Detekcia antivírusových aplikácií na zariadeniach v počítačovej sieti

Masarykova univerzita Fakulta informatiky Detekcia antivírusových aplikácií na zariadeniach v počítačovej sieti Bakalárska práca Dušan Janík Brno, jar 2017

Masarykova univerzita Fakulta informatiky Detekcia antivírusových aplikácií na zariadeniach v počítačovej sieti Bakalárska práca Dušan Janík Brno, jar 2017

Na tomto mieste sa v tlačenej práci nachádza oficiálne podpísané zadanie práce a prehlásenie autora školského diela.

Prehlásenie Prehlasujem, že táto bakalárska práca je mojím pôvodným autorským dielom, ktoré som vypracoval samostatne. Všetky zdroje, pramene a literatúru, ktoré som pri vypracovaní používal alebo z nich čerpal, v práci riadne citujem s uvedením úplného odkazu na príslušný zdroj. Dušan Janík Vedúci práce: doc. Ing. Pavel Čeleda, Ph.D. i

Poďakovanie Chcel by som sa poďakovať doc. Ing. Pavlovi Čeledovi, Ph.D., Mgr. Martinovi Laštovičkovi za rady pri vypracovávaní a taktiež mojej rodine za podporu. iii

Zhrnutie Práca sa zaoberá analýzou dátových tokov z počítačovej siete za účelom získania informácií o použitých antivírusových aplikáciách na zariadeniach zapojených v tejto sieti. Cieľom tejto bakalárskej práce je detegovať antivírusové programy na zariadeniach zapojených v počítačovej sieti. Analýzou sieťových tokov som zistil aktivitu antivírusových programov, napríklad sťahovanie aktualizácií, alebo komunikáciu s cloudovými službami. Z výsledkov analýzy som vytvoril algoritmus, ktorý je použitý v aplikácii na detegovanie antivírusových programov. iv

Kľúčové slová Antivírusové aplikácie, pakety, sieťové toky, Flowmon, kolektor, bezpečnosť počítačovej siete v

Obsah 1 Úvod 1 2 Antivírusové aplikácie 3 2.1 Technológie antivírusových aplikácií............. 3 2.2 Komunikácia antivírusových aplikácií so servermi...... 5 2.3 Výber konkrétnych antivírusových aplikácií......... 6 3 Analýza počítačovej siete 9 3.1 Programy k analýze...................... 10 3.2 Priebeh analýzy........................ 10 4 Analýza antivírusových aplikácií 15 4.1 Eset Smart Security Premium................ 15 4.2 Avast Free Antivirus..................... 18 4.3 AVG Antivirus FREE.................... 20 4.4 Windows Defender...................... 21 4.5 Kaspersky Internet Security................. 22 5 Vývoj algoritmu a výslednej aplikácie 25 5.1 Flowmon kolektor....................... 25 5.2 Dátové pakety a toky..................... 26 5.3 Algoritmus na detekciu.................... 26 5.4 Aplikácia........................... 28 6 Nasadenie aplikácie do reálnej prevádzky 31 7 Záver 37 Bibliografia 39 A Obsah elektronickej prílohy 41 vii

1 Úvod Základom bezpečnej počítačovej siete sú chránené počítače. Antivírusové aplikácie, ktorých úlohou je zachytávať škodlivé programy a zabraňovať ich ďalšiemu šíreniu, poskytujú základnú ochranu pre počítače v sieti. V dnešnej dobe existuje množstvo škodlivého softvéru, ktorého úlohou je získavať informácie o užívateľoch internetu, vyhrážať sa im vymazaním disku, ak nezaplatia určitú sumu, alebo sa rozmnožovať po sieti a zisťovať rôzne slabé miesta zabezpečenia počítačov a serverov. Z tohto dôvodu je potrebné svoje zariadenia chrániť. Základnou ochranou každého zariadenia by mal byť antivírusový softvér, ktorý musí byť aktuálny. Väčšina antivírusov dnes využíva cloudové služby, na ktoré výrobcovia nahrávajú najnovšie informácie o vírusoch a iných hrozbách, čo znamená, že antivírusy s týmito službami často komunikujú a aktualizujú svoje databázy niekoľkokrát za deň [1]. Vďaka tomu sú vždy pripravené odhaľovať a zneškodňovať najnovšie hrozby, ktoré sa na internete vyskytujú. Fakulta informatiky Masarykovej univerzity má na svojej stránke zverejnené odporúčanie, aby užívatelia fakultnej siete používali dodatočný ochranný softvér. Ten zabráni napadnutiu ich počítača vírusmi alebo podobnými škodcami, ktorí môžu bez ich vedomia zneužívať sieť ku šíreniu spamu alebo ku vedeniu hackerských útokov. V prípade, že počítač bude vykazovať nežiadúcu sieťovú aktivitu, bude odpojený a nebude možné sa z tohto zariadenia pripojiť na sieť po dobu minimálne jedného týždňa [2]. Zaujímavou výzkumnou témou je zisťovanie prítomnosti antivírusových programov na zariadeniach v sieti. V tejto práci skúmam prítomnosť antivírusových aplikácií na zariadeniach v sieti, aby bolo možné získať štatistiku používania antivírusov, pretože aj malé percento nezabezpečených počítačov môže spôsobiť veľké škody. Dnes existujú mnohé antivírusové programy, ktoré poskytujú bezplatné verzie, ako napríklad Avast, a teda stiahnuť a nainštalovať si ich môže ktokoľvek na ľubovoľné zariadenie. Prejavovanie antivírusov na sieti zisťujem vo virtuálnom počítači pomocou programu Wireshark [3], ktorý poskytuje užívateľské grafické rozhranie a výsledky mojej práce zahŕňajú filtre pre program 1

1. Úvod tshark, čo je verzia pre príkazový riadok. Tieto filtre dokážu spoľahlivo odfiltrovať komunikáciu počítača s rôznymi doménami, ktoré slúžia napríklad na aktualizáciu antivírusových aplikácií a sú súčasťou výslednej aplikácie. V mojej práci sa zameriavam na jedny z mnohých antivírusových aplikácií pre systém Windows 10, konkrétne Eset, Avast, AVG, Windows Defender a Kaspersky. Cieľom práce je zistiť ich prejavovanie sa na sieti a následne vytvoriť algoritmus, ktorý dokáže spoľahlivo určiť, či sa na konkrétnom zariadení nachádza niektorý z týchto antivírusov. Algoritmus vychádzal z analýzy dátových paketov, no pre potreby testovania na kolektore firmy Flowmon [4] bol prepísaný na analýzu dátových tokov. Tento algoritmus je použitý v jednoduchej aplikácii, ktorej výstupom je zoznam IP (Internet Protocol) adries, ktoré používajú jednotlivé antivírusové aplikácie. Táto aplikácia využíva rozhranie kolektoru od spoločnosti Flowmon, ktorý je integrovaný do počítačovej siete Masarykovej univerzity. 2

2 Antivírusové aplikácie Prvý program, ktorý sa sám rozširoval v sieti ARPANET, napísal Bob Thomas už v roku 1971 a jeho názov bol Creeper. Jeho úlohou bolo rozmnožovať sa na počítačoch zapojených v sieti a zobrazovať užívateľom správu I m the creeper: catch me if you can. Tento program však na rozdiel od dnešných vírusov nebol škodlivý, keďže jeho jediná úloha bola rozšíriť sa a vypísať užívateľom túto správu [5]. Dnešné vírusy sú však nebezpečné a do počítača sa môžu dostať rôznymi spôsobmi. Napríklad ako príloha v maily či súbor, ktorý užívateľ stiahne z internetu, alebo cez flash disk, na ktorom je infikovaný súbor z iného počítača. Antivírusové aplikácie sú v dnešnej dobe dôležitou súčasťou softvéru počítača. Existuje veľké množstvo rôzneho škodlivého softvéru, ktorý dokáže zničiť dáta, zdieľať ich bez vedomia užívateľa alebo za nich žiadať výkupné. Aj najobozretnejšiemu užívateľovi sa môže takýto vírus dostať do počítača, napríklad cez rôzne bezpečnostné diery webových prehliadačov alebo samotných operačných systémov. 2.1 Technológie antivírusových aplikácií Antivírusové aplikácie používajú množstvo technológií na zisťovanie a znefunkčnenie hrozby. Jedny zo základných technológií sú: real-time skenovanie, heuristika, skenovanie počítača, vírusová databáza, cloudové služby. Antivírusové aplikácie sa v prvom rade snažia zabrániť napadnutiu počítača. Technológia real-time skenovanie jemne spomaľuje sťahovanie a otváranie súborov, no na druhej strane kontroluje tieto súbory ešte predtým, než môžu byť v počítači spustené a teda dokáže zabrániť napadnutiu. Deje sa to najmä pri otváraní spustiteľných súborov. Antivírus ako prvé prejde databázu známeho škodlivého softvéru a v prípade zhody s práve otváraným súborom ho umiestni do karantény a upozorní užívateľa o tom, že tento súbor je zrejme infikovaný. 3

