sinkminer
play

SinkMiner Mining Botnet Sinkholes for Fun and Profit Babak - PowerPoint PPT Presentation

Feb 24, 2023 •29 likes •179 views

SinkMiner Mining Botnet Sinkholes for Fun and Profit Babak Rahbarinia 1 , Roberto Perdisci 1,2 , Manos Antonakakis 3 , David Dagon 2 1 University of Georgia 2 Georgia

  1. SinkMiner ¡ Mining ¡Botnet ¡Sinkholes ¡for ¡Fun ¡and ¡Profit ¡ Babak ¡Rahbarinia 1 , ¡Roberto ¡Perdisci 1,2 , ¡Manos ¡Antonakakis 3 , ¡David ¡Dagon 2 ¡ 1 University ¡of ¡Georgia ¡ 2 Georgia ¡Tech ¡InformaGon ¡Security ¡Center, ¡ ¡ ¡ ¡ ¡ 3 Damballa ¡Labs ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  2. Botnet ¡Sinkholes ¡ • Sinkholes: ¡take ¡over ¡the ¡botnet! ¡ – disable ¡the ¡botnet ¡ – Enumerate ¡vicGms, ¡study ¡C&C ¡protocol, ¡etc. ¡ C&C ¡ • Examples ¡ ¡ – Your ¡Botnet ¡is ¡My ¡Botnet ¡ (ACM ¡CCS ¡2009) ¡ Sinkhole ¡ – Confiker ¡Working ¡Group ¡– ¡ Lessons ¡Learned ¡ – etc… ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  3. SinkMiner ¡ • Where ¡are ¡the ¡sinkholes? ¡ • Why ¡do ¡you ¡even ¡care?!? ¡ – measuring ¡ effec:ve ¡C&C ¡domain ¡lifeGme ¡ tesGng ¡ sinkhole ¡ C&C ¡ non-­‑routable/NX ¡ S ecurity N etwork University of Georgia Queries ¡seen ¡from ¡the ¡authoritaGve ¡NS ¡for ¡the ¡C&C ¡domain ¡ I ntelligence Dept. of Computer Science

