You are on page 1of 10

RAPORT

Analiza domen rejestrowanych za po srednictwem Domain Silver, Inc.

31 lipca 2013

SPIS TRESCI

Spis tre sci


1 Wprowadzenie 2 3 3 4 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5 6 6 6 7 7 8 9 2 Rejestr, operator rejestru oraz rejestrator 2.1 Rogue registrar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Domain Silver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Rozkad domen 4 Botnety 4.1 Citadel . . . . . . . . . 4.2 Dorkbot (NgrBot) . . . 4.3 Zeus Ice IX . . . . . . . 4.4 Andromeda (Gamarue) 4.5 RunForestRun . . . . . 4.6 Ransomware . . . . . .

5 Infrastruktura proxy do C&C 6 Co dalej z domenami?

Skracanie linkw za pomoca bit.ly Niektre z linkw umieszczonych w tym raporcie zostay skrcone za pomoca serwisu bit. doda ly w celu poprawienia czytelno sci. Aby zobaczy c peen adres wystarczy na ich koncu c znak plusa (+). Strona znajdujaca si e pod takim adresem zawiera informacje o skrconym linku. 1

WPROWADZENIE

Wprowadzenie

Niniejszy dokument zawiera opis domen rejestrowanych za po srednictwem rmy Domain Silver, Inc. rejestratora dziaajacego w domenie .pl. Rejestrator ten, ktrego siedziba znajduje sie na Seszelach, rozpocza swoje dziaanie w maju 2012 roku. Od tego czasu zesp CERT Polska zacza obserwowa c duzy wzrost liczby rejestrowanych zo sliwych domen (w tym do rozpowszechniania i zarzadzania zo sliwym oprogramowaniem) oraz otrzymywa c wiele skarg z zewnatrz na domeny rejestrowane za po srednictwem Domain Silver. W maju 2013 doszo do przej ecia i sinkholeowania kilkudziesi eciu zo sliwych domen przez CERT domen .pl zawierajacych bya rejestrowana wa Polska. Wiekszo sc zo sliwa tre sc snie przez Domain Silver. Po dalszych bezskutecznych prbach naprawienia tej sytuacji, NASK podja decyzje o wypowiedzeniu umowy z partnerem. W kolejnych rozdziaach tego dokumentu omawiamy do czego wykorzystywane byy zarejestrowane za po srednictwem Domain Silver domeny (status na 9 lipca 2013), jakie rozpowszechniano zo sliwe oprogramowanie i dlaczego stanowio to zagrozenie dla Internautw. Najwazniejsze ustalenia: Ze wszystkich domen zarejestrowanych 641 domen (stan na 9 lipca 2013 plus domeny wcze sniej sinkholeowane) - tylko jedna aktywna bya nieszkodliwa (domainsilver.pl) 404 domeny byy jednoznacznie szkodliwe, z czego 179 suzyo jako serwery C&C. Domeny byy wykorzystywane do zarzadzania i rozpowszechniania botnetw takich jak Citadel, Dorkbot, ZeuS Ice IX, Andromeda, RunForestRun a takze ransomwareu. Zidentykowali smy co najmniej 16 instancji wyzej wymienionych botnetw. 179 domen byo uzywanych jako strony reklamujace farmaceutyki lub rekrutujace muy. Adresy URL tych stron byy rozpowszechniane za pomoca kampanii spamowych. Wszelkie zmiany danych domen zarejstrowanych przez Domain Silver sa obecnie zablokowane, a partner nie ma juz dost epu do rejestru domen. Domeny te maja jako rejestratora wpisana nazw e vinask. Domeny te b eda systematycznie przenoszone na serwery sinkholea CERT Polska.