2. Antivírusové aplikácie V prípade, že sa nenašla žiadna zhoda, môže byť súbor uložený na zoznam bezpečného softvéru a tým sa zrýchli jeho budúce otváranie. Ďalšou technológiou je heuristika. Antivírusové aplikácie sledujú spustené programy a zisťujú, aké činnosti vykonávajú. Tieto činnosti analyzujú a zisťujú, či takúto alebo podobnú činnosť nevykonávajú aj známe škodlivé programy. Ak sa zistí zhoda, alebo sú tieto činnosti nejakým spôsobom podozrivé, je súbor uložený do karantény a môže byť poslaný výrobcovi antivírusu na dôkladnú analýzu. Heuristika tak môže odhaliť aj nové hrozby bez toho, aby už boli zaevidované v databáze. No môže sa aj stať, že pri prísnejšom nastavení heuristiky bude antivírusový program označovať za nebezpečné aj legitímne programy, ktorých činnosť sa len podobá činnosti niektorých vírusov. Takýto prípad sa nazýva falošne pozitívny. Preto musí byť heuristika správne nastavená, aby nenastal prípad ako v roku 2010, keď AVG antivírus identifikoval súčasti 64-bitovej verzie Windows 7 ako nebezpečné a poškodil tento operačný systém, ktorý musel byť opravený preinštalovaním alebo spustením predchádzajúcej verzie [6]. Skenovanie počítača je technológia, ktorá kontroluje celý počítač na prítomnosť škodlivých programov. Teoreticky je pri zapnutom real-time skenovaní táto funkcia nepotrebná, keďže do počítača by sa vírus dostať nemal. No sú prípady, kedy je táto funkcia užitočná. Napríklad pri nainštalovaní antivírusového softvéru, kedy nie je zaručené, že počítač nie je infikovaný. Preto je zvykom pri nainštalovaní spustiť test celého počítača. Mnohí výrobcovia majú množstvo predvolených nastavení, medzi ktoré patrí aj celkové skenovanie počítača v určitom časovom intervale. To zaručuje, že počítač je skontrolovaný vždy s najnovšou vírusovou databázou. Je teda možné, že sa objaví vírus, ktorý predtým nebol zachytený real-time skenovaním, pretože ešte nebol známy. Ďalšia potrebná súčasť antivírusových aplikácií je vírusová databáza. Táto databáza slúži na porovnávanie skenovaných súborov so vzorkami v nej, čo zaisťuje presnú identifikáciu škodlivých programov. Dôležité je, aby bola táto databáza vždy aktuálna. To zabezpečujú aktualizácie, ktorých časové rozpätie si určuje každý výrobca sám, no väčšinou je to aspoň jeden krát za deň, prípadne ich užívateľ spustí sám pri manuálnej aktualizácii. Aktualizácia tejto vírusovej databázy väčšinou prebieha tak, že sa stiahne kompletne nová databáza, aby sa predišlo nekonzistencii. 4

2. Antivírusové aplikácie Niekoľkokrát za deň sa taktiež môže aktualizovať aj celkový antivírusový program, čo zahŕňa záplaty na novo zistené chyby programu, ako aj nové technológie alebo služby. Na správne a spoľahlivé fungovanie antivírusových aplikácií je potrebné mať vždy nainštalovanú najnovšiu verziu programu aj vírusovej databázy, pretože tie vždy obsahujú opravené chyby aplikácie, ktoré môžu využívať útočníci, a najnovšie informácie o hrozbách, ktoré sa môžu pokúšať napadnúť počítač. Keďže dnešná doba je veľmi rýchla a nové vírusy sa môžu objaviť aj niekoľkokrát za deň, bolo potrebné, aby sa tomu výrobcovia antivírusových aplikácií prispôsobili. Tak začali vznikať rôzne cloudové služby, vďaka ktorým môžu výrobcovia aktualizovať vírusové databázy aj niekoľkokrát za hodinu, pričom sa nesťahuje kompletne celá databáza, ale iba tá časť, ktorá do nej pribudla. To zabezpečuje rýchlu a dátovo nenáročnú aktualizáciu, vďaka ktorej sú zariadenia užívateľov neustále pripravené čeliť najnovším hrozbám. 2.2 Komunikácia antivírusových aplikácií so servermi Väčšina programov dnes ku svojej úplnej funkčnosti potrebuje internetové pripojenie. Potrebujú ho na pravidelnú synchronizáciu, aktualizáciu, či inú komunikáciu so servermi alebo inými aplikáciami. Antivírusové programy nie sú výnimkou. Na čo najlepšiu ochranu počítačov a iných zariadení potrebujú byť takmer neustále v spojení so servermi, na ktorých sú uložené rôzne databázy alebo služby, vďaka ktorým sú aplikácie u užívateľa menej náročné na operačnú pamäť a miesto na disku. Pri zapnutých cloudových službách komunikujú so svojimi servermi každých niekoľko minút. Okrem týchto cloudových služieb komunikujú aj s veľkým množstvom iných serverov, avšak mnohé spoločnosti nezverejňujú ich zoznam. Jednou zo spoločností, ktorá má takýto zoznam domén zverejnený, je spoločnosť Eset, ktorá má pri doménach uvedenú aj službu, ktorú poskytujú. Produkty spoločnosti Eset komunikujú so zdrojmi na internete cez štandardný HTTP (Hypertext Transfer Protocol) protokol na porte 80 alebo cez HTTPS (Hypertext Transfer Protocol Secure) protokol na porte 443. Pre fungovanie rôznych služieb je tiež potrebné komunikovať s lokálnym DNS (Domain Name System) serverom na zasielanie 5

2. Antivírusové aplikácie DNS požiadaviek cez UDP (User Datagram Protocol) protokol na porte číslo 53. Eset používa množstvo služieb, ktoré majú vyhradené svoje vlastné domény. Všetky názvy domén a ich IP adresy sú zverejnené na stránke http://support.eset.com/kb332/. Služby uvedené v tejto dokumentácii sú: sťahovanie aktualizácií, aktivácia produktu, overenie platnosti licencie, Eset Live Grid, anonymizované štatistiky, rodičovská kontrola, správa hesiel, antispam v Eset Mail Security, GUI - na zaistenie správneho fungovania odkazov a presmerovaní z grafického užívateľského rozhrania, mobilná bezpečnosť, Eset dátová štruktúra, repozitár (Eset Vzdialený Správca 6), podporné služby, online nápoveda, Eset poskytovateľ spravovaných služieb. Takmer všetky tieto služby sú obsiahnuté na viacerých doménach. Napríklad sťahovanie aktualizácií je k dispozícii na sedemnástich doménach s rôznymi IP adresami. Všetky tieto IP adresy majú rôzne geografické rozloženie. Väčšina je v Slovenskej republike, ďalej v Spojených štátoch amerických, Ruskej federácii, Čínskej ľudovej republike a Juhoafrickej republike [7]. Bohužiaľ nie všetky spoločnosti majú zverejnené používané domény a tak sa dá len predpokladať, že aj ostatné spoločnosti vyvíjajúce antivírusové aplikácie majú podobne fungujúcu infraštruktúru domén a podobné geografické rozmiestnenie serverov. 2.3 Výber konkrétnych antivírusových aplikácií Na analýzu som si vybral 5 antivírusových aplikácií od známych spoločností vyvíjajúcich tento softvér. Rozhodol som sa pre spoločnosť 6