  4. SinkMiner ¡ • Other ¡benign ¡reasons ¡to ¡care ¡ – Avoid ¡friendly ¡fire ¡ • Not ¡so ¡benign ¡reasons ¡ – I ¡want ¡your ¡domain ¡blacklist! ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  5. Mining ¡Sinkholes ¡ • Surprisingly, ¡sinkholed ¡domains ¡o_en ¡ relocated ¡from ¡a ¡sinkhole ¡IP ¡to ¡another! ¡ – We ¡thought ¡they ¡would ¡stay ¡put! ¡ • Idea ¡ – follow ¡the ¡evoluGon ¡of ¡sinkholed ¡domains ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  6. SinkMiner ¡System ¡Overview ¡ ¡Other ¡known ¡sink ¡ • C&C ¡IPs ¡ ¡ New ¡sink ¡ • a_er ¡known ¡ ¡Parking ¡ ¡ Seed ¡list ¡of ¡ • Back ¡to ¡the ¡future! ¡ sink ¡IPs ¡ • ¡NX ¡rewriGng ¡ sinkhole ¡IPs ¡ ¡ Travel ¡back ¡in ¡Gme… ¡ ¡other? ¡ • Passive ¡ DNS ¡DB ¡ historic ¡ domain-­‑IP ¡ mappings ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  7. Preliminary ¡Labeling ¡ • Using ¡a ¡set ¡of ¡heurisGcs: ¡ – Name ¡server ¡names ¡ • IPs ¡resolved ¡by ¡ ¡ ns1.sinkhole.ch ¡ are ¡ sinkholes ¡ – Also, ¡ torpig-­‑sinkhole.org , ¡ dns3.sinkdns.net , ¡ sinkhole-­‑00.shadowserver.org , ¡… ¡ • IPs ¡resolved ¡by ¡ ¡ nx1.dnspark.net ¡ are ¡ parking ¡ – Also, ¡ dns1.ns-­‑park.net , ¡ park1.dns.ws , ¡ one.parkingservice.com , ¡… ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  8. Preliminary ¡Labeling ¡ 68.87.74.166 NX Domain • NX-­‑rewriGng ¡IPs ¡ DNS www.invalid.ex ? www.invalid.ex ? – IPs ¡that ¡are ¡pointed ¡to ¡by ¡lots ¡of ¡non-­‑existent ¡and/ or ¡invalid ¡domain ¡names ¡ – Very ¡large ¡volumes ¡of ¡domains ¡ • all ¡“invalid” ¡resoluGons ¡from ¡enGre ¡networks ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  9. Preliminary ¡Labeling ¡ • Volume ¡of ¡domains ¡per ¡IP ¡ – ObservaGon: ¡same ¡known ¡sinkhole ¡IPs ¡used ¡(in ¡ Gme) ¡to ¡take ¡down ¡lots ¡of ¡domains ¡ – HeurisGcs: ¡ • IPs ¡pointed ¡to ¡by ¡lots ¡of ¡domains ¡are ¡probably ¡sinkholes ¡ • Especially ¡if ¡they ¡are ¡in ¡the ¡same ¡AS ¡as ¡known ¡sinkholes ¡ ¡ Number ¡of ¡domains ¡poinGng ¡ ¡ to ¡known ¡sinkhole ¡IP ¡ (cumulaGve, ¡over ¡Gme) ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  10. Graph-­‑based ¡Labeling ¡ # ¡of ¡domains ¡ Si 1 ¡-­‑-­‑> ¡IP x ¡ Si 1 ¡ St 1 ¡ Terminal ¡known ¡sinkholes ¡ IniGal ¡known ¡sinkholes ¡ Wi 1 ¡ Wt 1 ¡ Wi 2 ¡ Wt 2 ¡ St 2 ¡ Si 2 ¡ IP x ¡ Wt m ¡ . ¡. ¡. ¡ . ¡. ¡. ¡ Wi n ¡ St m ¡ Si n ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  11. Graph-­‑based ¡Labeling ¡ # ¡of ¡domains ¡ Si 1 ¡-­‑-­‑> ¡IP x ¡ Si 1 ¡ St 1 ¡ Terminal ¡known ¡sinkholes ¡ IniGal ¡known ¡sinkholes ¡ Wi 1 ¡ Wt 1 ¡ Wi 2 ¡ Wt 2 ¡ St 2 ¡ Si 2 ¡ W xy ¡ IP x ¡ IP y ¡ Wi n ¡ Wt m ¡ . ¡. ¡. ¡ . ¡. ¡. ¡ St m ¡ Si n ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  12. IniGal ¡Sinkholes ¡ • 22 ¡known ¡sinkholes ¡(19 ¡different ¡ASes) ¡ – 2,945,483 ¡sinkholed ¡domains ¡form ¡passive ¡DNS ¡ – 130,901 ¡a_er ¡pruning ¡DGA ¡domains ¡ • 39% ¡of ¡130,901 ¡domains ¡changed ¡IP ¡a_er ¡they ¡ were ¡sinkholed ¡ • PotenGal ¡sinkholes ¡5,576 ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  13. Preliminary ¡Labeling ¡ • Name ¡server ¡names ¡ – 475 ¡parking ¡IPs ¡ – 15 ¡sinkhole ¡IPs ¡ Expanded ¡seed ¡list ¡ from ¡22 ¡to ¡60 ¡ • 7 ¡NX-­‑rewriGng ¡IPs ¡ • Popularity ¡+ ¡AS ¡name ¡ – 23 ¡highly ¡popular ¡sinkholes ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  14. Graph-­‑based ¡Labeling ¡ • Graph: ¡>5k ¡nodes ¡ ¡and ¡ ¡>164k ¡edges ¡ • 49 ¡new ¡sinkholes ¡ – 12 ¡using ¡1 st ¡GDB ¡query ¡+ ¡37 ¡with ¡2 nd ¡GDB ¡query ¡ Some ¡examples… ¡ Overall: ¡87 ¡new ¡ ¡ likely ¡sinkholes ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  15. perdisci@cs.uga.edu ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Improving the Security of Quantum Protocols via Commit&Open Ivan Damgrd (Aarhus University,

