Professional Documents
Culture Documents
Spis treci
11
4.1
11
13
5.1
15
5.2
17
6. Ataki DDoS
19
6.1
19
6.2
Statystyki
19
23
6.3
7. Malware
25
7.1
27
7.2
30
7.3
31
33
8.1
Skanowania portw
33
Podatnoci
35
8.2
40
44
11. Zaczniki
46
11.1
47
11.2
55
11.3
59
11.4
64
11.5
66
11.6
71
11.7
75
Sie Orange Polska obejmuje swoim zasigiem okoo 40% polskiego internetu1, dlatego liczba zdarze i incydentw obsugiwanych przez CERT Orange Polska pozwala na obserwacj trendw oraz wyciganie wnioskw, ktre mona przeoy
na cay krajowy internet. Jako jeden z gwnych operatorw telekomunikacyjnych Orange Polska, dziki dziaalnoci swojej
jednostki CERT, dysponuje baz informacji i zdarze, ktre podlegaj cigej analizie, nierzadko wpywajc na biece funkcjonowanie firmy. Zdecydowalimy si zatem podzieli tymi informacjami po to, by pokaza spojrzenie na bezpieczestwo
teleinformatyczne oczami operatora.
Niniejsze opracowanie to pierwsze podsumowanie caorocznych dziaa CERT Orange Polska. Dzisiaj nie mona bagatelizowa cyber-zagroe istotna cz biznesu i interakcji z aktualnymi lub potencjalnymi klientami dzieje si w sieci, wic
si rzeczy tam przenosi si take przestpczo. Gboko wierz, e Raport CERT Orange Polska pomoe menederom
w zrozumieniu zagroe funkcjonujcych w internecie, jak rwnie w podejmowaniu decyzji biznesowych i inwestycyjnych.
Przydatny bdzie take dla wszystkich zainteresowanych internautw.
Piotr Muszyski
Wiceprezes Zarzdu ds. Operacyjnych
Orange Polska
http://www.orange-ir.pl/pl/results-centre/results/2014.
2. Podsumowanie informacji
zawartych wraporcie
2005
2006
Abuse TP SA
(Polpak)
Abuse TP SA
TP CERT
2010
TP SOC
SOC komercyjny
2013
CERT OPL
SOC OPL
Sebastian Zamora
Channel Account Manager McAfee
Raporty McAfee Labs wskazuj na kilka przykadw wykorzystania funkcji zaufanych aplikacji iusug przez mobilne zoliwe oprogramowanie, np.:
Android/BadInst.A:
Ta zoliwa aplikacja mobilna dziaa wobszarze uwierzytelnienia iautoryzacji
konta wApp Store wcelu automatycznego pobierania, instalowania iuruchamiania aplikacji bez zgody uytkownika.
Android/Waller.A:
Wykorzystuje luk wlegalnej usudze cyfrowego portfela wcelu przejcia kontroli nad protokoem przekazw pieninych iprzeniesienia rodkw na serwery
atakujcego.
Android/Balloonpopper.A:
Korzysta zluki wmetodzie szyfrowania popularnego komunikatora WhatsApp,
umoliwiajc atakujcemu przechwycenie i udostpnienie konwersacji i zdj
bez zgody uytkownika.
Mamy zaufanie do marek inazw, ktre znamy zinternetu. Kiedy bardzo chcemy co mie, czsto nasza czujno jest upiona ibezwiednie godzimy si na
czyhajce zagroenia mwi Vincent Weafer, Senior Vice President McAfee
Labs. Rok 2014 pokaza ju wsposb wyrany, e twrcy mobilnego zoliwego oprogramowania wykorzystuj t wanie skonno. Programici musz
koniecznie usprawni zabezpieczenia wbudowywane w tworzone przez nich
aplikacje, auytkownicy powinni zwiksz ostronoci podchodzi do udzielania zgody wramach ich uywania ostrzega Weafer.
W 2014 roku opublikowano informacj o wielu podatnociach. Na cz znich warto zwrci szczegln uwag
ze wzgldu na ich grony charakter.
Jedn z najczciej przytaczanych i najdokadniej opisywanych wminionym roku luk by Heartbleed podatno
odkryta w pakiecie OpenSSL pozwalajca na odczytanie
fragmentw pamici atakowanego procesu, a w konsekwencji czsto prywatnego klucza, co pozwala na odszyfrowanie treci przechwyconego komunikatu. Moe to
oznacza np. moliwo ledzenia irejestrowania interakcji
w programie pocztowym lub przechwycenia wpisywanego loginu ihasa (np. do banku). Biblioteki SSL, wktrych
wykryto podatno, byy niezwykle popularne w chwili
publikowania informacji luka dotyczya okoo p miliona
dziaajcych w sieci serwerw WWW. Luka bya rwnie
bardzo atwa do wykorzystania. W opracowaniu amerykaskiego repozytorium National Vulnerability Database
uzyskaa w tej kategorii ocen 10/10 w punktacji CVSS
(Common Vulnerability Scoring System Wsplny System
Oceniania Podatnoci).
Podatno Shellshock zostaa upubliczniona 24 wrzenia
2014 roku. Polega ona na tym, e program bash umoliwia atakujcemu wykorzystanie treci, ktra powinna by
interpretowana jako dane, w charakterze kodu wykonywalnego. W efekcie atakujcy moe za porednictwem
zmiennych rodowiskowych przekaza do programu polecenie, ktre ten nastpnie wykona. Shellshock jest jedn
z najbardziej niebezpiecznych luk zaobserwowanych od
lat, a to dlatego, e bash, jako ulubiona powoka wielu
administratorw systemowych, bardzo czsto jest wybierana jako domylna dla systemw klasy Linux czy Unix.
10
11
39%
DDoS
28%
typ incydentu
czestwa.
Prby wama
20%
7%
Phishing URL
1%
Inne
5%
udzia procentowy
Wykres 2.
Liczba incydentw obsuonych
1400
1200
wskali miesica
800
600
400
grudzie
listopad
wrzesie
padziernik
miesic
sierpie
lipiec
czerwiec
maj
kwiecie
marzec
luty
200
stycze
liczba incydentw
1000
12
13
1
2
rne
inte
podstawione (faszywe)
serwery DNS
autentyczne serwisy WWW,
np. bankowo internetowa
podatne modemy
uytkownikw/
klientw
sie
atakujcy
sprzeday Orange Polska, majcych luk bezpieczestwa, zostay podmienione adresy DNS. Zablokowanie
tych adresw pozwolio na zabezpieczenie klientw
przed dziaaniami atakujcych, jednak spowodowao jednoczenie uniemoliwienie korzystania z usug
dostpu do sieci internet.
5 lutego zesp CERT Orange Polska wypracowa
rozwizanie umoliwiajce zapewnienie bezpiecznego
dostpu do sieci internet dla klientw Orange Polska
zzainfekowanymi modemami. Wykonano tzw. sinkholing (przekierowanie ruchu na adresy IP serwerw DNS
Orange Polska zjednoczesn analiz zoliwego ruchu
przez CERT Orange Polska), co pozwolio klientom ze
zmienionymi adresami DNS odzyska dostp do sieci
internet. Zdecydowano te oprzeprowadzeniu etapami przekierowania zainfekowanych uytkownikw na
dedykowan stron WWW z ostrzeeniem o zagroeniu oraz narzdziem i instrukcj do wprowadzenia
poprawnych parametrw konfiguracyjnych w routerach, co pomogo w minimalizowaniu zagroenia.
Cho potencjalnie zagroone byy 94 tysice klientw Orange Polska (liczb zaatakowanych modemw oszacowano na 44 tysice), trzeba zaznaczy,
e atak prowadzony by rwnie na innych polskich
operatorw.
L
OP
Uytkownicy prbuj si
zalogowa na swoje konta
w serwisach bankowoci
internetowej, podaj atakujcym
swoje loginy, hasa oraz inne dane
potrzebne do uwierzytelnienia.
Atak moe by rwnie
wykorzystany do przejcia
komputerw uytkownikw
w celu stworzenia botnetu
do wykonywania np. atakw
DDoS lub spamowych.
Rysunek 1.
Proces atakw na modemy DSL
14
15
Wykres 3.
100 000
90 000
80 000
okresie
70 000
liczba
60 000
50 000
40 000
30 000
20 000
10 000
5.2 Case study faszywe faktury, ataki phishingowe (2. poowa roku)
podatne modemy
03/03
02/03
01/03
28/02
27/02
26/02
25/02
24/02
23/02
22/02
21/02
data
20/02
19/02
18/02
17/02
16/02
15/02
14/02
13/02
12/02
11/02
10/02
09/02
08/02
07/02
przejte modemy
Rysunek 2.
Mail phishingowy
16
17
6. Ataki DDoS
Wykres 4.
redni
niski
2014/12/01
2014/11/01
2014/10/01
2014/09/01
2014/08/01
2014/07/01
2014/06/01
2014/05/01
2014/04/01
2014/03/01
2014/02/01
800
700
600
500
400
300
200
100
0
2014/01/01
liczba alertw
wysoki
Wykres 5.
Poziom krytycznoci alertw DDoS
wrozkadzie procentowym
60%
30%
redni
wysoki
10%
udzia procentowy
6.2 Statystyki
W2014 roku CERT Orange Polska zidentyfikowa 106 768
alertw DDoS (ostrzee oruchu noszcym znamiona ataku) dotyczcych sieci usugowej Orange Polska, co daje
rednio ok. 9 tysicy alertw miesicznie. To blisko 40-procentowy wzrost wporwnaniu z2013 rokiem. Alerty DDoS
w 2014 roku wpodziale na poziom krytycznoci przedstawiono na Wykresie 4, za wrozkadzie procentowym na
Wykresie 5. Jednego przypadku ataku moe dotyczy kilka
lub kilkanacie alertw, wystpuj take tzw. false positive
klasyfikacja prawidowego ruchu jako anomalii. Wniektrych przypadkach atakw infrastruktura sieciowa potrafi
rozproszy prb bez udziau specjalistycznych rozwiza,
wic nie zostanie on zobrazowany wstatystykach alertw.