REJESTR, OPERATOR REJESTRU ORAZ REJESTRATOR

Rejestr, operator rejestru oraz rejestrator

Ze wzgledu na podobienstwo angielskich nazw, nast epujace trzy poj ecia bywaja cz esto ze soba mylone: rejestr nazw domenowych (ang. registry ), rejestrator nazw domenowych (ang. registrar ) oraz abonent nazwy domenowej (ang. registrant ). Zakadajac, ze rola abonenta wydaje sie oczywista, ponizej tumaczymy role rejestru oraz rejestratora nazw domenowych oraz rznice mi edzy tymi poj eciami. Rejestr nazw domenowych (ang. domain name registry ) to baza danych zawierajaca wszystkie nazwy zarejestrowane w jednej domenie internetowej (np. .pl), kojarzaca nazwy domenowe z danymi ich abonentw oraz z nazwami serwerw na ktre sa delegowane. Rejestry nazw domenowych moga by c tworzone na rznych poziomach hierarchii systemu DNS. I tak, operatorem rejestru najwyzszego poziomu (ang. root-level ) jest IANA (czyli Internet Assigned Numbers Authority ), ktra z kolei deleguje zarzadzanie rejestrami kolejnych poziomw (ang. top-level ) innym organizacjom. Rola operatora rejestru nazw domenowych, zwanego takze NIC (czyli Network Information Centre ), jest utrzymywanie infrastruktury technicznej rejestru, tworzenie polityk rejestracji domen, a przede wszystkim aktualizacja rejestru i baz danych serwerw DNS. Naukowa i Akademicka Sie c Komputerowa jest operatorem rejestru nazw domenowych dla domeny krajowej .pl. Zarzadzanie czynno scia rejestracji nazwy domenowej jest rola podmiotu zwanego rejestratorem nazw domenowych (ang. domain name registrar ). Jest to organizacja bad z rma komercyjna, wsppracujaca z operatorami rejestrw i posiadajaca bezpo sredni dost ep do wprowadzania i modykacji danych przechowywanych w rejestrze. Rejestrator dysponuje pozwalajacym do rejestru odpowiednim poziomem uprawnien, mu na dokonywanie zapytan i zarzadzanie pula nazw domenowych nalez acych do jego klientw. Operator rejestru moze, lecz nie musi sam peni c rol e rejestratora. W wielu przypadkach powierza ja rmom zewnetrznym, ktre zobowiazuj a si e do stosowania polityk danego rejestru. W Polsce, NASK ma podpisane umowy z ponad 190 partnerami peniacymi role rejestratorw nazw domenowych. W srd nich wiele jest rm zagranicznych. Abonent moze samodzielnie wybiera c rejestratora, z usug ktrego b edzie korzysta przy rejestracji nazwy domenowej, a takze dokonywa c przenoszenia nazwy pomi edzy rejestratorami.

2.1

Rogue registrar

Uprzywilejowana pozycja rejestratora, umozliwiaj aca mu dokonywanie rejestracji nowych nazw domenowych, delegowanie ich na serwery nazw, a takze kontrol e nad danymi abonenta, moze by c niestety naduzywana. Z pozycji rejestratora atwo mozna bowiem wprowadza c do rejestru serie nowych nazw domenowych, wykorzystywanych nast epnie do phishingu, spamu czy zarzadzania zo sliwym oprogramowaniem, jako dane abonentw podajac informacje niezwerykowane lub, w skrajnym przypadku, samodzielnie wygenerowane. W przypadku wykrycia naduzycia, pro sby o reakcj e traaja zazwyczaj w pierwszej kolejno sci do rejestrato w taki ra. Pozwala mu to na ignorowanie ich przez pewien czas, lub podejmowanie dziaan sposb, aby nie zagrazay cao sci infrastruktury na przykad usuwanie problematycznych nazw dopiero po stworzeniu nowych i odpowiedniej aktualizacji zo sliwego oprogramowania. 3

ROZKAD DOMEN

w zwalczaniu problemu, w poaczeniu To, co z zewnatrz wyglada na raz ac a nieskuteczno sc z stanowia posiadanym przez rejestratora portfelem domen, w ktrym zdecydowana wi ekszo sc nazwy wykorzystywane do naduzy c rznego rodzaju, pozwala domniemywa c, ze dziaania i wiadome. Mwimy wtedy o tak zwanym rogue rezaniedbania takiego rejestratora sa w peni s gistrar, ktrym w skrajnym przypadku moze by c rma zaozona wyacznie w celu uatwienia przest epcom dost epu do rejestru domen.