2. Antivírusové aplikácie Eset a jej produkt Eset Smart Security Premium, spoločnosť Avast Software a jej Avast Free Antivirus, produkt AVG Antivirus FREE od spoločnosti AVG Technologies, program Windows Defender od Microsoftu a Kaspersky Internet Security od spoločnosti Kaspersky Lab. Spoločnosť Eset som si vybral z dôvodu, že je to slovenská firma a Avast kvôli tomu, že je to česká firma s dlhoročnou praxou a naviac poskytuje antivírusový softvér zadarmo. Spoločnosť AVG, ktorá bola v roku 2016 odkúpená spoločnosťou Avast, taktiež poskytuje bezplatnú verziu antivírusového programu. Windows Defender je súčasťou operačného systému Windows a je zadarmo, preto som si na analýzu vybral aj tento program. Spoločnosť Kaspersky Lab vyhrala v roku 2016 väčšinu testov v oblasti bezpečnosti vedených nezávislým IT-bezpečnostným inštitútom AV-Test [8] a tak sa stala mojou ďalšou voľbou. Aplikácie Eset Smart Security Premium a Kaspersky Internet Security ponúkajú zadarmo skúšobnú verziu na dobu jedného mesiaca, po ktorom prestanú byť funkčné. Avast Free Antivirus s AVG Antivirus FREE sú voľne dostupné aplikácie, ktoré môžu byť kedykoľvek povýšené na platené verzie, ktoré poskytujú viac funkcií. Windows Defender som nemusel sťahovať, keďže bol súčasťou nainštalovaného Windowsu. Ostatné aplikácie som stiahol z oficiálnych stránok ich výrobcov a pracoval som s nasledujúcimi verziami: Eset Smart Security Premium 10.0.390.0, Avast Free Antivirus 17.2.2288 (build 17.2.3419.0), AVG Antivirus FREE 17.4.3014 Windows Defender 4.10.14393.1198 Kaspersky Internet Security 17.0.0.611. 7

3 Analýza počítačovej siete Na monitorovanie počítačovej siete sa využíva technika pasívneho pozorovania. Funguje tak, že niekde na sieti, najlepšie na vstupnom bode, je umiestnená sonda, ktorá dokáže pozorovať všetky pakety smerujúce do a zo siete. Tieto pozorované pakety sa môžu aj analyzovať a tým sa môže zabrániť napadnutiu siete. Jednou z techník analýzy počítačovej siete sú odtlačky prstov. V štúdii Fingerprinting Techniques for Target-oriented Investigations in Network Forensics [9] je technika odtlačkov prstov v sieťovej sfére definovaná nasledovne: Technika odtlačkov prstov (fingerprinting techniques) dovoľuje identifikáciu entít založenú na charakteristických črtách. V porovnaní s explicitnými (jasne vyjadrenými) identifikátormi, ako napríklad sériové číslo, odtlačok typicky zachytáva implicitné (skryté) vlastnosti. Typicky sa technika odtlačkov skladá z dvoch fáz. V prvej fáze, nazývanej aj tréningová fáza (training stage), sa zaznamenajú odtlačky pozorovanej množiny entít a uložia sa do databázy aj s identitami daných entít. V druhej, identifikačnej fáze (identification stage), sú pozorované entity, ktorých identita je neznáma. Následne sú identity neznámych entít odvodené porovnávaním s odtlačkami všetkých známych entít. Pri analýze počítačovej siete som vykonal prvú fázu tejto techniky, ktorá v mojom prípade pozostávala z dvoch operácií. V prvej som zaznamenával dátové pakety, ktoré generoval počítač so všetkými aplikáciami a až následne som mohol skúmať pakety, ktoré generovali samotné antivírusové aplikácie. Táto časť analýzy bola náročná na čas, keďže bolo potrebné zaznamenať pakety za dlhší časový rámec, aby sa dostatočne prejavili všetky aspekty komunikácie antivírusov s ich servermi. Na následnú analýzu týchto paketov a ich priradenie ku konkrétnym aplikáciám som využil znalosti, ktoré budú spomenuté v ďalších častiach tejto kapitoly. V druhej fáze tejto techniky som využil získané poznatky o prejavoch antivírusov v sieti pri vytvorení algoritmov, ktoré sú súčasťou 9

3. Analýza počítačovej siete výslednej aplikácie. Táto aplikácia po spustení identifikuje jednotlivé antivírusy na zariadeniach zapojených v sieti Masarykovej univerzity. 3.1 Programy k analýze Operačné systémy a ich súčasti generujú množstvo paketov, ktoré by bolo potrebné prechádzať a filtrovať. Preto som sa rozhodol nainštalovať si na svoj počítač program Virtualbox [10], ktorý umožňuje inštaláciu hosťovského operačného systému do virtuálneho počítača. Ako hosťovský operačný systém som si zvolil Windows 10 Education vo verzii 1607. Všetky aplikácie, ktoré bolo možné odinštalovať, som odinštaloval za účelom nevytvárania zbytočných dátových paketov. Následne som do tohto virtuálneho počítača nainštaloval program Wireshark [3], ktorý vie zachytávať všetky dátové pakety smerujúce z a do počítača, na ktorom je nainštalovaný. Tento program poskytuje prehľadné grafické užívateľské rozhranie, kde zobrazuje základné informácie o paketoch, ktoré vypisuje v reálnom čase na obrazovku. V hornej časti okna programu je priestor pre zadávanie filtrov na filtrovanie požadovaných vlastností paketov. Výsledné filtrovanie prevádzam v programe tshark, čo je verzia programu Wireshark pre príkazový riadok. Tento program som si vybral preto, lebo je jednoducho možné zmeniť formát jeho výstupu. Ďalej v práci uvádzam použité príkazy s filtrami a následne výstupy programu tshark, ktoré dokazujú prítomnosť antivírusových aplikácií na sieti. Po nainštalovaní vyššie spomínaných programov som na virtuálny počítač po jednom nainštaloval jednotlivé antivírusové aplikácie, ktorých aktivitu som sledoval. Na obrázku 3.1 je uvedená štruktúra zapojenia antivírusov do siete a miesto zachytávania paketov. 3.2 Priebeh analýzy Počas inštalácie antivírusových aplikácií som sa musel rozhodnúť a zaškrtnúť, či chcem využívať cloudové služby ponúkané výrobcom. Pri každej aplikácii sa tieto služby nazývajú inak, no ich fungovanie je podobné a bude opísané neskôr. Vždy som sa rozhodol pre využívanie týchto služieb. Po nainštalovaní antivírusovej aplikácie som nechal prebehnúť inicializačný sken počítača na prítomnosť vírusov. 10

3. Analýza počítačovej siete Obrázok 3.1: Schéma analýzy dátovej komunikácie antivírusových aplikácií Po nainštalovaní som všetky nastavenia antivírusovej aplikácie nechal v pôvodnom, továrenskom nastavení. Následne som tento virtuálny počítač reštartoval a nechal som ho bežať niekoľko minút. Bolo to potrebné z dôvodu, že pri zapnutí počítača vykazoval sieťovú aktivitu samotný operačný systém a tiež sa aktualizovalo veľké množstvo aplikácií a služieb, ktoré sa z počítača nedali jednoducho odstrániť. Po niekoľkých minútach som spustil program Wireshark, ktorý začal zachytávať všetky prichádzajúce a odchádzajúce pakety. Pakety som zaznamenával pri nečinnosti užívateľa, aby sa antivírus prejavoval len v najnutnejšej miere, keďže detekcia založená na takejto analýze odhalí aplikácie na každom zariadení zapojenom v sieti, nie iba na takom, kde užívateľ aktívne surfuje po webe a priamo vystavuje zariadenie riziku. Po niekoľkých hodinách som zaznamenávanie sieťovej aktivity vypol a uložil som získané dáta. Tieto dáta som filtroval podľa troch protokolov: DNS, HTTP, HTTPS. 11