18
data
niski
19
Wykres 6.
UDP Fragmentation
49%
typ ataku
Reflected DDoS
33%
UDP Flood
6%
ICMP Flood
5%
SYN Flood
4%
3%
udzia procentowy
Wykres 7.
60
50
40
30
20
10
0
12/01
11/01
10/01
09/01
08/01
07/01
06/01
05/01
04/01
03/01
02/01
Orange Polska
01/01
ruch (Gbps)
ntp (1900) in
data
Wykres 8.
ssdp (1900) out
40
35
30
25
20
15
10
0
12/01
11/01
10/01
09/01
08/01
07/01
06/01
05/01
04/01
03/01
02/01
Orange Polska
01/01
ruch (Gbps)
ssdp (1900) in
data
Rysunek 3.
botnet
(grafika: Arbor)
faszywe IP ofiary
2
3
DNS
open
resolvers
atakujcy
Typy atakw DDoS obserwowanych w sieci Orange Polska, przedstawiono na Wykresie 6. Poniej szczegowo
opisano poszczeglne kategorie.
>> Wykres 6.
UDP Fragmentation
Zwizany zfragmentacj pakietw UDP, czyli zwysyaniem duych pakietw (powyej MTU2 1500). Konieczno ich ponownego poczenia wznacznym stopniu
wykorzystuje zasoby procesora.
Reflected DDoS
Wysyanie krtkich zapyta do urzdze, w trakcie
ktrych atakujcy podszywa si pod maszyn ofiary.
Urzdzenia docelowe odpowiadaj pakietami kierowanymi na adres pochodzcy z faszywego nagwka, a ofiara zalewana jest olbrzymi liczb pakietw
z wielu hostw. Najczciej wykorzystuj podatnoci
protokow bazujcych na UDP (m.in. DNS, SNMP,
CHARGEN, NTP czy SSDP).
UDP/ICMP Flood
Zalewanie atakowanego hosta pakietami UDP/ICMP
wysyanymi zwielu przejtych hostw/urzdze (botw).
SYN Flood / TCP RST / NULL
Wykorzystuje poczenie inicjujce TCP (zflag SYN/
RST/NULL), np. zalewanie atakowanego hosta pakietami TCP zustawion flag synchronizacji (SYN), resetowaniem poczenia (RST) lub bez flagi (NULL).
Zpunktu widzenia uytkownika kady zwyej wymienionych rodzajw ataku jest niebezpieczny, gdy powoduje
utrat lub ograniczenie dostpnoci usug sieciowych,
takich m.in. jak serwisy webowe, poczta elektroniczna czy
DNS.
W 2014 roku bylimy wiadkami upowszechnienia nowej
metody wzmacniania atakw DDoS. Od pocztku roku
przestpcy zaczli wykorzystywa m.in. niepoprawnie
skonfigurowane serwery czasu (NTP Network Time Protocol), co zostao zobrazowane na Wykresie 7. Natomiast
od trzeciego kwartau 2014 roku obserwowany jest wzrost
wykorzystania protok SSDP (Simple Service Discovery
Protocol) do akceleracji atakw uwidoczniony na Wykresie
8. Pozwalao to atakujcym na przeprowadzenie efektywnych atakw wolumetrycznych, bowiem odpowied le
skonfigurowanego serwera/usugi jest nawet kilkudziesiciokrotnie wiksza od kierowanego do niego zapytania. Na
kolejnych wykresach przedstawiono charakterystyk ruchu
na porcie 123 (NTP) z/do analizowanego cza Orange Polska (transfer danych na czu przekracza momentami 50
Gbps) oraz charakterystyk ruchu na porcie 1900 (SSDP).
>> Wykres 7. i 8.
ofiara
Maximum Transportation Unit rozmiar najwikszego datagramu moliwego do przekazania przez warstw protokou komunikacyjnego
rdo: https://ssdpscan.shadowserver.org/ dane na dzie 2015-01-05
rdo: http://www.arbornetworks.com/asert/2014/03/ntp-attacks-continue-a-quick-look-at-traffic-over-the-past-few-months/
5
rdo: US-CERT, https://www.us-cert.gov/ncas/alerts/TA14-017A
2
20
21
Wykres 9.
powyej 10
3,8%
5-10
3,7%
2-5
0,5-2
30,6%
0,2-0,5
28,8%
poniej 0,2
24,3%
Werner Thalmeier,
Director Security Solutions EMEA & CALA
Wubiegym roku zaobserwowalimy rwnie wyrany wzrost czasu trwania atakw. 19 procent ofiar zgaszao, e byo atakowane wtrybie cigym. Wminionych latach (2013, 2012 and 2011) czsto zdarzay si sytuacje, gdy raportowano tygodniowe, czy nawet miesiczne ataki, ale liczba badanych przez Radware
firm, padajcych ofiar atakw cigych, nigdy nie przekraczaa 6 procent!
To moe by powane wyzwanie w2015 roku.
Firma Radware to jeden zczoowych wiatowych dostawcw rozwiza ochrony
przed atakami DDoS.
udzia procentowy
22
Wykres 10.
powyej 60
2,2%
30-60
3,0%
15-30
10-15
16,0%
20,0%
58,9%
poniej 10
udzia procentowy
23
7. Malware
Malware (od angielskich sw malicious zoliwy, software oprogramowanie) to termin uywany na okrelenie
oprogramowania, ktrego zadaniem jest wykonywanie
szkodliwych dziaa na komputerze ofiary. Oprogramowanie tego typu infekuje komputery, jest na nich instalowane bez wiedzy i zgody uytkownikw. Do dystrybucji
zoliwego oprogramowania wykorzystywane s na przykad mailowe ataki phishingowe (przesyanie zainfekowanych zoliwym kodem plikw), skonienie uytkownika do
odwiedzenia strony zawierajcej takie oprogramowanie,
instalowanie malwareu umieszczonego w pirackich wersjach programw bd plikach znalezionych winternecie.
Zoliwe oprogramowanie jest czsto wykorzystywane do
przejmowania kontroli nad zainfekowanymi komputerami
przez osoby nieuprawnione idoczania tych urzdze do
sieci botnetowych. Moe by rwnie przyczyn wycieku
danych zgromadzonych na nonikach podczonych do
zainfekowanych stacji roboczych, a take kradziey poufnych informacji wprowadzanych przez uytkownikw (m.in.
loginy, hasa).
W 2014 roku zaobserwowano znaczcy wzrost liczby
malware opracowanego na urzdzenia mobilne przede
wszystkim pracujce pod kontrol systemu Android, jednak inne systemy operacyjne zarzdzajce naszymi smartfonami rwnie nie s wolne od zagroe.
Pojcie zoliwych operacji trudno zdefiniowa jednoznacznie, tym niemniej na oglnym poziomie przyjto,
e wi si one znastpujcymi skutkami:
uzyskiwanie przez uytkownika dostpu do informacji,
dla ktrego nie jest ona przeznaczona,
zakcanie dziaania systemw.
Wszczeglnoci s to nastpujce funkcje:
wykonywanie atakw DDoS,
kradzie danych,
rozprzestrzenianie si na inne systemy i oprogramowanie,
niszczenie danych.
Mona wyrni kilka gwnych typw zoliwego oprogramowania (klasyfikacja wg ENISA6):
wirus
Infekuje inne oprogramowanie, np. program wykonywalny EXE, a ten nastpnie infekuje kolejne odnalezione na dysku lub uruchomione przez uytkownika
programy EXE.
robak
Ma za zadanie szybko rozprzestrzenia si pomidzy
systemami operacyjnymi izainfekowa jak najwiksz
liczb maszyn.
trojan
Oprogramowanie, ktre pod pozorem niegronych
dziaa wprowadza na urzdzenie ofiary inne zoliwe
programy ifunkcjonalnoci.
backdoor
Cyberprzestpcy instaluj na zaatakowanych systemach backdoory (tylne wejcia) w celu zapewnienia
sobie dostpu do nich wpniejszym czasie.
rootkit
Ma za zadanie ukry inne programy w systemie,
a przez to utrudni ich odnalezienie i analiz. Czsto
robi to, ingerujc gboko w mechanizmy dziaajce
upodstaw systemw operacyjnych.
exploit
Wykorzystuje wystpujcy w oprogramowaniu bd
programistyczny w celu przejcia kontroli nad dziaaniem procesu i uruchomienia powoki systemowej
z uprawnieniami programu, w ktrym wykryto luk
wzabezpieczeniach.
keylogger
Zbiera informacje wprowadzane do systemu przez
uytkownika za pomoc klawiatury/myszy.
Opisujc zoliwe oprogramowanie, nie mona zapomina
opojciach bot i botnet. Bot to komputer zainfekowany zoliwym oprogramowaniem, czcy si iodbierajcy
komendy z Centrum Kontroli (Command&Control, C&C).
Botnet natomiast to sie botw.
Wspczesnego malware najczciej nie da si przyporzdkowa do konkretnej kategorii, ma on bowiem cechy
kilku z nich. Dla przykadu ZeroAccess to trojan sucy
jako platforma do instalacji innego zoliwego oprogramowania, wykorzystujca zaawansowane techniki ukrywania si wsystemie operacyjnym charakterystyczne dla
rootkitw. Zkolei Stuxnet propaguje si jak robak, ale ma
rwnie funkcje trojana, komunikujcego si ze zdalnymi
wzami C&C.