Improving the Security of Quantum Protocols via Commit&Open Ivan Damgrd (Aarhus University,

Improving the Security of Quantum Protocols via Commit&Open Ivan Damgrd (Aarhus University, DK) Serge Fehr (CWI, NL) Carolin Lunemann (Aarhus University, DK) Louis Salvail (Universit de Montral, CA) Christian Schaffner (CWI, NL) CRYPTO

255 views • 23 slides
A Bestiary of Ugly Malware A non-scientific survey of current day malicious software, as seen in

A Bestiary of Ugly Malware A non-scientific survey of current day malicious software, as seen in

A Bestiary of Ugly Malware A non-scientific survey of current day malicious software, as seen in the wild Marion Marschalek | marion@0x1338.at | @pinkflawd Software that steals your data Software that destroys your data Software that abuses

472 views • 23 slides
Science Overview - 1 ! GSFC Astrophysics on the International Space Station "

Science Overview - 1 ! GSFC Astrophysics on the International Space Station "

Science Overview - 1 ! GSFC Astrophysics on the International Space Station " Understanding ultra-dense matter through soft X-ray timing ! Science: A proposed International Space Station (ISS) payload dedicated to the study of neutron

235 views • 12 slides
WEKA Machine Learning Use Case Breast Cancer Stephan Mgaya TERNET Tanzania

WEKA Machine Learning Use Case Breast Cancer Stephan Mgaya TERNET Tanzania

WEKA Machine Learning Use Case Breast Cancer Stephan Mgaya TERNET Tanzania smgayanath@gmail.com e-Research Summer Hackfest Catania (Italy) This project has received funding from the European Unions Horizon 2020 research and

291 views • 8 slides
Q&A Please submit all questions concerning webinar content through the Q&A panel.

Q&A Please submit all questions concerning webinar content through the Q&A panel.

Collecting Cancer Data:CNS 2/7/12 Collecting Cancer Data Central Nervous System NAACCR 2012 2013 Webinar Series 2/7/2013 Q&A Please submit all questions concerning webinar content through the Q&A panel. Reminder: If you have

791 views • 33 slides
Analyzing DNS Activities of Bot Processes Dr. Jose Andre Morales Areej Al-Bataineh Dr. Shouhuai

Analyzing DNS Activities of Bot Processes Dr. Jose Andre Morales Areej Al-Bataineh Dr. Shouhuai

4th International Conference on Malicious and Unwanted Software (Malware 2009) October 13-14 2009 Montreal, Canada Analyzing DNS Activities of Bot Processes Dr. Jose Andre Morales Areej Al-Bataineh Dr. Shouhuai Xu Dr.Ravi Sandhu Overview

211 views • 19 slides
Statistical Learning Theory: A Hitchhikers Guide John Shawe-Taylor UCL Omar Rivasplata UCL /

Statistical Learning Theory: A Hitchhikers Guide John Shawe-Taylor UCL Omar Rivasplata UCL /

Statistical Learning Theory: A Hitchhikers Guide John Shawe-Taylor UCL Omar Rivasplata UCL / DeepMind December 2018 Neural Information Processing Systems Slide 1 / 52 Why SLT NeurIPS 2018 Slide 2 / 52 Error distribution picture 20 Parzen

889 views • 52 slides
DEBRA Members Weekend 2017 EB therapy research in Dundee: an update Knocking out the faulty

DEBRA Members Weekend 2017 EB therapy research in Dundee: an update Knocking out the faulty

DEBRA Members Weekend 2017 EB therapy research in Dundee: an update Knocking out the faulty gene & Skipping the faulty exon Peter van den Akker Premium sponsors: EB therapy research in Dundee: an update Knocking out the faulty gene