2.2

Domain Silver

rozpocza Domain Silver jest jednym z rejestratorw, ktry swoja dziaalno sc w maju 2012 roku. Firma jest zarejestrowana pod nast epujacym adresem: Domain Silver Inc. 1st Floor, Sham-Peng-Tong Plaza Building, Victoria, Mahe Seychelles e-mail: support@domainsilver.pl tel.: +1.3236524343 tego rejestratora CERT Polska otrzyma w drugiej poowie Pierwsze skargi na dziaalno sc 2012 roku. Skargi te dotyczyy obecno sci serwerw C&C oraz stron, do ktrych prowadziy linki z kampanii spamowych pod domenami zarejestrowanymi przez Domain Silver. Do 29 lipca 2013 za pomoca Domain Silver byo zarejestrowanych 2926 domen.

Rozkad domen

Ponizsza tabela prezentuje statystyki dotyczace szkodliwych domen, ktrych registrarem by Domain Silver i ktre miay status zarejestrowanych 9 lipca 2013 roku, wliczajac w to domeny, ktre byy juz wcze sniej przez nas sinkholowane. Wszystkich domen .pl, ktre miay status zarejestrowanych w Domain Silver 9 lipca 2013 roku byo 641. Rodzaj zawarto sci 1 Serwery C&C Produkty farmakologiczne, rekrutacja muw lub spam2 Zo sliwe oprogramowanie3 Domeny umieszczone na blacklistach4 Erotyka dzieci ecia Liczba Udzia procentowy 179 27.9% 179 27.9% 20 3.1% 17 2.7% 5 0.8%

Tabela 1: Rozkad szkodliwych domen


W tym serwery nazw, na ktrych znajdoway sie rekordy DNS serwerw C&C. W tym serwery nazw, na ktrych znajdoway sie rekordy DNS tych stron. 3 W tym serwery nazw, na ktrych znajdoway sie rekordy DNS tych stron. 4 Wyaczaj ac domeny zaklasykowane do innych kategorii.
1

BOTNETY

Spo srd wszystkich domen 63% (404 domeny) stanowiy domeny zdecydowanie szkodliwe dla uzytkownikw. Z pozostaych domen tylko jedna (domainsilver.pl) zawieraa, , a reszta nie zawieraa zadnej nieszkodliwa, tre sc tre sci. 150 domen z pozostaej grupy zostao zarejestrowanych tego samego dnia 18 marca 2013, w ciagu 15 minut. Oprcz tego, w srd domen zarejestrowanych wcze sniej, byli smy w stanie zidentykowa c 35 domen uzywanych przez serwery C&C oraz 12 wykorzystywanych w kampanii spamowej produktw farmakologicznych. Pomi edzy 6 a 10 lipca 2013 roku, w ramach Domain Name Tasting, czyli mozliwo sci czternastodniowego testowania nazwy domeny, zarejestrowano w Domain Silver 597 nazw domenowych, ktre suzyy do promocji piguek pomagajacych schudna c i byy wykorzystywane w kampaniach spamowych uzywaj acych botnetw.

Botnety

Ponizej przedstawiamy krtkie opisy rodzajw botnetw, ktre znajdoway si e na wspomnianych wyzej domenach. Domeny zarejestrowane w Domain Silver byy wykorzystywane w co najmniej 16 rznych, zidentykowanych przez nas, instancjach botnetw.

4.1

Citadel

Citadel jest zo sliwym oprogramowaniem, ktre jest dystrybuowane jako crimeware kit zestaw aplikacji pozwalajacych na stworzenie wasnej instancji botnetu. Rozwina si e on z kodu innego bota Zeusa, ktry to kod wyciek w 2011 roku.