Uytkownik sieci korzystajcy zportalu bankowoci online
moe pa ofiar tzw. trojana bankowego. Jego elementy
rozmieszczone wzainfekowanym systemie zbieraj dziki
wykorzystaniu zaawansowanych technik informacje, zwizane zzarzdzaniem kontem bankowym ofiary.
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/botnets/botnets-measurement-detection-disinfection-and-defence
25
Wykres 11.
Typy zagroe zoliwym
90%
oprogramowaniem
80%
70%
60%
50%
40%
Malware Callback
30%
Infection Match
20%
Domain Match
10%
Uytkownicy Neostrada
grudzie
listopad
padziernik
wrzesie
grudzie
listopad
padziernik
wrzesie
0%
Wykres 12.
57%
49%
50%
40%
Local.Callback
Trojan.ZeroAccess
30%
Trojan.Sisron
23%
20%
18%
Worm.Email.Brontok
Trojan.Sality
10%
10%
3%
3%
2%
0%
wrzesie
26
20%
22%
5%
2%
1%1%
padziernik
5%
1% 1%
1%
listopad
5% 5%
grudzie
Majc na uwadze ewolucj zagroe, CERT Orange Polska prowadzi cigy rozwj narzdzi monitorowania zagroe i przeciwdziaania im. We wrzeniu 2014 roku uruchomiona zostaa nowa platforma bezpieczestwa, dziki
ktrej moliwe jest monitorowanie poziomu iminimalizacja
zagroe zwizanych zmalware, adotykajcych uytkownikw sieci Orange Polska. Wykres 11. przedstawia udzia
procentowy trzech najpopularniejszych rodzajw zagroe
wystpujcych w sieci Orange Polska. Obrazuje zdarzenia zwizane ze zoliwym oprogramowaniem pod wzgldem unikalnych uytkownikw dla cz usugi Neostrada
(gwnie uytkownicy prywatni) oraz Internet DSL (gwnie
mae i rednie podmioty gospodarcze) dla reprezentatywnej prbki 25 tys. uytkownikw. Te ikolejne wykresy
przedstawiaj prbk wpostaci wartoci zczterech ostatnich miesicy 2014 roku. Wkolejnym okresie raportowym
moliwe bdzie wskazanie penego zakresu danych z 12
miesicy.
>> Wykres 11.
Od wrzenia do grudnia 2014 roku dla cz usugi Neostrada zauwaalna jest spadkowa tendencja dla malware
z kategorii Infection Match. Zdarzenia zdefiniowane jako
Infection Match przedstawiaj infekcje wczasie rzeczywistym widocznie m.in. wformie zaraonych plikw pobieranych na urzdzenie uytkownika, zoliwego kodu wykonywanego podczas otwierania zainfekowanych witryn albo
kolejnych prb infekcji na zaraonej ju stacji.
Znaczny wzrost zagroe mona zauway dla Malware
Callback oraz Domain Match.
Malware Callback to poczenie wykonywane przez malware zainstalowany na zainfekowanym komputerze
z serwerem Command&Control w celu pobrania instrukcji sterujcych oraz wysyania wykradzionych danych lub
aktualizacji zoliwego oprogramowania. Domain Match
jest wysyanym zzainfekowanego przez malware komputera zapytaniem onazw domeny uywanej do lokalizacji
27
Wykres 13.
45%
40%
39%
33%
35%
InfoStealer.Zbot
30%
25%
20%
20%
27%
28%
25%
5%
7%
6%
4%
1%
1%
0%
Backdoor.APT.LV
9%
8%
6%
4%
wrzesie
padziernik
Trojan.ZeroAccess
17%
15%
10%
Trojan.Ramnit
21%
20%
15%
Backdoor.NjwOrm
0%
listopad
grudzie
80%
70%
71%
Uytkownicy Neostrada
niepowizani ze zoliw zawartoci
64%
51%
49%
40%
30%
63% 64%
61%
50%
Uytkownicy Neostrada
powizani ze zoliw zawartoci
71%
60%
86%
90%
Wykres 14.
35%
37%
29%
20%
36%
29%
14%
10%
0%
wrzesie
padziernik
listopad
grudzie
Wykres 15.
5%
5%
4%
4%
4%
4%
3%
3%
5%
6%
Worm.Email.Brontok
98.37.201.117
4%
4%
4%
4%
3%
3%
3%
3%
2%
2%
2%
1%
28
wrzesie
Trojan.Sisron
42.121.125.34
Trojan.Sisron
42.121.133.1
Trojan.Ramnit
109.74.195.149
Trojan.Sisron
118.184.176.15
1%
0%
dla Neostrady
7%
6%
4%
Poczenia do Command&Control
padziernik
listopad
Opisy najciekawszych malware (szczegowe analizy przypadkw zoliwego oprogramowania zostay zamieszczone wzacznikach od 1. do 3. wkocowej czci raportu):
Trojan.ZeroAccess
Za porednictwem backdoora w systemie operacyjnym trojan wymusza komunikacj z zaraonej stacji
do zewntrznego centrum sterowania, np. na porcie
TCP 49163. Potrafi rwnie przez ukryte pliki systemowe zestawi poczenie TCP 80 do pobierania na
zainfekowane urzdzenie rnego rodzaju zoliwego
oprogramowania.
InfoStealer.Zbot
Ko trojaski (rodzina Zeus), ktry wykrada poufne
dane z zainfekowanego komputera. Jest w stanie
pobiera samodzielnie pliki konfiguracyjne iaktualizacje zcentrum sterowania.
Backdoor.Njw0rm
Ko trojaski wykradajcy hasa dostpowe zapisane w pamici zaraonego komputera. Jest w stanie
przenie si na urzdzenia sieciowe albo na noniki
zewntrzne.
Trojan.Ramnit
Ko trojaski umoliwiajcy przejcie zdalnego dostpu do komputera ikontroli nad zaraonym komputerem
przez centrum sterowania, anastpnie wykorzystanie
go do celw zwizanych zcyberprzestpczoci.
Trojan.Sality
Wirus infekujcy pliki wykonywalne na dyskach lokalnych, sieciowych i zewntrznych. Zestawia rwnie
poczenie peer-to-peer zbotnetem wcelu uzyskania
URL, prowadzc do kolejnych zainfekowanych plikw.
Bot.Conficker
Otwiera atakujcemu zdalny dostp do warstwy systemu operacyjnego. Naley do grupy botw pozwalajcych na instalowanie backdoorw, ciganie iwykonywanie dodatkowych zoliwych plikw oraz blokowanie
dostpu z komputera uytkownika do aplikacji, programw iwitryn bezpieczestwa, co znacznie utrudnia
jego usunicie.
Bot.Mariposa.DNS
Oprogramowanie klienckie sieci botnetowej wykradajce dane dostpowe uytkownikw, infekujce oprogramowanie pocztowe, atake wykorzystujce zaraone komputery do atakw DDoS.
Trojan.Ramnit.SNK.DNS
Oprogramowanie klienckie sieci botnetowej przejmujce zdaln kontrol nad komputerem zaraonym trojanem Ramnit.
Worm.Email.Brontok.DNS
Oprogramowanie klienckie sieci botnetowej obsugujce robaki emailowe. Robaki Brontok rozprzestrzeniaj
si wzacznikach wiadomoci e-mail, zmieniaj ustawienia komputera, modyfikuj rejestr i blokuj moliwo jego edycji.
Backdoor.DarkComet
Backdoor pozwalajcy atakujcemu na uzyskanie nieautoryzowanego dostpu do komputera ikontroli nad
zaraonym komputerem.
Local.Callback
Poczenie do centrum sterowania nie majce cech
charakterystycznych pozwalajcych na okrelenie
jego przynalenoci do specyficznej rodziny zoliwego
oprogramowania.
Wykres 14. przedstawia prbk ruchu z czterech miesicy dotyczc powizania uytkownikw usug Internet DSL
oraz Neostrada w udziale procentowym z ruchem o charakterze anomalii wywoanym zoliwym oprogramowaniem.
>> Wykres 14.
Obserwacje ruchu dowodz, e w badanym okresie
zadresw IP rednio u 50 procent uytkownikw stwierdzono ruch wskazujcy na dziaanie zoliwego oprogramowania. Wysoki odsetek zaraonych uytkownikw
Internet DSL (z reguy usugi dla maych i rednich firm)
moe wskazywa zarwno na niski poziom wiadomoci
bezpieczestwa, jak i na brak zabezpiecze w tego typu
maych sieciach firmowych. Nisze wskaniki dotyczce
sieci Neostrada mog wiadczy zarwno owyszej wiadomoci bezpieczestwa uytkownikw indywidualnych,
jak iolepszym poziomie zabezpiecze wykorzystywanych
przez nich urzdze dostpowych. Nagy skok liczby uytkownikw, powizanych ze zoliw zawartoci pokrywa
si z przedstawionym na Wykresie 12. znacznym wzrostem infekcji trojanem ZeroAccess, dowodzc susznoci
przedstawionych wczeniej wnioskw o ataku zoliwym
oprogramowaniem niewykrywalnym jeszcze pod koniec
2014 roku.
Wykres 15. przedstawia Top 5 malware, adresy serwerw
Command&Control oraz udzia procentowy uytkownikw
Neostrady, ktrzy czyli si znimi wtrakcie analizowanego
okresu ostatnich czterech miesicy 2014 roku.
>> Wykres 15.