794 views • 43 slides
Bias-Stress Instability in GaN Field-Effect Transistors Jess A. del Alamo and Alex Guo

Bias-Stress Instability in GaN Field-Effect Transistors Jess A. del Alamo and Alex Guo

Bias-Stress Instability in GaN Field-Effect Transistors Jess A. del Alamo and Alex Guo Microsystems Technology Laboratories Massachusetts Institute of Technology MRS Spring Meeting Phoenix, AZ, April 2-6, 2018 Acknowledgements: S.

771 views • 37 slides
F UNCTION C ALL T RACING ( CONTINUE ) We adds two more members to TB data structure to

F UNCTION C ALL T RACING ( CONTINUE ) We adds two more members to TB data structure to

T OWARD R EVEALING K ERNEL M ALWARE B EHAVIOR IN V IRTUAL E XECUTION E NVIRONMENTS Chaoting Xuan, John Copeland, Raheem Beyah Department of Electric and Computer Engineering Georgia Institute of Technology 09/25/2009 M OTIVATION Rootkits are

371 views • 25 slides
Introducing Space and Time in Local Feature-Based Endomicroscopic Image Retrieval January 25,

Introducing Space and Time in Local Feature-Based Endomicroscopic Image Retrieval January 25,

Introducing Space and Time in Local Feature-Based Endomicroscopic Image Retrieval January 25, 2010 Barbara Andr Supervision Tom Vercauteren Nicholas Ayache 1 B. Andr B. Andr , MSR , MSR- -INRIA Workshop 2010 INRIA Workshop 2010

595 views • 41 slides
George Karabatis 1 , Jianwu Wang 1 , Ahmed AlEroud 2 {georgek, jianwu, ahmed21}@umbc.edu 1

George Karabatis 1 , Jianwu Wang 1 , Ahmed AlEroud 2 {georgek, jianwu, ahmed21}@umbc.edu 1

Towards Adaptive Big Data Cyber-attack Detection via Semantic Link Networks George Karabatis 1 , Jianwu Wang 1 , Ahmed AlEroud 2 {georgek, jianwu, ahmed21}@umbc.edu 1 Department of Information Systems University of Maryland, Baltimore County 2

233 views • 22 slides
Best Practices for Diagnosis and Treatment of Headache Sadly, I still have nothing new to

Best Practices for Diagnosis and Treatment of Headache Sadly, I still have nothing new to

Disclosures Best Practices for Diagnosis and Treatment of Headache Sadly, I still have nothing new to disclose from yesterday John Engstrom, M.D. April 2017 Old Headaches vs. New Headaches (HA) Headaches Severity or location of

181 views • 14 slides
Beneficiary Engagement and Incentives (BEI) Models Shared Decision Making (SDM) Model January

Beneficiary Engagement and Incentives (BEI) Models Shared Decision Making (SDM) Model January

Beneficiary Engagement and Incentives (BEI) Models Shared Decision Making (SDM) Model January 2017 Navigating the Webinar Platform 2 Questions during the Presentation Please submit questions for the model team in the Q&A box throughout

531 views • 36 slides
37 th Annual JP Morgan Healthcare Conference Mike Mahoney Chairman & Chief Executive Officer

37 th Annual JP Morgan Healthcare Conference Mike Mahoney Chairman & Chief Executive Officer

37 th Annual JP Morgan Healthcare Conference Mike Mahoney Chairman & Chief Executive Officer Safe Harbor for Forward-Looking Statements This presentation contains forward-looking statements within the meaning of Section 27A of the Securities

566 views • 27 slides
Ensembled Multivariate Adaptive Regression Splines Ensembled Multivariate Adaptive Regression

Ensembled Multivariate Adaptive Regression Splines Ensembled Multivariate Adaptive Regression

