udp/5353) 46 bytes 5 44 NO 9580 QOTD(UDP/19) 2 bytes NO 4071 ICABrowser(UDP/1604) 42 bytes NO 2325 Sentinel(UDP/5093) 6 bytes NO 1569 RIPv1(UDP/520) 24 bytes NO 1364 Quake3(UDP/27960) 14 bytes NO 569 Numbers (May 2018) CoAP(UDP/5683) 21 bytes NO LDAP(UDP/389) 52 bytes NO Memcached(UDP/11211) 15 bytes YES Ovenstående er uden UDP header

11 June 2014 CoAP - The Constrained Application Protocol (CoAP) is a specialized web transfer protocol for use with constrained nodes and constrained networks in the Internet of Things. The protocol is designed for machine-to-machine (M2M) applications such as smart energy and building automation. Hvorfor er det at vi designer UDP protokoller i 2014 som vi ved kan give os udfordringer I fremtiden?

12 CoAP IoT protocol Attack protocol Request byte size Average / Maximum Amplification factor CoAP(UDP/5683) 21 bytes NO Attacker controlled Denne protokol er nye og er virkeligt begyndt at få fodfæste. Mellem November og December 2017 steg anvendelsen fra IP er til November 2018 er de globale tal omkring Dette er primært I Kina og relateret til en service udbudt af qlink.mobi Primært relateret til The world s first decentralized mobile network.

13 Globalt overblik Det globale overblik over potentielle sårbare UDP services

14 Nordisk indblik Et nordisk overblik hvor der findes I Danmark der potentielt kan misbruges til DDoS angreb.

15

16 MaxPain angrebs modelering Internet DDoS Scrubber ISP Typisk hvis det sårbare system er på indersiden af en ISP s netværk, er der IKKE brug for 1TBps+ traffik, angriberen har maksimalt brug for line hastigheden for målet On-premise scrubbers Legitim trafik Volumetrisk angreb

17 Foranalyse Hvis de kriminelle begynder at anvende big-data og simpelt foranalyse kan de opnå betydelig større effekt med mindre. Mere for mindre OSINT gathering IP s CIDR s ASN Traceroute Geo-location Peering partners Port scan (UDP services) Service scan (DNS, NTP, etc.)

18 De forskellige niveauer Stage 1 Indhentning Stage 2 Analyse Rescan Stage 5 Data søgning MaxPain Stage 3 Berig data Stage 4 Data opsamling

19 Stage 1 Data indhentning Internet wide skanninger af IPv4 adresse nettet er I dag trivielt, der er mange der allerede gør dette I dag og tilbyder disse informationer kvit og frit. Rapid7 Open data Censys.io Shodan (ikke gratis) Other none-disclosed sources Zmap - for specific services

20 Test for rate limiting kunne også indgå I analyse fasen. Stage 2 Data analyse Med viden om IP er med åbne porte, send en pakke og mål tid og response

21 Stage 3 Data berigelse - Lav et unikt fingerprint - Anvend dette i doc_id Berigelse - Lande kode(e.g. DK) - AS navn - AS Numre - Fjern alt der amplifier mindre end en faktor 2

22 Stage 4 Data opsamling Amplification faktor Sendt Bytes Modtaget bytes Tid I milisekunder Protokol Beskrivelse Landekode (DK) Lande navn Dst IP Dst Port Dst ASN Dst ASN nummer

23 Stage 5 Formular (Protokol effektivitet) PEF = (Sent bytes + uh) x Gbit bytes (Average Recieved bytes+uh) uh = UDP header 47 bytes Målet fra en angribers perspektiv er at anvende mindst muligt indsat, men opnå maksimal effekt Protocol effectiveness (PEF) Spoofed traffic required SIP OPTIONS Request mdns - List all currently registered services TFTP - RRQ RIP - RIPv1 request Memcached STATS request NTP - readvar SSDP - M-SEARCH * HTTP/1.1 LDAP objectclass=* with 0 attributes QOTD - Single carriage return/newline NTP - monlist Chargen - Single byte 0 10,000,000 20,000,000 30,000,000 40,000,000 50,000,000

24 Stage 5 Data søgnig Det er her det hele bindes sammen, for hvor tæt kan du komme på dit mål Tier 6 Tier 5 Tier 4 Tier 3 Tier 2 Tier 1

25 De forskellige niveauer Stage 1 Indhentning Stage 2 Analyse Rescan Stage 5 Data søgning MaxPain Stage 3 Berig data Stage 4 Data opsamling

26 DISCLAIMER NO animals, people, websites or networks were harmed in the making of this demonstration all the information gathered is based on OSINT information and 3 years of scanning the internet.