Na czach Neostrady mona zauway, e jedyny wzrost
swojej aktywnoci mia wirus Trojan.Sisron komunikujcy
si z rnymi serwerami Command&Control. Wiele przypadkw zoliwego oprogramowania powizanych z konkretn adresacj jednego miesica stanowicych najwiksze rdo zagroenia wkolejnych moe zupenie znikn
zmonitorowanej sieci. Zazwyczaj oznacza to niestety tylko
zmian charakterystyki odwoa definiujcych rodzaj zagroenia, bd adresacji kocowej, odpowiadajcej za poczenia zofiarami atakw. Std konieczno monitorowania
sieci wtrybie cigym pod ktem anomalii wskazujcych na
dziaanie zoliwego oprogramowania.
grudzie
29
Wykres 16.
39%
40%
36%
35%
35%
29%
30%
20%
16%
15%
trzymiesiczna
cie Microsoft Office, aby uruchomi pozornie nieszkodliwy plik wykonywalny ews.
Android.CoolPaperLeak
Android.Malware.AndroRAT
Android.Trojan.CoinKrypt
8%
1%
1%
wrzesie
1%
Android.Trojan.Mseg
18%
17%
10%
0%
Android.NotCompatible
25%
5%
exe. Plik ten uruchamia komponent pakietu Office podatny na tzw. dll side loading
44%
44%
45%
Klaudiusz Korus
Starszy Inynier Systemowy FireEye
9%
-kaba.html
1%
padziernik
listopad
wstyczniu 2012 roku, grupa odpowiedzialna za ten atak jest wci aktywna! Wpadzierniku 2014 roku FireEye opublikowa raport APT28 opisujcy dziaalno grupy
umieszcza
adunek
Rysunek 4.
wypakowuje
tworzy
Sposb dziaania
Backdoor.APT.Kaba
ews.exe
aduje
oinfop11.exe
OCX
aduje
rozpakowuje
rozszyfrowuje
oinfo11.ocx
DLL
oinfo11.iso
cyberprzestpcw popieranych najprawdopodobniej przez rzd rosyjski. Wodrnieniu od wspomnianych wczeniej atakw typu APT (Kaba, SpyNet) raport dotyczy
dziaalnoci samej grupy przestpczej, stanowi zatem krok w kierunku fizycznego
zidentyfikowana przestpcw, anie tylko opisania technologii przez nich wykorzystywanych. Grupa APT28 jest ukierunkowana na zbieranie informacji politycznych oraz
obronnych zwizanych zkrajami Europy Zachodniej, Gruzj iKaukazem. Dziaa co
najmniej od 2007 roku, cigle udoskonalajc irozwijajc swoje technologie.
w pamici
30
http://www.fireeye.com/resources/pdfs/apt28.pdf
31
Skanujc porty, agresor jest wstanie ustali, jakiego rodzaju usugi sieciowe s dostpne na atakowanym urzdzeniu,
jakie aplikacje oraz wjakich wersjach s udostpniane na
otwartych portach, zjakich systemw operacyjnych korzysta ofiara. Dobierajc okrelone typy skanowania, moe
ponadto zduym prawdopodobiestwem zidentyfikowa
rodzaj wykorzystywanych firewalli oraz objte nimi usugi.
Na podstawie zdobytych wten sposb informacji agresor
tworzy map podatnoci wystpujcych wwykorzystywanych u ofiary systemach operacyjnych oraz okrela dalsze scenariusze ataku. Etap aktywnego rozpoznawania
infrastruktury jest zazwyczaj zapowiedzi realnych atakw
na sie informatyczn, dlatego tak istotne jest skuteczne
wykrywanie iutrudnianie bd uniemoliwianie takich prb.
32
identyfikatory podatnoci
Port 1433
Uywany standardowo przez MS SQL Server, popularny system zarzdzania bazami danych. Wprzeszoci
by podatny na zdalne wykonanie kodu przez przepenienie bufora (CVE-2002-1123) oraz zablokowanie
pracy serwera przez atak DDoS (CVE-1999-0999).
Najwicej atakw na port 1433 przeprowadzano
zChin, Stanw Zjednoczonych, Republiki Korei Poudniowej oraz Wietnamu.
Port 81
Uywany bezporednio przez cz instancji malware.
Porty 21320, 10073
Nieobsugiwane przez adne dedykowane oprogramowanie, prawdopodobnie uywane do realizacji jednego zbackdoorw.
Port 110
Protok POP3 uywany do odbioru poczty elektronicznej.
33
Port 3128
Uywany przez aplikacj Squid serwer poredniczcy
(Proxy). Podatny na dwa typy atakw: zablokowania
usugi spreparowanymi nagwkami http oraz umoliwienie wykonania kodu przez przepenienie bufora.
Celem ataku moe by te wykorzystanie otwartych
serwerw proxy do dalszych atakw, co utrudnia
wykrycie sprawcy.
Port 8088
Uywany przez Asterisk Web Configuration (PBX),
webowy interfejs sucy do zarzdzania central VoIP.
W wielu wersjach system ma liczne bdy umoliwiajce zdalne przejcie kontroli, ominicie autoryzacji
iuwierzytelnienia uytkownika, atake przeprowadzenie ataku Denial of Service na centralk VoIP.
Port 113
Uywany do uwierzytelniania przez rnego rodzaju
serwery IRC.
Fakt najwikszej popularnoci usugi proxy wynika
wznacznej czci ztego, e umoliwia ona atakujcemu
wykorzystanie komputera niewiadomej ofiary do poczenia z kolejnym serwerem, a w efekcie do przeprowadzenia bardziej anonimowego ataku docelowego. Wikszo
skanowanych portw jest wykorzystywana przez atakujcych przede wszystkim do skompromitowania urzdze
poprzez wykorzystanie niezaktualizowanych aplikacji, skorzystania zfunkcjonalnoci aplikacji wcelu skkompromitowania kolejnych urzdze lub zarzdzania ju skompromitowanymi.
Poniej lista krajw, zktrych przeprowadzono najwiksz
liczb skanowa portw. Tabela powstaa wwyniku analizy przez CERT Orange Polska adresw IP rde skanowania. Najwiksza liczba skanowa pochodzi z adresw
rdowych z lokalizacj w Stanach Zjednoczonych. Dla
skanowa prowadzonych z adresacji IP tego kraju zaobserwowano rwnie najszerszy zakres badanych portw.
>> Tabela 1.
Tak szeroki zakres prowadzonego rozpoznania moe
wiadczy o poszukiwaniu tylnych furtek dla systemw
i aplikacji nasuchujcych na niestandardowych portach
lub budowania mapy dostpnych usug. Mniejsza liczba
unikalnych skanowanych portw zadresacji IP innych krajw moe by dowodem na poszukiwanie przez skanujcych konkretnych podatnych usug.
Pozycja
Kraj
Stany Zjednoczone
922
Tajwan
141
Holandia
527
Chiny
478
Polska
122
Rosja
146
Francja
130
Szwecja
21
Singapur
12
10
Korea Poudniowa
311
Tabela 1. Kraje, zktrych wykryto najwiksz liczb skanowanych unikalnych portw (pozycje wg. liczby skanowa)
34
8.2 Podatnoci
Dziki podatnociom w usugach bd systemach operacyjnych atakujcy s w stanie przej dany serwis albo
nawet cay serwer, na ktrym funkcjonuje usuga. Jednym
z najbardziej destrukcyjnych atakw wykorzystujcych
podatnoci jest atak wymierzony bezporednio w systemy operacyjne. Czsto udostpniaj one rnego rodzaju
usugi sieciowe lub lokalne, dajc atakujcemu, po przejciu kontroli nad usug, pen swobod pracy.
Do najczstszych atakw zaobserwowanych przez CERT
Orange Polska nale:
SQL Injection wstrzyknicie zapytania SQL umoliwiajcego np. podejrzenie loginw i hase, zrzut bazy
danych do pliku, usunicie tabel lub przeczytanie plikw
Cross-Site Scripting (XSS) manipulacja zawartoci
strony dziki wstrzyknitemu kodowi dziaajcemu
wprzegldarce internetowej klienta. Efektem moe by
utrata danych, eskalacja uprawnie, atak na inne aplikacje. XSS to kradzie ciasteczka sesyjnego, robaki,
infekujce serwisy spoecznociowe lub wstrzykujce
pod faktyczn witryn niewidoczne ramki wykonujce akcje bez wiedzy uytkownika, np. pobierajce
zoliwe oprogramowanie.
CSRF (Cross Site Request Forgery) pozwala wykorzysta sesj uytkownika do niewiadomego przesyania da do aplikacji interpretujcej te dania
wkontekcie sesji uytkownika jako poprawne. Ataki
CSRF prowadz do eskalacji uprawnie, zmiany bd
ujawnienia danych (w tym uwierzytelniajcych). Najczciej powizane s zsieci www iprotokoem http,
znane s te przypadki wystpowania tej podatnoci
np. w serwerze ftpd (CVE-2008-4247). Wymagana
jest znajomo struktury atakowanej aplikacji.
Insecure Direct Object References bezporedni
dostp do chronionych danych poprzez manipulowanie parametrami da http.
Remote File Include (RFI) zdalne zaimportowanie
i wykonanie kodu (np. PHP) wykonywanego przez
atakujcego wramach podatnej strony, nastpnie za
wykorzystanie luki, by wykona ten kod po stronie
serwisu atakowanego. Wykorzystywane najczciej
wcelu uzyskania dostpu do danych chronionych.
Local File Include (LFI) podpatrzenie plikw na serwerze wzalenoci od narzuconych uprawnie. Pozwala
czsto rwnie na odczytanie plikw zrozszerzeniami
35
Wykres 17.
Podatnoci wbadanych aplika-
9%
18%
krytycznoci
rednie
niskie
34%
informacyjne
39%
Wykres 18.
Liczba unikalnych podatnoci
80
70
60
miesica.