3. Analýza počítačovej siete Z paketov používajúcich protokol DNS je možné zistiť názvy domén, na ktorých IP adresu sa pýtal počítač DNS servera, ktorý bol v mojom prípade umiestnený na IP adrese 192.168.1.1. IP adresa môjho virtuálneho počítača bola 10.0.2.15. Zisťovanie informácií o aplikáciách komunikujúcich s rôznymi servermi pomocou protokolu DNS bolo použité v štúdii Fingerprinting Techniques for Target-oriented Investigations in Network Forensics [9]. V mojom prípade sa zameriavam na pole name (názov) v časti query (otázka) protokolu DNS. Toto pole väčšinou obsahovalo časť názvu aplikácie alebo časť názvu spoločnosti vyvíjajúcej túto aplikáciu. Je to tak z toho dôvodu, že domény, na ktoré sa počítač pýtal, väčšinou obsahovali tento názov. V prípade aplikácie Eset Smart Security Premium som mohol filtrovať pakety aj podľa iných názvov, ktoré boli uvedené na oficiálnych stránkach spoločnosti. Protokol HTTP sa používa na riadenie komunikácie medzi serverom a klientom. Pri paketoch využívajúcich tento protokol je možné zistiť aplikáciu, ktorá komunikáciu prevádzala, pomocou poľa useragent. Na zistenie domény, ktorej komunikáciu s aplikáciou spravoval tento protokol, používam filtrovanie pomocou poľa host, v ktorom je uvedený názov tejto domény. Ďalšou možnosťou ako zistiť, že počítač komunikuje s doménami, je pomocou poľa SNI (Server Name Indication) [11], ktoré sa používa pri TLS (Transport Layer Security) protokole, čo je nástupca kryptografického protokolu SSL (Secure Sockets Layer). TLS beží vo vrstve pod protokolom HTTP, čím vytvára HTTPS (Hypertext Transfer Protocol Secure) protokol. Pole SNI sa využíva pri počiatočnom nastavení komunikácie so serverom, presnejšie pri TLS Handshake. TLS Handshake zahŕňa 3 základné fázy: dohoda účastníkov na podporovaných algoritmoch, výmena kľúčov založená na šifrovaní verejnými kľúčmi účastníkov a autentizácii pomocou certifikátov, šifrovanie komunikácie symetrickou šifrou. Počas nasledujúcej komunikácie klienta a servera sú správy zašifrovávané pomocou tajného symetrického kľúča, ktorý bol vypočítaný na základe vymenených informácií. Pole SNI vzniklo v dobe, keď sa začali vyskytovať rôzne virtuálne servery na jednej IP adrese z dôvodu šetrenia IPv4 adries. Predtým nebolo možné nadviazať šifrovanú komunikáciu s presným serverom, 12

3. Analýza počítačovej siete pretože sa nedalo v šifrovanej správe uviezť, s ktorým serverom chce klient komunikovať a často mu odpovedal iný server na danej IP adrese. Pole SNI sa nachádza v prvej správe od klienta, teda Client Hello, a určuje, s ktorým serverom chce klient komunikovať [12]. Program Wireshark ukazuje tieto pakety ako pakety využívajúce protokol TLS1.2, no filtrovať tieto pakety je možné len cez skratku ssl, konkrétne ssl.handshake.extension_server_name. Pole extension_server_name obsahuje požadovaný údaj SNI. 13

4 Analýza antivírusových aplikácií V tejto kapitole uvediem vlastnosti dátovej komunikácie, vďaka ktorým je možné identifikovať jednotlivé antivírusové aplikácie a tiež predstavím cloudové služby týchto aplikácií. Uvediem príkazy pre program tshark, ktoré vyfiltrujú požadované dátové pakety, a následne tabuľky s výpismi týchto paketov. 4.1 Eset Smart Security Premium Pri filtrovaní komunikácie medzi aplikáciou Eset Smart Security Premium a servermi spoločnosti Eset bola veľmi nápomocná dokumentácia [7]. Vďaka tomu bolo jednoduché sústrediť sa na filtrovanie domén, s ktorými by aplikácia mala komunikovať. Zistil som, že najčastejšie, približne každých 300 sekúnd podľa aktuálneho zaťaženia siete, sa počítač pýtal DNS servera na IP adresu rôznych domén, ktorých názov končil na e5.sk. $ tshark i Ethernet Y dns. qry. name contains e5. sk Príkaz 4.1: tshark filter pre protokol DNS a aplikáciu Eset Čas Protokol Info 13.6 DNS Standard query 0xffff TXT 5evopcv2jugebc6v7dgyuoxeaybqeaqbaeaq.a.e.e5.sk 316.7 DNS Standard query 0xfffe TXT 5evopcv2jugebc6v7dgyuoxeaybqeaqbaeaq.a.e.e5.sk 616.8 DNS Standard query 0xfffd TXT 5evopcv2jugebc6v7dgyuoxeaybqeaqbaeaq.a.e.e5.sk 916.9 DNS Standard query 0xfffc TXT 5evopcv2jugebc6v7dgyuoxeaybqeaqbaeaq.a.e.e5.sk 1217.0 DNS Standard query 0xfffb TXT 5evopcv2jugebc6v7dgyuoxeaybqeaqbaeaq.a.e.e5.sk Tabuľka 4.1: Výstup programu tshark, dáta Eset, dns.qry.name V tabuľke je možné v poli Info vidieť, že ide o štandardnú požiadavku na vyhľadávanie. Ďalej je uvedené jej ID, typ TXT a názov 15

4. Analýza antivírusových aplikácií opytovanej domény, ktorá sa skladá z niečoho ako licenčný kľúč antivírusového programu, keďže sa to pri rôznych programoch líši, a z názvu domény a.e.e5.sk. Počítač sa tiež pýtal DNS servera na IP adresy domén, ktoré používa cloudový systém Eset Live Grid. V tomto prípade to boli domény i1.c.eset.com a i4.c.eset.com. Cloudový systém Eset Live Grid sa využíva na skoré zisťovanie hrozieb pomocou štatistických dát a na analýzu podozrivých vzoriek od roku 2005. Je založený na zbieraní dát od užívateľov antivírusového programu a ich analýze. Zozbierané dáta analyzujú špecialisti v Eset Virus Lab, ktorí následne vydávajú aktualizácie databáz, čo znamená, že ich vírusová databáza obsahuje aj vzorky najnovších vírusov. Eset Live Grid využíva reputačný systém, ktorý významne urýchľuje prehľadávanie súborov za účelom vyhľadávania vírusov. Ak sa nájde spustiteľný súbor alebo archív, program vytvorí hashtag tohoto súboru, ktorý porovnáva s bielou a čiernou databázou hashtagov. Biela databáza označuje programy, ktoré sú overené a bezpečné a čierna databáza tie, ktoré sú potenciálne nebezpečné. Podľa stupňa hrozby sa so súbormi z čierneho zoznamu vykonajú akcie na ich zneškodnenie. Ak sa nepodarí nájsť žiadnu zhodu, program prevedie dôkladnú analýzu súboru a podľa výsledku jeho hashtag zaradí na biely alebo čierny zoznam aplikácií a vykoná akcie s tým súvisiace [13]. $ tshark i Ethernet Y dns. qry. name == i 1. c. e s e t. com or dns. qry. name == i 3. c. e s e t. com or dns. qry. name == i 4. c. e s e t. com Príkaz 4.2: tshark filter pre protokol DNS a aplikáciu Eset Čas Protokol Info 118.4 DNS Standard query 0x3dec A i1.c.eset.com 600.3 DNS Standard query 0xd6fc A i1.c.eset.com 1022.6 DNS Standard query 0xe6db A i4.c.eset.com 2223.0 DNS Standard query 0x5b9d A i4.c.eset.com 3415.7 DNS Standard query 0x1654 A i4.c.eset.com Tabuľka 4.2: Výstup programu tshark, dáta Eset, Eset Live Grid 16