CO COMPSTAT2010 in Paris S 2010 Ensembled Multivariate Adaptive Regression Splines Ensembled Multivariate Adaptive Regression Splines with Nonnegative Garrote Estimator ith N ti G t E ti t Hiroki Motogaito g Osaka University Osaka

922 views • 25 slides
Design of experiments for the NIPS 2003 variable selection benchmark Isabelle Guyon July 2003

Design of experiments for the NIPS 2003 variable selection benchmark Isabelle Guyon July 2003

Design of experiments for the NIPS 2003 variable selection benchmark Isabelle Guyon July 2003 isabelle@clopinet.com Background: Results published in the field of feature or variable selection (see e.g. the special issue of JMLR on variable

542 views • 30 slides
Meeting September 16 th , 2015 | Seattle Public Library Agenda Chair Report Approve July

Meeting September 16 th , 2015 | Seattle Public Library Agenda Chair Report Approve July

Bree Collaborative Meeting September 16 th , 2015 | Seattle Public Library Agenda Chair Report Approve July 22 nd Meeting Minutes Final Adoption : Coronary Artery Bypass Surgery Bundled Payment Model Action Item : Adopt CABG

987 views • 69 slides
TLR4-mediated activation of monocytes by human S1 -casein Thorsten Saenger 1, *, Stefan

TLR4-mediated activation of monocytes by human S1 -casein Thorsten Saenger 1, *, Stefan

TLR4-mediated activation of monocytes by human S1 -casein Thorsten Saenger 1, *, Stefan Vordenbumen 2 , Tamara Tahan 1 , Christian Nienberg 1 , Ellen Bleck 2 , Matthias Schneider 2 and Joachim Jose 1 1 Institute of Pharmaceutical and Medicinal

256 views • 9 slides
Manar Hajeer, , MD, FRCPath th Unive vers rsity ity of Jordan an , school ol of medicine

Manar Hajeer, , MD, FRCPath th Unive vers rsity ity of Jordan an , school ol of medicine

Manar Hajeer, , MD, FRCPath th Unive vers rsity ity of Jordan an , school ol of medicine cine Cells Tissues Organs Systems Organism Physiologic adaptation Pathologic adaptation. Many forms: Increase in cell size.

609 views • 27 slides
IRB MEMBER ORIENTATION Kevin L. Nellis, MS, CIP Executive Director, Human Research Protections

IRB MEMBER ORIENTATION Kevin L. Nellis, MS, CIP Executive Director, Human Research Protections

1/23/2019 IRB MEMBER ORIENTATION Kevin L. Nellis, MS, CIP Executive Director, Human Research Protections and Quality Assurance Objectives 2 Understand criteria and considerations for IRB 1) approval of human research activities. Conduct

496 views • 32 slides
2018 Quro: Facilitating user symptom check using a personalised chatbot- oriented dialogue

2018 Quro: Facilitating user symptom check using a personalised chatbot- oriented dialogue

2018 Quro: Facilitating user symptom check using a personalised chatbot- oriented dialogue system Shameek Ghosh, Sammi Bhatia, Abhi Bhatia July 2018 Outline Understanding a patients journey Background of the Problem

765 views • 19 slides
Partnership Clinician Workgroup In-Person Meeting December 12, 2018 Welcome, Introductions,

Partnership Clinician Workgroup In-Person Meeting December 12, 2018 Welcome, Introductions,

Measure Applications Partnership Clinician Workgroup In-Person Meeting December 12, 2018 Welcome, Introductions, Disclosures of Interest, and Review of Meeting Objectives Welcome, Introductions, and Review of Meeting Objectives 2 Clinician

1.26k views • 73 slides
In 2000, the first application of robotic surgery in a case of prostate cancer in the

In 2000, the first application of robotic surgery in a case of prostate cancer in the

Vassilis Poulakis MD, PhD, FEBU Professor of Urology University of Frankfurt am Main, Germany Head of Urological Clinic and Robotic Urological Centre Metropolitan Hospital Athens, Greece In 2000, the first application of robotic surgery in a

792 views • 9 slides

More recommend