Wprzypadku systemw zrodziny Windows bdy wystpuj przewanie w niezabezpieczonych usugach: SMB8,
RPC9, LSASS10, UPnP11. Wikszo znich umoliwia swobodny dostp do podatnego urzdzenia, po odpowiednim wykorzystaniu luki w oprogramowaniu. Zazwyczaj
wystarczyoby odpowiednio dba outrzymanie systemw,
by znacznie zminimalizowa ryzyko udanego ataku. Dziki prowadzonym cyklicznie przez CERT Orange Polska
testom bezpieczestwa infrastruktury iaplikacji rekomendacje bezpieczestwa wdraane przez utrzymujcych systemy i aplikacje zmniejszaj moliwo przejcia kontroli
nad systemami lub wycieku informacji.
W zestawieniu na poprzedniej stronie znajduj si statystyki dotyczce podatnoci zidentyfikowanych w analizowanych przez zesp CERT Orange Polska systemach
operacyjnych.
>> Wykres 19.
50
Ponisza tabela przedstawia list 10 najczciej wystpujcych podatnoci zkategorii ryzyka wysokie.
>> Tabela 3.
40
30
20
Podatno
grudzie
listopad
padziernik
wrzesie
sierpie
lipiec
czerwiec
maj
kwiecie
marzec
stycze
luty
10
6474
21%
3822
12%
1295
4%
1221
4%
1132
3%
ziom krytycznoci
1006
3%
rednie
791
2%
niskie
758
2%
Procent wstosunku
do wszystkich podatnoci
Directory Listing
Wykres 19.
36%
Liczba
wysokie
informacyjne
Tabela 2. Podatnoci (w tym informacyjne) wystpujce najczciej w serwerach web przygotowanych do wdroenia produkcyjnego
32%
7%
Podatno
Wykres 20.
700
600
wsystemach operacyjnych
wpodziale na miesice
500
400
300
200
grudzie
listopad
padziernik
wrzesie
sierpie
lipiec
czerwiec
maj
kwiecie
marzec
luty
stycze
100
Liczba
Cross-Site Scripting
1221
758
605
Poodle
277
180
134
86
83
43
Backup files
20
Tabela 3. Najczciej wystpujce podatnoci, mogce generowa powane zagroenia dla serwerw webowych
36
10
37
14%
3032
11%
3010
10%
1112
4%
1102
4%
1093
4%
628
2%
401
1%
331
1%
Podatno
Liczba wystpie
134
78
75
49
49
41
39
35
20
19
System Operacyjny
Pomimo tak nagego wzrostu liczby podatnoci wnastpnych miesicach widoczny jest ich spadek w grudniu
2014 roku do 117 unikalnych podatnoci. Spadek liczby
zidentyfikowanych podatnoci wynika z mechanizmw
zarzdzania ryzykiem stosowanych w Orange Polska.
Osoby odpowiedzialne za utrzymanie systemw s na
bieco informowane o stanie bezpieczestwa. Ponadto
niezalenie od dziaania systemu SWP worganizacji wdroone s procesy ipolityki majce na celu cig popraw
stanu bezpieczestwa. Wzrost liczby podatnoci z grudnia w stosunku do poprzednich miesicy wynika midzy
innymi zfaktu, e jest to miesic, wktrym wstrzymuje si
wiele prac migracyjnych iutrzymaniowych, ograniczajc je
do niezbdnego minimum z uwagi na przygotowanie do
zamknicia roku. Wpywa to na moliwo prowadzenia
zmian wmonitorowanej infrastrukturze.
Wykres 21 przedstawia liczb wystpie podatnoci
wpodziale na poziom krytycznoci.
>> Wykres 21.
Tabela na poprzedniej stronie przedstawia dziesi najczciej wykrywanych podatnoci. Wikszo z nich naley
do kategorii informacyjne.
>> Tabela 4.
Tabela 5 to Top 10 podatnoci systemw operacyjnych
zkategorii wysokie:
>> Tabela 5.
117
Linux 2.6.x
108
Windows XP
96
Linux 2.6.18
68
49
32
Linux 2.4.x
26
Cisco IOS
100
50
38
250
Wykres 21.
Liczba wystpie podatnoci
200
rednie
150
niskie
informacyjne
wysokie
grudzie
listopad
4102
padziernik
wrzesie
sierpie
23%
lipiec
czerwiec
6492
maj
kwiecie
marzec
Procent wstosunku
do wszystkich podatnoci
luty
Liczba wystpie
stycze
Podatno
39
9. Cyber-wiat 2015
oczami partnerw Orange Polska
Rok 2015 bdzie kolejnym, wktrym zaobserwujemy wzrost zjawiska cyberszpiegostwa. Niektre pastwa oraz grupy terrorystyczne wykorzystaj cyberprzestrze do
walki ze swoimi wrogami. Bd to czyniy poprzez ataki DoS lub przy wykorzy
staniu zaawansowanego malware. Jednoczenie wtym czasie cyberszpiedzy stan
si bardziej niewidoczni dziki udoskonalonym metodom ukrywania swojej obecnoci wsieci ofiar, przez co stan si jeszcze bardziej groni. McAfee Labs obserwuje interesujce zjawisko dotyczce aktywnoci pochodzcej zEuropy Wschodniej.
Atakujcy staj si coraz bardziej cierpliwi, co oznacza, e odchodz od modelu
ataku iucieczki, koncertujc si na byciu niewidocznym woczekiwaniu na dogodny
moment do wykorzystania/sprzeday pozyskanych danych.
Rok 2015 przyniesie ogromny przyrost inteligentnych urzdze podczonych do
sieci (Internet of Things) nie tylko tych tworzcych Inteligentny Dom! Po stronie
biznesu mamy do czynienia zurzdzeniami wykorzystywanymi przy produkcji oraz
aparatur medyczn. Zakres oprogramowania izoono towarzyszce temu zjawisku nie sprzyj bezpieczestwu wtym zakresie. Ataki na urzdzenia IoT stan si
bardziej powszechne od atakw na kamery IP, systemy SCADA czy wkraczajce do
Polski inteligentne liczniki energii elektrycznej.
McAfee. Sebastian Zamora
Channel Account Manager
Dlatego wedug McAfee Labs mona si spodziewa duego ataku zwizanego bezporednio zinternetem rzeczy. Coraz czciej celem bd systemy mobilne, przede
wszystkim dla atakw typu ransomware, wymuszajcych okup za zwrcenie uytkownikowi dostpu do przechowywanych na tych urzdzeniach coraz istotniejszych
danych. Rok 2015 bdzie polem walki pomidzy specjalistami wykrywajcymi i eliminujcymi podatnoci systemw patnoci mobilnych aatakujcymi starajcymi si
wykorzysta te podatnoci. McAfee Labs przewiduje nasilon dyskusj wok tematu
prywatnoci, szczeglnie w zakresie definicji pojcia danych osobowych. Unia Europejska skupi si na regulacjach dotyczcych ochrony danych, a w efekcie take
ograniczania anonimowoci uytkownikw sieci, ktrzy bd popularyzowa metody
obchodzenia tych ogranicze. Kady aspekt regulacji Unii wtym zakresie bdzie mia
wmniejszym lub wikszym stopniu wpyw na pastwa narodowe iorganizacje biznesowe wUnii.
Naley si spodziewa ekstremalnych przyrostw atakw kierowanych na systemy
niewindowsowe. Wdrugiej poowie 2014 roku wiat dowiedzia si oluce Shellshock,
podatnoci Bash wsystemach Unix, Linux, OS X. Podatno ta pozwala atakujcemu na wykonanie dowolnej komendy na urzdzeniu ofiary, co czyni t podatno
jedn z najgroniejszych. Wiele urzdze dziaa na bazie jakiej formy Linuxa czy
Unixa (sterowniki przemysowe, systemy lotnicze, telewizory). Dopiero zaczynamy
rozumie natur tej luki. Ataki bd skierowane na zaistnienie winfrastrukturze ofiary:
od uytkownikw domowych poprzez przedsibiorstwa zalene od urzdze bazujcych na podatnych systemach. Cyberprzestpcy bd chcieli spieniy inwestycj we waciwym czasie, dajc okupu czy sprzedajc wraliwe dane. Zamknicie
jednych luk spowoduje penetracj systemw iwykrycie nowych przez atakujcych.
McAfee Labs przeanalizowao prbki malware dostpne w swoim laboratorium
wcelu zbadania, jak czsto malware jest wstanie wykorzysta znane podatnoci
aplikacji. Wzalenoci od kwartau od 1 do 6 procent prbek wykorzystao znan luk.
W 2015 roku McAfee Labs przewiduje wzrost nowo wykrytych luk bezpieczestwa
waplikacjach oraz wzrost zoliwego oprogramowania wykorzystujcego nowe luki.
40
Rok 2014 nazywany jest rokiem kradziey danych, Wystarczy wspomnie choby gone wamania do sklepw Target, Michaels, P.F. Changs czy Home Depot.
Specjalici FortiGuard Labs przewiduj, e w2015 roku ta tendencja si utrzyma,
crackerzy bd wykorzystywa bardziej zaawansowane techniki iznajd nowe luki
wzabezpieczeniach systemw sklepw orazinstytucji finansowych.
Serwisy przestpcze ju teraz oferuj usugi kontroli jakoci szkodliwego oprogramowania. W2015 roku ich wachlarz zostanie rozszerzony ounikanie wykrycia przez
zaawansowane systemy bezpieczestwa iwymykajce si wykryciu wskaniki IoC
(ang. Indicator of Compromise). Wmiar rozbudowywania moliwoci badawczych
i usug oferowanych przez serwisy przestpcze crackerzy bd wykorzystywa
tego samego rodzaju procesy wcelu ustalania najlepszych sposobw na ominicie zabezpiecze. Przestpcy skupi si take na analizie infrastruktury botnetowej
pod ktem wykrywalnoci przez rozwizania rnych dostawcw.