4. Analýza antivírusových aplikácií V položke Info sú informácie o tom, že požiadavka bola štandardná. Ďalej je uvedené jej ID a typ. Typ A znamená, že to bola požiadavka na IP adresu typu IPv4. Adresu domény i4.c.eset.com si počítač pýtal vždy približne 1200 sekúnd po sebe, ostatných domén v nepravidelných intervaloch. Dôležitá je aj celková aktualizácia programu Eset a tiež jej databázy, pretože systém Eset Live Grid sa dá pri inštalácii vypnúť. Preto sa Eset pripája na doménu update.eset.com, odkiaľ si sťahuje aktualizácie programu a databázy. $ tshark i Ethernet Y dns. qry. name == update. e s e t. com Príkaz 4.3: tshark filter pre protokol DNS a aplikáciu Eset Čas Protokol Info 3373.1 DNS Standard query 0xd9a3 A update.eset.com 6973.6 DNS Standard query 0x1349 A update.eset.com Tabuľka 4.3: Výstup programu tshark, dáta Eset, Update Na doménu update.eset.com sa počítač pýtal každých cca 3600 sekúnd. Filtrovanie komunikácie pomocou protokolu HTTP a poľa useragent nebolo možné, keďže táto aplikácia toto pole buď nepoužíva, alebo sa mi nepodarilo zistiť pod akým menom ho používa. Filtrovanie pomocou poľa host odhalilo komunikáciu s tými istými servermi, ako filtrovanie pomocou protokolu DNS, no táto komunikácia už neprebiehala s DNS serverom, ale priamo so servermi spoločnosti Eset. $ tshark i Ethernet Y http. host contains e s e t T f i e l d s E separator =, e frame. t i m e _ r e l a t i v e e ip. s r c e ip. dst e ip. proto e http. host Príkaz 4.4: tshark filter pre protokol HTTP a aplikáciu Eset Raz za niekoľko hodín počítač komunikoval cez protokol HTTPS s doménou edf.eset.com, ktorá slúži na verifikáciu licencie aplikácie. Túto komunikáciu filtruje nasledujúci príkaz. $ tshark i Ethernet Y s s l. handshake. extensions_server_name contains e s e t 17

4. Analýza antivírusových aplikácií T f i e l d s E separator =, e ip. s r c e ip. dst e ip. proto e s s l. handshake. extensions_server_name Príkaz 4.5: tshark filter pre protokol HTTPS a aplikáciu Eset Zdroj. ip Cieľ. ip Protokol Server Name Indication 10.0.2.15 137.135.12.16 TLSv1.2 edf.eset.com Tabuľka 4.4: Výstup programu tshark, dáta Eset, Verifikácia 4.2 Avast Free Antivirus Spoločnosť Avast využíva od roku 2012 hybridnú cloudovú technológiu na zaisťovanie včasných aktualizácií vírusových databáz. Vďaka týmto prúdovým aktualizáciám (Streaming Updates) dokážu v priebehu pár minút aktualizovať databázy všetkých klientov. Klienti majú na svojom disku uloženú vírusovú databázu a až 20 krát za deň ju aktualizujú pomocou prúdových aktualizácií. Táto hybridná technológia je spoľahlivejšia ako čisto cloudová, pri ktorej musia byť klienti neustále pripojení na internet, aby ostali chránení [14]. Aplikácia Avast Free Antivirus komunikuje s mnohými servermi spoločnosti Avast. Pri filtrovaní komunikácie pomocou protokolu DNS som zistil, že DNS servera sa pýta na IP adresy minimálne štrnástich domén, ktoré majú v názve slovo avast. $ tshark i Ethernet Y dns. qry. name contains avast Príkaz 4.6: tshark filter pre protokol DNS a aplikáciu Avast Pri väčšine domén sa nedá na oficiálnych stránkach spoločnosti Avast zistiť, na aké účely slúžia. Podarilo sa mi zistiť, že pri manuálnej aktualizácii jadra a vírusovej definície, nazývanej VPS (Avast nikde neuvádza, z čoho táto skratka vznikla), sa program pripája na server, ktorého meno začína písmenom, pokračuje kombináciou rôznych čísel a končí na iavs9x.u.avast.com. Pri aktualizácii celého programu, čo zahŕňa aj aktualizáciu jadra a VPS, sa program pripája aj na ďalšiu doménu. Jej začiatok je rovnaký ako pri doméne na aktualizáciu jadra a VPS, ale končí na vpsnitro.u.avast.com. 18

4. Analýza antivírusových aplikácií Aplikácia Avast využíva pri protokole HTTP pole user-agent, kde uvádza názov avast! Antivirus (instup). $ tshark i Ethernet Y http. user_agent contains avast T f i e l d s E separator =, e ip. s r c e ip. dst e ip. proto e http. user_agent e http. host Príkaz 4.7: tshark filter pre protokol HTTP a aplikáciu Avast Tento filter ale neodhalí žiadnu novú komunikáciu. Aplikácia používa pole user-agent pri komunikácii so servermi, ktoré slúžia na aktualizáciu jadra, VPS a programu. Cloudová služba spoločnosti Avast sa nazýva prúdové aktualizácie. Ich oficiálna stránka je http://su.ff.avast.com/. Ak majú aplikácie povolenú službu prúdových aktualizácií, tak odtiaľ sťahujú aktualizácie svojich databáz. Užívateľ si vie cez odkaz na tejto stránke pozrieť históriu aktualizácií. Pri filtrovaní cez protokol HTTP a pole host je možné zistiť ako často sa na tento server aplikácia pripája. $ tshark i Ethernet Y http. host == su. f f. avast. com T f i e l d s E separator =, e frame. t i m e _ r e l a t i v e e ip. s r c e ip. dst e ip. proto e http. host Príkaz 4.8: tshark filter pre protokol HTTP a aplikáciu Avast Čas Zdroj. ip Cieľ. ip Protokol http.host 11.6 10.0.2.15 77.234.45.70 6 su.ff.avast.com Tabuľka 4.5: Výstup programu tshark, dáta Avast, Prúdové aktualizácie Po analýze výsledkov tohto filtra som zistil, že aplikácia komunikuje so serverom na prúdové aktualizácie každých 300 až 600 sekúnd. Pri filtrovaní pomocou protokolu HTTPS som zistil, že aplikácia komunikuje s mnohými servermi, no len málo z nich sa nevyskytovalo aj pri filtrovaní pomocou protokolu DNS. Na toto filtrovanie som použil nasledujúci príkaz. 19

4. Analýza antivírusových aplikácií $ tshark i Ethernet Y s s l. handshake. extensions_server_name contains avast T f i e l d s E separator =, e ip. s r c e ip. dst e ip. proto e s s l. handshake. extensions_server_name Príkaz 4.9: tshark filter pre protokol HTTPS a aplikáciu Avast Aplikácia Avast komunikuje s veľkým množstvom serverov, no z informácií dostupných na oficiálnych stránkach výrobcu, ako aj z iných stránok na internete, sa nedá zistiť, akú úlohu majú tieto servery pri ochrane zariadení. 4.3 AVG Antivirus FREE Spoločnosť AVG Technologies bola v roku 2016 odkúpená firmou Avast Software. Technológie používané pri produktoch firmy AVG sú preto z veľkej časti rovnaké, ako pri produktoch spoločnosti Avast. Po detailnej analýze som zistil, že takmer všetky domény, na ktoré sa produkt AVG pripájal sú totožné s doménami, na ktoré sa pripájal antivírus Avast. Jediný rozdiel nastal pri aktualizácii vírusovej databázy a programu, kedy sa počítač pripájal na trochu rozdielne domény. Doména na aktualizáciu vírusovej databázy mala rovnakú štruktúru ako doména pri antivíruse Avast, avšak namiesto reťazca vpsnitro.u.avast.com obsahovala reťazec avinitro.u.avcdn.net. Pri aktualizácii programu sa počítač pripájal na rovnakú doménu ako pri aktualizácii vírusovej databázy a tiež na inú doménu. Jej štruktúra bola znova podobná ako pri programe Avast, ale namiesto reťazca iavs9x.u.avast.com obsahovala reťazec iavs9x.avg.u.avcdn.net. Zistil som však, že rôzne staršie verzie antivírusov AVG stále používajú aj pôvodné domény spoločnosti AVG [15]. Cloudová služba sa volala rovnako ako pri antivíruse Avast, teda prúdové aktualizácie (Streaming Updates). Táto služba sa pripájala na rovnaké domény ako v prípade rovnomennej služby aplikácie Avast. Pri tejto aplikácii neuvádzam žiadne príkazy ani tabuľky pre program tshark, pretože väčšina je zhodná s príkazmi a tabuľkami pri analýze aplikácie Avast. Zisťovanie tohoto antivírusového softvéru má zmysel iba v kombinácii s antivírusom Avast. Pri samostatnom filtrovaní by mohli vo výsledkoch vznikať nežiadúce duplikáty. Preto som sa rozhodol analýzu týchto dvoch antivírusov spojiť. Ku zisťovaniu 20