Rysunek 1: Schemat ataku man in the browser 5

BOTNETY

ciej do wykradania danych logowania do instytucji Citadel wykorzystywany by najcz es nansowych oraz atakw z wykorzystaniem inzynierii spoecznej. Uzywa w tym celu atakw typu man in the browser. Na rysunku 1 zaprezentowany jest schemat takiego typu ataku. w naszym raporcie na teWiecej informacji na temat botnetu Citadel mozna znale zc mat przejecia instancji plitfi: http://www.cert.pl/news/6900. Jest to jedna z instancji znajdujacych si e na domenach zarejestrowanych w Domain Silver.

4.2

Dorkbot (NgrBot)

. Jedna z barDorkbot jest zo sliwym oprogramowaniem posiadajacym duz a funkcjonalno sc dziej zaawansowanych jest instalacja rootkita w trybie uzytkownika, dzi eki czemu moze on ukrywa c swoja obecno sc w systemie zarwno obecno sc samego pliku ze zo sliwym oprogra na li mowaniem, jak i jego aktywno sc scie procesw. Pozostae mozliwo sci oprogramowania to miedzy innymi: infekowanie dyskw USB, pobieranie i uruchamianie dodatkowego oprogramowania, wykradanie hase z serwisw spoeczno sciowych, hostingowych i innych, rozprzestrzenianie si e przez Skype, MSN, Facebook czy inne serwisy spoeczno sciowe, przeprowadzanie atakw typu ood czy slowloris. Wiecej informacji na temat Dorkbota oraz jego instancji, ktre wykorzystyway domeny w jednym z wpisw na naszym blogu pod adresem: http: w Domain Silver mozna znale zc //www.cert.pl/news/6434.

4.3

Zeus Ice IX

Kolejna po Citadelu ga ezia zo sliwego oprogramowania, powstaego na podstawie ujawnionego kodu Zeusa, jest Ice IX. Posiada on te same mozliwo sci co Zeus, czyli potra zarwno przechwytywa c hasa uzytkownikw zainfekowanych systemw jak i przeprowadza c ataki man-in-the-middle takie jak ten przedstawiony powyzej. na blogu RSA pod adresem http: Wiecej na temat tej odmiany Zeusa mozna znale zc //bit.ly/11WI8u7.

4.4

Andromeda (Gamarue)

Andromeda jest modularnym botem stworzonym w taki sposb, by umozliwi c atwe dodawanie do niego nowych funkcji. System sprzedazy tego botnetu opiera si e na udost epnianiu kolejnych pluginw za dodatkowa opata. Pluginy te umozliwiaj a mi edzy innymi nast epujace operacje: pobranie i uruchomienie dodatkowego oprogramowania, 6

BOTNETY wykradanie danych logowania z rznych serwisw, tworzenie z komputera oary serwera po sredniczacego (proxy).

Bot ten zawiera rwniez duz a liczb e technik chroniacych go zarwno przed analiza dynamiczna z wykorzystaniem oprogramowania VirtualBox czy VMWare, jak i przed debugowaniem. Sposobem rozprzestrzeniania si e botnetu byy wiadomo sci e-mail sugerujace, iz zaaczony do niej plik to bilet elektroniczny na podrz samolotem. Drugim sposobem byo uzycie popularnego exploit kita, czyli zbioru aplikacji wykorzystujacych luki we wtyczkach przegladarki internetowej lub w samej przegladarce. Wiecej informacji na temat tego zo sliwego oprogramowania i kampanii zwiazanej z Do na blogu rmy Trend Micro: http://bit.ly/SW2dr3. main Silver mozna znale zc