41
Werner Thalmeier
Director Security Solutions EMEA & CALA
Nie wszystkie powysze zagroenia byy jednoczenie wskazywane jako przynoszce najbardziej dokuczliwe inajgroniejsze konsekwencje. Wtej kategorii warto powyej 4,0 osigny pozycje zwizane zatakami na infrastruktur krytyczn bd na dane wraliwe:
cyberkonflikty midzy pastwami powizane zatakami dedykowanymi 4,5,
ataki na systemy sterowania przemysowego (SCADA) 4,33,
wycieki baz danych zawierajcych dane osobowe 4,13,
ataki ukierunkowane na organizacje (APT) 4,13,
ataki na urzdzenia medyczne 4,05.
Najbardziej spektakularne wydarzenia 2014 roku Dragonfly, BlackEnergy, Sandworm, APT28, atak na Sony pobudziy wyobrani internautw. Dodatkowo nasz kraj systematycznie zacz si pojawia winformacjach dotyczcych
najgroniejszych atakw, za konflikt za wschodni granic, w ktrym jestemy postrzegani jako sprzymierzeniec
Ukrainy, sprawi, e rwnie podmioty polskie (komercyjne i zwizane z administracj pastwow) mog si sta
celem wcyberwojnie.
Ocena zarwno prawdopodobiestwa powszechnego wystpienia zagroe, jak iewentualnych skutkw rzeczywistego ich wystpienia, pozwolia na stworzenie prostej analizy ryzyka zagroe w2015 roku. Zgodnie zmetodyk analizy
ryzyka, najgroniejsze s zagroenia, ktrych prawdopodobiestwo wystpienia jest due, aspowodowane przez nie
straty powane.
Mirosaw Maj
Fundacja Bezpieczna Cyberprzestrze
poziom zagroenia
4,5
3,5
Ataki na cloud-computing
Cyberkonflikty pomidzy pastwami
powizane z atakami dedykowanymi
2,5
To efekt cigego wystpowania saboci wnajpopularniejszych systemach operacyjnych iaplikacjach oraz wci niskiego poziom wiadomoci uytkownikw, nieaktualizujcych systemw istosunkowo atwo ulegajcych socjotechnice.
Infekcje Androida to wrnych statystykach minimum 90 procent wszystkich infekcji
na platformy mobilne. Trend ten systematycznie si utrzymuje inie wida przesanek
zapowiadajcych zmian. Pozostaje mie nadziej, e uytkownicy zaczn bardziej
dba o swoje telefony, przede wszystkim aktualizujc posiadan wersj Androida.
By moe rwnie poprawi si wykrywalno zainfekowanych aplikacji dostpnych
wGoogle Play oraz skuteczno powiadamiania onich.
Kluczowe wydaj si zatem zagroenia umieszczone na wykresie wprawym grnym rogu, to jest:
wycieki baz danych zawierajcych dane osobowe, hasa, numery kart kredytowych, itd. (4,22; 4,13),
APT ataki ukierunkowane na organizacje (4,17; 4,13),
akcje cyberszpiegowskie na tle politycznym (4,15; 3,95),
cyberkonflikty pomidzy pastwami powizane zatakami dedykowanymi (np: Stuxnet) (3,65; 4,5),
ataki DDoS na podmioty komercyjne (4,28; 3,58).
Pena wersja raportu, wraz zlist osb biorcych udzia wbadaniu, znajduje si pod adresem:
https://www.cybsecurity.org/wp-content/uploads/2015/01/Raport_FBC_Cyberzagrozenia_2015.pdf
Skala wartociowania wzakresie 1-5
2
2
2,5
3,5
4,5
prawdopodobiestwo wystpienia
13
42
14
43
12
44
rdo: www.cvedetails.com
Elementem usugi moe by Zarzdzanie Zmian wzakresie regu firewall. Na yczenie klienta usuga moe zosta
ograniczona wycznie do audytu urzdze bezpieczestwa sieciowego.
Po uruchomieniu usugi na serwerze zdostpem do infrastruktury klienta moliwy jest audyt regu, atake monitorowanie wczasie rzeczywistym zmian wpolitykach firewalli
z moliwoci natychmiastowej notyfikacji o zmianach,
dokadna analiza i czyszczenie regu oraz raportowanie
oniezgodnociach. Rozwizanie pozwala na analiz urzdze wszystkich liczcych si na rynku producentw urzdze firewall.
10.5 Anty-malware
Wieloprotokoowa analiza ruchu sieciowego wczasie rzeczywistym, obejmujca zachowanie podejrzanego kodu
oraz generowanych pocze callback. Przychodzce
ataki s wykrywane dziki wykorzystaniu rnych technik detekcji, powizanych ze szczegow analiz ataku.
Podejrzane przepywy sieciowe s odtwarzane wmaszynach wirtualnych przeprowadzajcych zaawansowane
analizy zachowania malware w rodowisku symulujcym
realne stacje robocze. Proces opiera si na analizie zachowa kodu na zasadzie bezsygnaturowej, co pozwala obj
niesklasyfikowany wczeniej malware oraz kod wykorzy-
stujcy zaawansowane mechanizmy ukrywania dziaalnoci. Ze wzgldu na natur takich atakw nie ma znanych
wczeniej informacji na ich temat, ktre mogyby zosta
uyte wprocesach korelacji iokrelania reputacji.
Poczenia wychodzce s analizowane pod ktem nieautoryzowanych pocze wiadczcych oobecnoci wsieci komputerw zainfekowanych przed wdroeniem usugi,
poza sieci lub zwykorzystaniem niesieciowych wektorw
ataku (np. infekcja poprzez pendrive USB).
45
11. Zaczniki
Numer zacznika
Tytu
Zacznik 1
Zacznik 2
Zacznik 3
Zacznik 4
Zacznik 5
Zacznik 6
Zacznik 7
Przedmiotem analizy by zacznik wiadomoci spamowej rozsyanej losowo do polskich internautw. Jej elementem byo archiwum ZIP o nazwie W_dla_rachunku_2014_09_01.pdf.zip. Zawartoci archiwum by
wykonywalny plik .exe o nazwie dla rachunku 2014 09
01.pdf.exe.
1209child_dump
101638299f8db1f722b8b0b860d96633
184KB
1209dmp_dll.dll
4937b8fbc1099b16efde5c9255fce7fb
136KB
bot.exe
0cdd1affd044dfd076d8a28669136788
237.5KB
35926348c1f5366fd06f6a70042e3458
238.5KB
2014-09-06
14:46:53
2014-09-06
14:46:50
2014-09-12
08:10:32
2014-09-11
09:07:09
Kod loadera jest zaciemniony, nazwy wszystkich zmiennych, metod iklas maj posta losow, co utrudnia jego
odczyt bez zastosowania dedykowanych rozwiza i narzdzi.
Dane statyczne zawarte w pliku dla rachunku 2014 09
01.pdf.exe dowodz, e jest to aplikacja stworzona wMicrosoft Visual Studio .NET. Wpolu timestamp znajduje si
informacja oostatniej kompilacji kodu z11 wrzenia 2014
roku zgodziny 09:07:09 GMT. Wzasobach aplikacji wystpuje take informacja owersji.
Manifest pliku PE32 informuje system, e aplikacja nie
prbuje w sposb widoczny dla uytkownika podnosi
uprawnie wsystemie zwczonym mechanizmem UAC15.
Podczas dalszej analizy zaobserwowano rwnie, e nie
prbuje ona nawet obchodzi go w sposb niejawny.
Moe to by kolejny czynnik ograniczajcy dziaanie: jeeli
uytkownik sam nie uruchomi jej zpodniesionymi uprawnieniami, wirus moe nie uzyska wystarczajcych uprawnie dostpu do systemu plikw, rejestru systemowego
i procesw.
>> Rysunek 7.
Rysunek 7.
Manifest pliku malware
46
15
Technologia podwyszonej ochrony wprowadzona w Windows Vista/Windows 7, w zaoeniu ograniczajca dostp aplikacji momentu autoryzacji przez administratora
47
Rysunki 8-9.
Malware bierze si do pracy
System.Reflection;
System.Runtime.CompilerServices;
System.Runtime.InteropServices;
System.Security;
System.Security.Permissions
Metoda Main() wyglda nastpujco
[STAThread]
private static void Main()
{
IntPtr num = Marshal.AllocHGlobal(MAjlWgp.nmsyypaiA.Length);
Marshal.Copy(MAjlWgp.nmsyypaiA, 0, num, MAjlWgp.nmsyypaiA.Length);
RamdomWord1211.rzTjsCDLn(num, (uint) MAjlWgp.nmsyypaiA.Length);
((MAjlWgp.XKqNhVAeTgE) Marshal.GetDelegateForFunctionPointer(num, typeof
(MAjlWgp.XKqNhVAeTgE)))();
}
Rysunki 10-11.
Zoliwe oprogramowanie
uruchamia swj proces
Rysunek 12.
Klucze trojana zapisane
wrejestrze systemowym
Na pocztku alokowana jest pami dynamiczna o wielkoci MAjlWgp.nmsyypaiA.Length (9380 bajty); MajlWgp.
nmsyypaiA skadowa typu byte: klasy MAjlWgp. Jest to
standardowy 32-bitowy shellcode na platformy Intel oraz
AMD.
>> Rysunek 8-9.
Proces potomny kopiuje plik trojana do katalogu systemowego C:\WINDOWS\system32, nadajc mu losow
nazw. Dodaje rwnie klucze do rejestru systemowego,
ktre pozwalaj mu midzy innymi na automatyczne uruchomienie si po starcie systemu operacyjnego.
>> Rysunek 12.