4. Analýza antivírusových aplikácií antivírusu Avast som preto pridal aj detekciu na pôvodné domény spoločnosti AVG. 4.4 Windows Defender Windows Defender je antivírusová aplikácia od spoločnosti Microsoft. Je to nástupca Microsoft Security Essentials a je súčasťou operačného systému Windows. Windows Defender je zabudovaná antivírusová aplikácia pre Windows 8 a novšie a Microsoft Security Essentials je antivírusová aplikácia pre Windows XP až Windows 7. Pri analýze programu Windows Defender som zistil, že pri vypnutej cloudovej službe sa tento antivírus nedá nijako detegovať, keďže komunikuje s rovnakými doménami ako Windows Update. Po zapnutí cloudovej služby však začal počítač komunikovať aj s inými doménami, ktoré sú už vyhradené pre túto službu a teda je možné podľa nich odhaliť prítomnosť tohto antivírusu. Zaujímavé bolo tiež zistenie, že operačný systém Windows 10 Education mal túto službu predvolene vypnutú, zatiaľ čo Windows 10 Pro ju mal zapnutú. Táto služba sa dá zapnúť len v nastaveniach systému Windows a nie priamo v aplikácii Windows Defender a je možné, že neznalí užívatelia, ktorí ju nemali predvolene zapnutú, ju v mnohých prípadoch nezapnú. Navyše sa táto cloudová služba neprejavuje na sieti tak často ako obdobné služby ostatných antivírusov. $ tshark i Ethernet Y dns. qry. name contains wdcp Príkaz 4.10: tshark filter pre protokol DNS a aplikáciu Windows Defender Čas Protokol Info 500.1 DNS Standard query 0xac27 A wdcp.microsoft.com 11437.4 DNS Standard query 0xc973 A wdcp.microsoft.com Tabuľka 4.6: Výstup programu tshark, dáta Windows Defender, dns.qry.name Počítač s touto antivírusovou aplikáciou sa tiež pripájal na doménu fe2.update.microsoft.com. Počítač sa na ňu pripájal aj pri vypnutom 21

4. Analýza antivírusových aplikácií antivíruse, no so zapnutým omnoho častejšie. Avšak pri zadaní tejto adresy do vyhľadávača som bol presmerovaný na stránku Windowsu, ktorá informuje o Windows 10 Creators Update, čo je najbližšia aktualizácia Windows 10 a s antivírusovou aplikáciou nemá nič spoločné. 4.5 Kaspersky Internet Security Na analýzu som sa rozhodol použiť prostrednú možnosť pre ochranu domácností a to Kaspersky Internet Security. Je to stredná cesta, ktorá používa väčšie množstvo technológií než základný Kaspersky Anti-Virus, napríklad ochranu súkromia, platieb cez internet alebo rodičovskú kontrolu, no používa menej služieb než najdrahšia voľba pre domácnosti Kaspersky Total Security, ktorá ponúka aj dodatočnú ochranu pre deti, správu hesiel a šifrovanie uložených dát. Počas inštalácie som povolil cloudovú službu Kaspersky Security Network a iné nastavenia som nechal v továrenskom nastavení. Na zefektívnenie ochrany počítača využíva aplikácia Kaspersky Internet Security cloudovú ochranu. Táto ochrana sa nazýva Kaspersky Security Network (KSN). KSN je cloudová vedomostná databáza spoločnosti Kaspersky Lab obsahujúca informácie o reputácii aplikácií a webov, ktoré zbiera od užívateľov. Používanie dát zo služby KSN zaručuje rýchlejšiu reakciu aplikácie Kaspersky Internet Security na nové typy hrozieb, zvyšuje účinnosť niektorých súčastí ochrany a znižuje pravdepodobnosť falošne pozitívnych výsledkov. Účasť užívateľov v službe Kaspersky Security Network umožnuje spoločnosti Kaspersky Lab pohotovo získavať informácie o typoch a zdrojoch nových ohrození, vyvíjať riešenia ich neutralizácie a minimalizovať počet falošne pozitívnych výsledkov [16]. Dáta, ktoré užívateľ poskytuje spoločnosti Kaspersky Lab pri používaní tejto cloudovej služby sú uvedené na oficiálnej stránke Kaspersky Lab Online help [16]. Pri analýze paketov používajúcich protokol DNS som sa znova zameral na názov štandardnej požiadavky, ktorý by mohol obsahovať názov spoločnosti alebo konkrétneho produktu. Pri použití časti názvu spoločnosti som zistil, že počítač sa pomocou protokolu DNS pýtal na množstvo domén registrovaných pre spoločnosť Kaspersky Lab. Tieto dáta som získal použitím nasledujúceho príkazu. 22

4. Analýza antivírusových aplikácií $ tshark i Ethernet Y dns. qry. name contains kaspersky Príkaz 4.11: tshark filter pre protokol DNS a aplikáciu Kaspersky Čas Protokol Info 784.5 DNS Standard query 0x47bb A dnl-04.geo.kaspersky.com 785.2 DNS Standard query 0xdd47 A dnl-06.geo.kaspersky.com 6532.0 DNS Standard query 0x6bfa A click.kaspersky.com 6533.8 DNS Standard query 0xc203 A my.kaspersky.ru 6535.2 DNS Standard query 0x4715 A my.kaspersky.com Tabuľka 4.7: Výstup programu tshark, dáta Kaspersky, dns.qry.name Domény dnl-00.geo.kaspersky.com, dnl-01.geo.kaspersky.com až dnl- 19.geo.kaspersky.com sú domény patriace spoločnosti Kaspersky Lab a sú využívané na sťahovanie aktualizácií antivírusových databáz, nových aplikačných modulov alebo záplat pre ich aplikácie [17]. Doména click.kaspersky.com je v prehliadači presmerovaná na doménu kaspersky.com a nie sú ku nej žiadne dostupné informácie. Ďalšia doména je https://my.kaspersky.com/, čo je stránka na vzdialené spravovanie antivírusovej aplikácie a jej súčastí, ako napríklad sledovanie mobilného telefónu. Tieto možnosti sú dostupné po prihlásení a umožňujú napríklad synchronizáciu správcu hesiel na všetkých zariadeniach konkrétneho užívateľa. Pri analýze paketov používajúcich HTTP protokol som zistil, že filtrovanie pomocou poľa user-agent je nemožné, pretože aplikácia používa ako user-agenta reťazec, ktorý je zrejme výsledkom šifrovania [18]. Jedným z takýchto reťazcov znakov je napríklad @pr6dczzxb4vabzglqunw. Pri použití filtrovania pomocou poľa host som zistil, že filtrovanie neukáže žiadne nové domény oproti filtrovaniu cez protokol DNS. Toto filtrovanie ukáže len pakety smerujúce na domény dnl-00.geo.kaspersky.com až dnl-19.geo.kaspersky.com. Oproti protokolu DNS je tam však vidieť IP adresy týchto domén. 23