4.5

RunForestRun

RunForestRun jest zo sliwym oprogramowaniem wycelowanym w serwery WWW. Do kaz dego pliku HTML na serwerze dodawany by zo sliwy JavaScript tworzacy ramk e (iframe ) w obecnej stronie. Ramka ta kierowaa uzytkownika na adres zawierajacy szkodliwy kod (exploit kit lub reklamy). RunForestRun ma zaimplementowany algorytm generowania nazw domenowych (z ang. Domain Generation Algorithm, w skrcie DGA). Rozwiazanie to jest rzadko spotykane w srd zo sliwego oprogramowania przeznaczonego na serwery WWW. W przypadku jednej z wersji RunForestRun, oprogramowanie nawet kilkukrotnie w ciagu dnia generowao nowa nazw e domenowa z koncwk a .waw.pl powodujac, iz blokowanie domen z ktrymi oprogramowanie si e aczyo nie rozwiazywao problemu. Zablokowanie domeny wykorzystywanej danego dnia nie spowoduje odci ecia komunikacji z serwerem C&C, gdyz dnia kolejnego wykorzystywana jest inna domena. Wiecej informacji na temat tego zo sliwego oprogramowania i DGA tworzacego domeny w .waw.pl, ktre nast epnie byy rejestrowane poprzez Domain Silver mozna przeczyta c na blogu Unmask Parasites: http://bit.ly/OLynll.

4.6

Ransomware

Na 16 domenach zaozonych po 9 lipca 2013 znajdowa si e serwer C&C oprogramowania typu ransomware. Jest to rodzaj zo sliwego oprogramowania blokujacy komputer uzytkownika az do otrzymania okupu. Oprogramowanie to, po zainfekowaniu komputera, aczyo si e z domena zarejestrowana poprzez Domain Silver i pobierao z niej plik DLL, w ktrym znajdowaa si e miedzy innymi strona, ktra bya wy swietlana. Znajdujaca si e na niej tre sc sugerowaa, ze komputer zosta zablokowany ze wzgl edu na zamanie przepisw i uzytkownik musi zapaci c grzywn e w wysoko sci 500 zotych. Strona bya dostosowywana do ustawien jezykowych uzytkownika, tak, aby wzbudzi c jego wi eksze zaufanie. Na rysunku 2 znajduje sie zrzut ekranu z zablokowanego komputera.

INFRASTRUKTURA PROXY DO C&C

Rysunek 2: Polska wersja strony informujacej o blokadzie komputera na naszym blogu: Wiecej informacji na temat tego typu oprogramowania mozna znale zc http://www.cert.pl/news/5483.

Infrastruktura proxy do C&C

Niektre z wyzej wymienionych botnetw, w celu lepszej ochrony adresu prawdziwego serwera C&C, wykorzystyway serwery proxy. Serwery uzywane w tym celu zostay najprawdopodobniej przej ete w wyniku wamania. Za kazdym razem gdy zainfekowana maszyna prbuje poaczy c si e z wpisana w jej konguracji domena (np. example.com) musi wybra c jeden z adresw IP z nia zwiazanych. Najcze sciej jest to pierwszy adres IP na li scie odpowiedzi serwera DNS. Nast epnie przesya pod ten adres IP zgromadzone dane oraz pobiera od niego instrukcje. Ten adres odpowiada jednemu z serwerw oznaczonych na rysunku 3 jako Proxy Poziom 1. Jest to maszyna, z ktra bezpo srednio komunikuje si e komputer oary.

CO DALEJ Z DOMENAMI?

Rysunek 3: Architektura proxy do C&C Na kazdym z serwerw poziomu 1 znajduje si e oprogramowanie, ktre przekierowuje wszystkie z adania HTTP do jednego z serwerw oznaczonych jako Proxy Poziom 2. Analogicznie, kazda z tych maszyn przekierowuje z adania do wa sciwego serwera C&C, ktry je przetwarza i ta sama droga przesya odpowied z.

Co dalej z domenami?

NASK 30 lipca 2013 roku wypowiedzia umow e z partnerem Domain Silver, Inc. Wszystkie domeny, ktre zostay zarejestrowane przez Domain Silver, Inc. znajduja si e obecnie w stanie de facto zamrozenia. Oznacza to, ze wszelkie zmiany w Rejestrze dotyczace tych domen sa niedozwolone. Domeny maja wpisanego, jako registrara, nazw e vinask. Domeny te be da systematycznie przenoszone na serwery sinkholea CERT Polska.

You might also like