Shellcode jest kopiowany zdanych programu do dynamicznie zaalokowanego obszaru pamici (Marshal.Copy(MAjlWgp.nmsyypaiA, 0, num, MAjlWgp.nmsyypaiA.Length);).
Nastpstwem tego jest wywoanie RandomWord1211.
rzTjsCDLn(num, (uint) MAjlWgp.nmsyypaiA.Length), ktre
de facto jest wywoaniem ZwProtectVirtualMemory, majcym na celu zmian praw dostpu do pamici. W ostatniej linijce metody Main() sterowanie przekazywane jest do
shellcodu.
Gdy sterowanie trafi bezporednio do shellcodu, uruchamiany jest wasny proces jako proces potomny z flag
CREATE_SUSPEND. Nastpnie malware zastpuje wjego
pamici wszystkie sekcje wasnym nagwkiem, kodem
idanymi, po czym docza obraz biblioteki dll, ktra bdzie
wykorzystywana w dalszych etapach. Zostaje rwnie
zmieniony kontekst wykonywania kodu oraz przywrcone
wykonanie gwnego wtku procesu potomnego.
>> Rysunek 10-11.
Rysunek 13.
Plik *.bat tworzony przez trojana
48
49
Rysunek 14.
Malware nie zdoa utworzy
mutexu
Rysunki 15-17.
Malware wakcji
Rysunek 18.
Pliki wfolderze zakadanym
przez malware
50
51
Rysunek 19.
Funkcjonalnoci opisywanego
malware
Rysunek 20.
Dane gromadzone przez malware
Rysunek 21.
Prba wysyki wykradzionych
danych
52
to warto losowa)
Install=<warto binarna>
HKCU\Software\AppDataLow\E15E01AE-8A43-A415-7224-33F6EF98178A
HKCU\Software\AppDataLow\E15E01AE-8A43-A415-7224-33F6EF98178A\Files
<losowe_nazwy> = <wartoci binarne>
Pliki powizane ztrojanem:
dla rachunku 2014 09 01.pdf.exe Loader stworzony
w.NET C#.
1209child_dump proces potomny.
bot.exe aktualizacja pobierana zserwera zdalnego.
1209dmp_dll.dll biblioteka wspdzielona wykorzystywana przez zainfekowany proces Explorer.exe
Podsumowanie
Jedn zfunkcji opisywanego malwareujest rejestrowanie
generowanych przez uytkownika nacini klawiszy. Gromadzi on take informacje osystemie operacyjnym, ktry
zainfekowa, wykrada dane uwierzytelniajce do serwerw
pocztowych, stron www, ksiki adresowe od klientw
pocztowych dziaajcych na systemach Windows, atake
informacje zwizane z aplikacj Lotus WordPro. Nastpnie przesya wszystko do serwera kontrolowanego przez
cyberprzestpcw. Trojan infekuje take wszystkie nowo
powstae procesy w systemie uytkownika, porozumiewa si z innymi uruchomionymi przez siebie aplikacjami
za pomoc potokw nazwanych, modyfikuje procedury
bibliotek systemowych oraz pobiera iuruchamia inne pliki
wykonywalne.
53
Rysunek 22.
Podejrzana wiadomo e-mail
Rysunek 23.
Rachunek okazuje si plikiem exe
Rysunki 24, 25.
Malware zaczyna dziaa
Rysunki 26-27.
Dalszy cig inicjalizacji
Rysunek 28.
Skrypt sprztajcy widoczne
pozostaoci trojana
Rysunki 29-30.
Od tego momentu wszystkie
uruchamiane aplikacje bd
infekowane
54
55
Rysunki 31-32.
Trojan Emotet wykorzystuje
algorytm generowania domen
(DGA)
Wprzypadku, gdy poczenie jest dostpne, Emotet tworzy 16 wtkw odpowiedzialnych za generowanie nazw
domenowych. Algorytm DGA wykorzystywany przez trojana bazuje na wartociach uzyskanych wwyniku wywoa
SystemTimeToFileTime iRtlTimeToSecondsSince1970.
>> Rysunek 31-32.
Poprawno domeny weryfikowana jest przez wywoanie
procedury DnsQuery_A.
Wmomencie prowadzenia analizy niektre ztych domen
byy sinkholowane. Implementacja tego typu algorytmw
przyczynia si z reguy do podniesienia ywotnoci sieci
botnet stworzonej na bazie danego typu zoliwego oprogramowania. Znacznie trudniej blokowa na poziomie sieciowym ruch generowany w ten sposb oraz namierzy
serwer C&C zwaszcza wprzypadku, gdy domeny generowane przez DGA peni wycznie rol proxy.
>> Rysunek 33.
Rysunek 33.
Charakterystyczny bekot
wnazwach domen
wygenerowanych
przy uyciu DGA
Rysunek 34.
Analizowana wersja trojana bya
zbudowana pod ktem rynku
niemieckiego
Rysunek 35.
Emotet potrafi wniezauwaalny
sposb przechwytywa ruch SSL
56
Wprzypadku wygenerowania poprawnej nazwy domenowej aktywnego serwera Command&Control trojan zaczyna szyfrowa dane, uywajc algorytmu RC4, nastpnie
dodaje do nich podpis cyfrowy iprzesya za pomoc dania HTTP do serwera zdalnego.
Po otrzymaniu odpowiedzi Emotet weryfikuje poprawno
jej podpisu cyfrowego (pierwsze 128 bajtw odpowiedzi).
Jeli sygnatura jest poprawna, trojan odszyfrowuje dane
otrzymane zserwera. Wdanych tych poza sygnatur znajduje si modu .dll oraz dane konfiguracyjne wykorzystywane przez ten modu, ktre zawieraj list instytucji finansowych bdcych celem cyberprzestpcw.
>> Rysunek 34.
Dane te s nastpnie kodowane za pomoc instrukcji XOR
i zapisywane w rejestrze systemu operacyjnego. Modu
dll odebrany zserwera C&C adowany jest do wszystkich
procesw, do ktrych Emotet ma uprawnienia. W analizowanym przez nas wariancie zajmuje si rwnie prze-
chwytywaniem komunikacji sieciowej kierowanej do instytucji finansowych, ktrych lista zostaa pobrana zserwera
C&C izapisana wrejestrze. Ponadto omawiana biblioteka
modyfikuje niektre funkcje przegldarek internetowych
takich jak Google Chrome, Firefox czy internet Explorer, co
umoliwia jej przechwytywanie w sposb niezauwaalny
dla uytkownika zaszyfrowanego ruchu sieciowego (np. za
pomoc protokou SSL).
>> Rysunek 35.
Przechwycone wten sposb dane s kodowane, zapisywane wrejestrze systemowym oraz cyklicznie wysyane na
serwer kontrolowany przez cyberprzestpcw.
>> Rysunek 36.
Podsumowanie irekomendacje
Emotet to stosunkowo nowe zagroenie, ktre zmienia nieco podejcie do kradziey danych finansowych. Zamiast
tradycyjnego modyfikowania kontentu wybranej strony
internetowej wykorzystuje przechwytywanie caej komunikacji sieciowej zokrelonym bankiem niezalenie od tego,
czy jest ona szyfrowana czy nie. Ponadto, wodrnieniu
od wielu innych trojanw bankowych, stara si unika systemu plikw izamiast niego korzysta zrejestru systemowego (to rwnie, przynajmniej wzaoeniu, miao zmniejszy stopie wykrywalnoci). Emotet mona uzna take
za zagroenie moduowe pobierany modu moe zosta
zmieniony na inny lub trojan bdzie wcyklu swojego ycia
pobiera wycznie jeden modu dodatkowy.
W styczniu 2015 roku wszystkie warianty Emoteta byy
wykrywane przez wikszo silnikw antywirusowych.
By unikn zagroenia, naley pamita ozainstalowaniu
wsystemie operacyjnym tego typu oprogramowania oraz
jego regularnej aktualizacji. Uytkownicy powinni by rwnie ostroni podczas korzystania zinternetu, nie instalowa aplikacji zniezaufanych rde ani nie klika wpodejrzane linki lub zaczniki wiadomoci e-mail.
Rysunek 36.
Przechwycone dane zapisywane
s wzakodowanej formie
wrejestrze systemowym
57
Rysunek 37.
Zrzut pokazujcy uruchomiony
plik instalacyjny ze zoliwym
oprogramowaniem
Rysunek 38.
Wykaz procesw uruchomionych
wrodowisku wirtualnym
zsystemem Android, wtym
zoliwy kod
Zalecamy sprawdzenie, czy w telefonie nie jest uruchomiony proces onazwie podobnej jak com.security.patch,
dziaajcy jako usuga, ktrej nie wida wmenu telefonu.
Rekomendujemy, aby uytkownicy nie instalowali aplikacji
zniepotwierdzonego rda ani nie instalowali aplikacji, jeli
nie pamitaj, czy bya ona pobierana na telefon. Naley
rwnie wczy w telefonie funkcj blokowania instalacji
aplikacji zniezaufanych rde.
Najnowsza przeanalizowana przez CERT Orange Polska mutacja kodu, NotCompatible.C, zostaa wykryta
wzeszym roku. Wykazywanie jednoczenie obu gwnych
funkcjonalnoci utrudnio pocztkowo jego analiz. Ostatecznie jednak eksperci CERT Orange Polska przeprowadzili analiz laboratoryjn kodu zarwno statyczn, jak
idynamiczn.
Rysunek 39.
Malware widoczny wwykazie
uruchomionych aplikacji
58
59
Rysunek 40.
Manifest analizowanego malware
Rysunek 41.
Komunikacja zserwerem C&C
Rysunek 42.
Metoda loadKey() klasy RSA
Rysunek 43.