4. Analýza antivírusových aplikácií $ tshark i Ethernet Y http. host contains kaspersky T f i e l d s E separator =, e frame. t i m e _ r e l a t i v e e ip. s r c e ip. dst e ip. proto e http. host Príkaz 4.12: tshark filter pre protokol HTTP a aplikáciu Kaspersky Filtrovanie pomocou protokolu HTTPS zobrazí komunikáciu s viacerými doménami, no väčšina z nich sa už nachádza vo výsledku predošlých filtrovaní. $ tshark i Ethernet Y s s l. handshake. extensions_server_name contains kaspersky T f i e l d s E separator =, e ip. s r c e ip. dst e ip. proto e s s l. handshake. extensions_server_name Príkaz 4.13: tshark filter pre protokol HTTPS a aplikáciu Kaspersky Pri zadaní domény hq.uis.kaspersky.com a media.kaspersky.com do prehliadača sa načítajú stránky, ktoré vyhodia chybu HTTP 403 Forbidden. Sú teda zablokované na zobrazovanie v prehliadači. Na doménu tr2.kaspersky.com sa nedá cez prehliadač vôbec pripojiť. Ani jedna z týchto troch stránok nie je spomenutá v žiadnej dokumentácii spoločnosti Kaspersky Lab a nepodarilo sa mi zistiť, na čo slúžia. Zdroj. ip Cieľ. ip Protokol Server Name Indication 10.0.2.15 80.239.169.152 6 click.kaspersky.com 10.0.2.15 93.159.230.60 6 my.kaspersky.com 10.0.2.15 77.74.179.130 6 hq.uis.kaspersky.com 10.0.2.15 218.213.144.18 6 media.kaspersky.com 10.0.2.15 63.140.40.117 6 tr2.kaspersky.com Tabuľka 4.8: Výstup programu tshark, dáta Kaspersky, SNI 24

5 Vývoj algoritmu a výslednej aplikácie Vyvíjaný algoritmus na detekciu antivírusových aplikácii vychádza z ich predchádzajúcej analýzy. Výsledky analýzy poskytujú dostatočné množstvo rôznych znakov, podľa ktorých je možné identifikovať jednotlivé antivírusové aplikácie nainštalované na zariadeniach zapojených v počítačovej sieti. Algoritmus je súčasťou aplikácie, ktorú bolo potrebné vyvinúť pre detekciu pomocou sieťového kolektoru od spoločnosti Flowmon, ktorého sondy sú integrované v sieti Masarykovej univerzity. 5.1 Flowmon kolektor Flowmon kolektory poskytujú správcom sietí a bezpečnostným expertom detailnú viditeľnosť sieťovej prevádzky. Tieto výkonné zariadenia umožňujú zber, zobrazenie, analýzu a dlhodobé uloženie štatistík o komunikácii, ktorú generujú rôzne zariadenia v sieti. Vďaka prehľadnému užívateľskému rozhraniu získavajú administrátori absolútnu kontrolu nad sieťou a silný nástroj pre riešenie prevádzkových alebo bezpečnostných incidentov. Funkcie Flowmon kolektoru ďalej rozširujú špecializované moduly pre pokročilú analýzu dátových tokov. Všetky modely kolektorov sú vybavené funkciou Flowmon monitorovacie centrum (FMC), profesionálnym nástrojom pre efektívnu analýzu sieťových štatistík. Aplikácia je optimalizovaná pre ukladanie a spracovanie veľkého množstva štatistických dát. Zachytené štatistiky sú intuitívne zobrazované v prehľadných grafoch a tabuľkách s možnosťou voľby perspektívy a časových období. FMC naviac umožňuje nad zaznamenanými dátami definovať pokročilé filtre, pomocou ktorých je možné rýchlo nájsť komunikáciu, incident alebo anomáliu. Vďaka REST (Representational State Transfer) API (Application programming interface) môže byť Flowmon kolektor ľahko integrovaný do zariadení tretích strán [19]. Moja výsledná aplikácia bola testovaná na rôznych kolektoroch. Výsledky, ktoré uvádzam v nasledujúcej kapitole sú z testovacieho Flowmon kolektoru. Verzia tohto kolektoru bola 8.03.00. 25

5. Vývoj algoritmu a výslednej aplikácie Obrázok 5.1: Schéma kolektoru Flowmon 5.2 Dátové pakety a toky V mojej analýze som využíval program Wireshark, ktorý používa zachytávanie dátových paketov. Zachytávanie paketov je na analýzu vhodnejšie ako zachytávanie dátových tokov. Pri zostavovaní tokov sa strácajú niektoré informácie o jednotlivých paketoch, čo by mohlo mať dopad na kvalitu analýzy. Dátové toky pozostávajú zo zoskupení dátových paketov, ktoré majú v určitom časovom intervale zhodné vlastnosti, ako rovnaké zdrojové a cieľové IP adresy a porty [20]. Z tohto dôvodu som zvolil analýzu pomocou dátových paketov. Flowmon kolektor síce pracuje s dátovými tokmi, no dokáže ich filtrovať podľa niektorých vlastností, ktoré obsahujú ich dátové pakety. Na využívanie kolektora bolo teda potrebné prepísať filtre z formátu, ktorý používa program tshark, do formátu, ktorý vie spracovať aj Flowmon kolektor. 5.3 Algoritmus na detekciu Z výsledkov analýzy sieťových paketov zameraných na prejavy antivírusových aplikácií som bol schopný skonštruovať algoritmus, ktorý odhalí IP adresu komunikujúcu s konkrétnymi doménami. Algoritmus je navrhnutý tak, že zvládne filtrovať komunikáciu aj za 24 hodín aktívnej prevádzky siete. Keďže bude tento algoritmus používaný na sieti Masarykovej univerzity, kde je denne aktívnych takmer 20 000 jedinečných IP adries, nebolo možné vytvoriť jedinú metódu na zistenie všetkých výrobcov antivírusových aplikácií. REST API, cez ktoré sú 26

5. Vývoj algoritmu a výslednej aplikácie metódy volané, má limit 10 000 výsledkov na jeden výpočet. Keďže jedinečných IP adries môže byť za deň pripojených až 20 000, nebolo by možné určiť presné výsledky, pretože výsledok by obsahoval len 10 000 IP adries, pričom vyhovujúci počet IP adries by mohol byť vyšší. Z toho dôvodu som musel vytvoriť samostatné metódy na detekciu jednotlivých antivírusových aplikácií, čím som znížil pravdepodobnosť, že výsledok bude obsahovať viac ako 10 000 IP adries. Aplikácia teda musí obsahovať viac metód, kde každá metóda deteguje samostatný antivírus. Každá z týchto metód používa rovnaký algoritmus, ktorý má ale upravený filter, podľa ktorého Flowmon kolektor filtruje uložené dátové toky. Pri vytváraní algoritmov na detegovanie jednotlivých antivírusových aplikácií som zistil, že Flowmon kolektor vie filtrovať cez pole SNI pri protokole TLS, no toto pole označuje ako host. Ďalším skúmaním som zistil, že síce umožňuje vyhľadávanie pomocou poľa user-agent, ale bohužiaľ len pre prednastavené aplikácie, medzi ktoré patria z antivírusov len Avast a AVG. To ale nijako neubralo na kvalite odhaľovania zariadení s nainštalovaným antivírusom. Z predchádzajúcej analýzy je zreteľné, že najčastejšie vyskytujúce sa znaky antivírusov boli požiadavky na DNS server. Tieto požiadavky taktiež odhaľovali najväčší počet rôznych domén, s ktorými chceli aplikácie komunikovať. Nasleduje pseudokód algoritmu použitého na filtrovanie. Pri detekcii rôznych antivírov bol vždy algoritmus upravený tak, aby dokázal čo najlepšie detegovať žiadaný antivírus. 1 : function d e t e c t E s e t ( Fp analysed flows ) 2 : f o r each Flow in Fp do 3 : i f { Flow. s r c. net == 1 4 7. 2 5 1. 0. 0 / 1 6 and 4 : ( Flow. dns qname contains e s e t or 5 : Flow. dns qname contains e5. sk or 6 : Flow. hhost contains e s e t ) } then 7 : return Flow. ip 8 : end i f 9 : end f o r 1 0 : return f a l s e 27