27 DEMONS TRATION

28 Max Pain Proof-of-Concept Max Pain sciptet laver et udtræk af potentielle sårbare IP er der kan anvendes til et DDoS angreb

29 Max Pain I dette scenarie anvendes KUN kendte UDP services IKKE Botnets, eller andre services opstillet af de kriminelle. Lej enheder til e.g. DDoS

30 Stage 6 Som ringe I vandet Eksempel

31 Max Pain - Eksekvering max_pain.pl --cidr 26 days 14 \ --amp 4 --sec 25 --tier_min 1 \ --tier_max 5 --target

32 Estimeret størrelse: 0 Mbit/s Stage 6 MaxPain - Tier 1 + Tier 2 universe.ida.dk resolves til I forhold til Tier 1 søgning kigger vi efter alt inden for /26 Grundet oprindelige IP var inden for en /26 vil Tier 2 søgning også være /26 Samme resultat som Tier 1

33 Estimeret størrelse: Mbit/s Stage 6 Data Search - Tier 3 Tier 3 er ASN Attack Pattern(s) ssdp - M-SEARCH * HTTP/1.1 (48) - ntp - readvar (1892) - ntp - monlist (4) - STEAM A2S_INFO request (2) - netbios - Name query NBSTAT * (92) - snmp - v2c public - getbulkrequest (114) - sentinel license (3) - MSSQL CLNT_BCAST_EX message (41) - chargen - Single byte (2) - SIP OPTIONS Request (43) - dns - Standard query ANY (75) - portmap - V2 DUMP Call (88) - LDAP objectclass=* with 0 attributes (12) - tftp - RRQ (11) - mdns - List all currently registered services (35) - qotd - Single carriage return/newline (48)

34 Estimeret størrelse: 1.37 Gbit/s Stage 6 Data Search - Tier 4 Upstream Peering partners for AS31027 about 5 AS2914, AS3356, AS1299 Attack Pattern(s) chargen - Single byte (7) - ntp - readvar (4698) - ssdp - M-SEARCH * HTTP/1.1 (90) - MEMCACHED STATS request (20) - ntp - monlist (42) - LDAP objectclass=* with 0 attributes (16) - rip - RIPv1 request (22) - sentinel license (1) - SIP OPTIONS Request (74) - qotd - Single carriage return/newline (20) - STEAM A2S_INFO request (43) - tftp - RRQ (53) - CoAP Resource Discovery - /.well-known/core (1) - MSSQL CLNT_BCAST_EX message (79) - portmap - V2 DUMP Call (940) - dns - Standard query ANY (558) - mdns - List all currently registered services (32) - QUAKE3 getstatus (2) - Citrix Requesting Published Applications list (3) - snmp - v2c public - getbulkrequest (1214) - netbios - Name query NBSTAT (56)

35 Estimeret størrelse: 7.09 Gbit/s Stage 6 Data Search - Tier 5 I en Tier 5 søges der I hele DK untaget de tidligere hosts Attack Pattern(s) sentinel license (3) - STEAM A2S_INFO request(57) - tftp - RRQ (5804) - mdns - List all currently registered services (688) - ssdp - M-SEARCH * HTTP/1.1 (3294) - rip - RIPv1 request (6) - LDAP objectclass=* with 0 attributes (55) - CoAP Resource Discovery - /.well-known/core (6) - portmap - V2 DUMP Call (2467) - ntp - readvar (18100) - SIP OPTIONS Request (10015) - chargen - Single byte (20) - dns - Standard query ANY (636) - MSSQL CLNT_BCAST_EX message (171) - qotd - Single carriage return/newline (56) - snmp - v2c public - getbulkrequest (2050) - Citrix Requesting Published Applications list (43) - ntp - monlist (81) - QUAKE3 getstatus (1) - netbios - Name query NBSTAT * (2012)

36 Hvad kan vi gøre eller er vi Der eksisterer ikke nogen teknisk løsning Digital hygiene Stil krav til din ISP/Hosting leverandør, Udbyde service der lister IP/CIDR/ASN med sårbare services som kan anvendes til at blokerer ud fra Spamhaus style ( BCP38 Antispoofing, Dette afhjælper dog ikke imod botnets

37 Tak for jeres tid Spørgsmål