5. Vývoj algoritmu a výslednej aplikácie 5.4 Aplikácia Moja aplikácia je napísaná v jazyku Python, verzii 3.5.1 a komunikuje s Flowmon kolektorom pomocou REST API. Je to rozhranie, ktoré umožňuje používať jednotný a jednoduchý prístup ku zdrojom zo servera. Samotný server alebo webová služba určuje spôsob, ako sa majú zavolať jednotlivé metódy pre prístup k dátam. REST definuje 4 základné metódy na prístup k službám. Sú to metódy GET, PUT, POST a DELETE. V aplikácii som si vystačil s použitím metódy POST pri autentizácii a metódy GET pri žiadaní o vykonanie filtrovania a následne pri žiadaní výsledkov. Obrázok 5.2: Poradie volaných metód Pre prístup ku kolektoru je potrebné sa najprv autentizovať. Následne je možné poslať požiadavku na vykonanie nejakej funkcie. V niektorých prípadoch je potrebné sa na výsledky pýtať asynchrónne, pretože spracovanie požiadavky a dopracovanie sa ku výsledku môže trvať aj niekoľko minút, ako je to aj v prípade mnou naprogramovaných požiadaviek. Pri týchto požiadavkách sa filtrujú státisíce dátových tokov a výsledok je dostupný až po niekoľkých minútach. 28

5. Vývoj algoritmu a výslednej aplikácie Súčasťou aplikácie je súbor flowmonconfig.py, ktorý slúži na zadanie parametrov potrebných pre autentizáciu užívateľa a nastavenie profilov a kanálov, na ktorých chcem púšťať detekciu. Samotná detekcia sa zapína spustením súborov, ktorých názov znie detect a názov antivírusu, napríklad detecteset.py. Každý z týchto súborov obsahuje volanie funkcií zo súboru flowmonapp.py. Pri spustení niektorého zo súborov sa zavolá funkcia getflows, ktorej parameter je filter. Táto funkcia obsluhuje volanie funkcie getauthtoken, ktorá zavolá REST-API metódu POST, kde uvedie autentizačné údaje. Následne kolektor odpovedá POST metódou, ktorá obsahuje požadovaný autentizačný token, ktorý sa pri ďalšej komunikácii prikladá ku volaným metódam. Následne sa môže zavolať metóda GET, v ktorej sú uvedené všetky potrebné informácie, čo má kolektor urobiť. V tomto prípade je to filtrovanie dátových tokov. Kolektor odpovedá POST metódou, ktorá obsahuje buď chybovú správu, alebo ID procesu. Ak je odpoveď ID procesu, program zavolá funkciu getasyncresultflows, ktorá berie ID procesu ako parameter a posiela metódou GET požiadavku na výsledok tohto procesu. Kolektor odpovedá metódou POST. Ak je návratový kód metódy 200, znamená to, že výsledok je obsiahnutý v správe a program končí, pričom výsledok zapíše do textového súboru. Ak je návratový kód 202, znamená to že kolektor stále počíta a výsledok ešte nie je k dispozícii. V tomto prípade sa zapína cyklus, keď program čaká 30 sekúnd a znova volá funkciu getasyncresultflows. Cyklus končí v prípade, že kolektor dopočítal. Vtedy je výsledok zapísaný do textového súboru a program končí. V prípade, že sa počas behu programu stratí token alebo vyprší jeho platnosť, je znovu volaná funkcia getauthtoken. Aplikáciu som nastavil tak, aby kolektor používal na detegovanie dáta vždy z predchádzajúceho dňa a to v čase od 0:00 do 23:59. Urobil som tak z toho dôvodu, že aplikácia bude vytvárať štatistiky celodennej prevádzky siete. Táto štatistika sa zvykne vytvárať v skorých ranných hodinách nasledujúceho dňa. V prípade potreby však nie je problém prestaviť časový úsek, z ktorého sa majú dáta filtrovať. V súbore flowmonapp.py, vo funkcii getflows stačí zmeniť parameter start a end na požadovaný čas vo formáte YYYY-mm-dd HH:MM, napríklad 2017-06-04 08:05 29

6 Nasadenie aplikácie do reálnej prevádzky Testovanie na reálnej sieti Masarykovej univerzity prebehlo na dátach z dňa 17. 05. 2017. V tento deň bolo podľa internej štatistiky aktívnych 19 332 jedinečných IP adries patriacich do siete 147.251.0.0/16, čo je sieť Masarykovej univerzity. Tento počet nezahŕňa rôzne switche, routre a servery Masarykovej univerzity. Zároveň však bolo zaznamenaných 32 357 zariadení na základe typu operačného systému a jeho zmenách. Pri vytváraní štatistiky na reálnej sieti som sa rozhodol pre zisťovanie 12 antivírusových aplikácií určených pre rôzne operačné systémy. Masarykova univerzita má momentálne aktuálnu zmluvu so spoločnosťou Eset. Na všetkých univerzitných počítačoch, ako aj na väčšine počítačov zamestnancov, by teda mali byť nainštalované antivírusové aplikácie od tejto spoločnosti. Štatistiku určite ovplyvní aj fakt, že rôzne spoločnosti, ako napríklad Avast a AVG, ponúkajú bezplatnú verziu antivírusovej aplikácie. Na analýzu som zvolil aj nasledujúcich výrobcov antivírusových aplikácií: Avira, Bitdefender, ClamAV, FSecure, McAfee, Sophos, Symantec. Najväčším problémom zisťovania antivírusových aplikácií na zariadeniach v počítačovej sieti je fakt, že sa nedá s určitosťou povedať, či na nejakom zariadení nie je nainštalovaný žiaden antivírusový softvér, alebo je tam nainštalovaný taký softvér, ktorý sa nedeteguje. Detekciu na reálnej sieti som sa rozhodol urobiť na dátach z dňa 17. 05. 2017 v troch krokoch. V prvom kroku som detegoval aplikácie v čase od 13:00 do 13:05, v druhom kroku od 13:00 do 14:00 a v poslednom som spustil analýzu na dátach od 0:00 do 23:59. Výsledky z týchto troch krokov sú uvedené v nasledujúcich grafoch. Na základe grafu 6.1 sa dá povedať, že za 5 minút sa najviac prejavujú antivírusové aplikácie Avast a AVG, nasleduje Eset a McAfee. Z týchto dát sa však ale nedá povedať, ktorých antivírusov je na sieti najviac, lebo každý sa prejavuje v iných časových intervaloch. 31

6. Nasadenie aplikácie do reálnej prevádzky 5 minút 800 778 600 400 200 0 6 13 2 356 0 6 76 0 33 42 Obrázok 6.1: Celkový počet zistených antivírusov: 1 312 1 hodina 2500 2000 1500 1000 500 0 1532 48 27 16 2137 11 28 275 6 179 343 Obrázok 6.2: Celkový počet zistených antivírusov: 4 602 Na grafe 6.2, ktorý znázorňuje analýzu za jednu hodinu, je vidieť, že Eset prekonal Avast a AVG, zatiaľ čo McAfee už zaostáva za Windows Defenderom. 32

6. Nasadenie aplikácie do reálnej prevádzky 24 hodín 6000 4553 5349 4000 2000 0 212 96 71 13 137 1271 19 1573 2326 Obrázok 6.3: Celkový počet zistených antivírusov: 15 620 Na grafe 6.3 sa dá najlepšie pozorovať počet detegovaných antivírusov. Avšak za takýto dlhý časový úsek sa na jednej IP adrese mohlo vystriedať množstvo zariadení. Ak sa na týchto zariadeniach líšili antivírusové aplikácie, a stihli sa aj prejaviť, tak sú tieto antivírusy spoľahlivo detegované. Problém nastáva v prípade, ak sa na jednej IP adrese za sebou vystriedali zariadenia, ktoré používajú rovnakú antivírusovú aplikáciu. Zo sieťových tokov nie je jednoduché zistiť zmenu zariadenia na IP adrese a nedokáže to rozlíšiť kolektor a ani moja aplikácia. V takomto prípade je táto IP adresa zahrnutá do výsledku iba jeden krát, pretože kolektor nevie o zmene zariadenia. Po vyhodnotení dát som zistil, že moje metódy dokážu detegovať prítomnosť antivírusových aplikácií na 15 620 zapojených zariadeniach. Zvyšná časť zariadení buď splynula s inými pri zmene IP adries, alebo má nainštalovaný iný antivírusový softvér, ktorý nedetegujem, prípadne nepoužíva žiaden. Štatistika operačných systémov v sieti Masarykovej univerzity z dňa testovania sa dá zhrnúť do nasledujúcich čísel: Linuxové operačné systémy - 4 150, Windows - 12 000, Apple - 9 350, Android - 6 700, Iné - 150. 33