Zawarto pliku public.xml
Wpliku public.xml umieszczona jest warto ID dla zasobu oID 0x7f030001, co po zamianie na system dziesitny
daje nam liczb 2130903041, ktr wykorzystuje metoda
loadkey wpowyszym kodzie.
>> Rysunek 43.
Oprcz algorytmu RSA malware wykorzystuje algorytm
RC4, ktry suy mu do szyfrowania i deszyfrowania
danych wymienianych z serwerem Command&Control.
W pliku public.xml umieszczona jest rwnie warto
Rysunek 44.
Zawarto klasy config oraz
metody Load()
60
61
Rysunek 45.
Komunikacja midzy telefonami
Rysunek 46.
Komunikacja zainfekowanego
telefonu zserwerem
Command&Control
Rysunek 47.
Zawarto metody init()
inicjalizacyjnej dla klasy
ThreadServer, ktra jest
odpowiedzialna za tworzenie
wszystkich mechanizmw
szyfrowania izestawiania pocze
Kod jest ciekawy z tego powodu, e szyfruje cae poczenie midzy klientem a serwerem Command&Control.
Mamy wic do czynienia z pierwszym malware posiadajcym dwustopniowy proces przekazywania skradzionych
danych. Pierwszy serwer Command&Control spenia funkcj bramy weryfikujcej, czy poczenie przychodzi od waciwego zainfekowanego telefonu, po czym ruch jest rozkadany iprzepuszczany do gwnego Command&Control,
przekazujc informacj o adresie gwnego Command&Control.
Zestawienie pocze na poprzedniej stronie przedstawia
komunikacj pomidzy pierwszym serwerem Command&Control azainfekowanym telefonem.
>> Rysunek 46.
Malware pobiera adres IP ze swojego pliku konfiguracyjnego znajdujcego si na telefonie wlokalizacji /data/data/
com.security.patch/files/data.bin.
Plik szyfrowany jest algorytmem RC4. Do jego zdekodowania podczas analizy statycznej uyty zosta nieco zmodyfikowany mechanizm odnaleziony wrdach malware.
Po zdekodowaniu pliku data.bin mona uzyska informacj oadresie IP, zjakim si czy zainfekowany telefon to
173.242.124.163 na porcie 443.
Trojan wykonuje rwnie operacje po stronie telefonu. Uruchamiajc si, odwouje si do klas ThreadServer.
android.permission.ACCESS_NETWORK_STATE
method call: Lcom/security/patch/ThreadServer/getInnet()Z calls
Landroid/net/ConnectivityManager/getActiveNetworkInfo()Landroid/net/NetworkInfo;
>> Rysunek 47.
Rysunek 48.
Komunikacja zserwerami C&C
62
63
niesionych wzwizku znimi strat jest trudne. Amerykaskie repozytorium National Vulnerability Database nadao
luce Heartbleed najwysz ocen (10), jeli chodzi o atwo wykorzystania (exploitability subscore).
Wprowadzenie mechanizmu Heartbeat miao na celu
umoliwienie stronom sesji SSL sprawdzenie, czy druga
strona wci poprawnie odbiera i nadaje wiadomoci,
oraz odwieenie wpisw dotyczcych stanu poczenia
wtabelach NAT16. Wtym celu wysya danie Heartbeat,
wktrym zawarta jest pewna liczba bajtw danych. Wze po drugiej stronie powinien odebra dane iodesa je
widentycznej postaci do nadawcy. Luka bezpieczestwa
wystpuje przy przetwarzaniu opisanego poniej zoliwego dania.
danie oraz odpowied powinny zosta zawarte wramce
onastpujcej strukturze:
struct {
HeartbeatMessageType type;
uint16 payload_length;
opaque payload[HeartbeatMessage.payload_
length];
opaque padding[padding_length];
} HeartbeatMessage;
Rysunek 49.
Zapis transmisji przeprowadzonego
ataku
16
64
Technologia podwyszonej ochrony wprowadzona w Windows Vista/Windows 7, w zaoeniu ograniczajca dostp aplikacji momentu autoryzacji przez administratora
65
Postfix,
Pure-FTPd,
OpenVPN.
Rysunek 50.
Kod odpowiedzialny za
przyczenie do kanau C&C
Rysunek 51.
Kod obsugujcy rozkazy
17
66
18
Program wykorzystujcy bd wystpujcy w oprogramowaniu, prowadzcy do przejcia kontroli nad dziaaniem procesu i wykonaniem odpowiednio spreparowanego kodu
Program instalujcy zoliwy kod na komputerze ofiary
67
Rysunek 52.
Kod obsugujcy rozkazy
cig dalszy
Bot obsuguje rwnie polecenia wykorzystywane na serwerach IRC takich jak: connect, join, part, op, msg. Dodatkowo za pomoc polecenia eval pozwala na wykonanie
dowolnej przesanej przez botmastera komendy.
>> Rysunek 52.
W wybranych segmentach sieci Orange zaobserwowalimy prby wykorzystania luki shellshock kierowane na
porty serwerw WWW. Na Wykresie 22. przedstawiono
zestawienia zaobserwowanych da w poszczeglnych
miesicach na prbce zostatniego kwartau 2014 roku.
>> Wykres 22.
120
100
80
60
40
20
0
Wykres 22.
Wykres zoliwych da
10/1/2014
10/2/2014
10/3/2014
10/4/2014
10/5/2014
10/6/2014
10/7/2014
10/8/1014
10/9/2014
10/10/2014
10/11/2014
10/12/2014
10/13/2014
10/14/2014
10/15/2014
10/16/2014
10/17/2014
10/18/2014
10/19/2014
10/20/2014
10/21/2014
10/22/2014
10/23/2014
10/24/2014
10/25/2014
10/26/2014
10/27/2014
10/28/2014
10/29/2014
10/30/2014
10/31/2014
wpodziale na dni
80
60
40
12/16/2014
12/15/2014
12/14/2014
12/13/2014
12/12/2014
12/11/2014
12/9/2014
12/10/2014
12/8/1014
12/7/2014
12/6/2014
12/5/2014
12/4/2014
12/3/2014
12/2/2014
12/1/2014
20
0
Najwaniejsz rzecz, ktr powinni wykona administratorzy systemw Linux, Unix, MacOS X oraz innych
korzystajcych z programu bash, jest upewnienie si, e
zainstalowana zostaa najnowsza dostpna odporna wersja programu, ajeli tak nie jest niezwoczne wykonanie
aktualizacji.
Jeli wykonanie aktualizacji jest niemoliwe lub utrudnione,
naley zastosowa tymczasowe rodki zapobiegawcze,
takie jak ograniczenie dostpu do usug lub filtrowanie
treci z wykorzystaniem sygnatur. Przykadowe metody
wprowadzenia rodkw zapobiegawczych:
1. Filtrowanie da przy wykorzystaniu systemu WAF
lub przekierowanie ich na podstawie regu zdefiniowanych wpliku .htaccess.
2. Dopasowanie wzorcw iblokowanie za pomoc firewalla da, ktre wiadcz o prbie wykorzystania
podatnoci.
11/ 1/2014
11/2/2014
11/3/2014
11/4/2014
11/5/2014
11/6/2014
11/7/2014
11/8/1014
11/9/2014
11/10/2014
11/11/2014
11/12/2014
11/13/2014
11/14/2014
11/15/2014
11/16/2014
11/17/ 2014
11/18/2014
11/19/2014
11/20/2014
11/21/2014
11/22/2014
11/23/2014
11/24/2014
11/25/2014
11/26/2014
11/27/2014
11/28/2014
11/29/2014
11/30/2014
100
80
60
40
20
0
dania zawieray gwnie odwoania do zasobw stanowicych skrypty cgi, ale mona zaobserwowa rwnie
prby przeamania zabezpiecze mechanizmw Server
Side Include (dynamicznie generujcy strony WWW
mechanizm skryptowy).
>> Wykres 23.
Wykres 23.
/start.phtml
/cgi-sys/entropysearch.cgi
/cgi-sys/defaultwebpage.cgi
/cgi-mod/index.cgi
/cgi-bin/main.cgi
/cgi-bin/sys.cgi
/ kid,4002009697,id,
/cgi-bin/test.cgi
/cgi-bin/fire.cgi
/cgi-sys/FormMaiI-clone.cgi
/cgi-bin/
/cgi-bin-sdb/printenv
/cgi-bin/test/test.cgi
/cgi-bin/index.cgi
/cgi-bin/bash
/cgi-bin/phpS-cli
Najpopularniejsze dania
Wykres 24:
dania wysyane zkrajw
INNE 8%
US 39%
na podstawie adresw IP
SG 2%
udzia procentowy
CN 3%
UA 3%
0
50
100
150
200
PT 4%
BT 11%
RU 17%
68
DE 13%
69
Rysunek 53.
Tux jawny
Rysunek 54.
Tux zaszyfrowany ECB
Rysunek 55.
Algorytmy w podatnych zestawach wyznaczaj warto tzw. funkcji MAC (ang. Message Authentication
Code) jedynie na czci tekstu jawnego, zupenie
ignorujc tzw. uzupenienie, czyli doczane na kocu
tekstu jawnego nieznaczce dane majce za zadanie
zaokrgli jego dugo do wielokrotnoci szerokoci
bloku. Dugo uzupenienia pomniejszona o 1 jest
zapisywana jako jego ostatni bajt.
Strona komunikacji SSL przyjmie szyfrogram, w ktrym zmodyfikowana jest ostatnia cz zawierajca
uzupenienie, pod warunkiem e po odszyfrowaniu
ostatni jego bajt bdzie mia poprawn warto.
Przyjto zaoenie, e atakujcy moe kontrolowa
cz zawartoci tekstu jawnego.
70
71
Wykres 25.
tekst jawny
tekst jawny
tekst jawny
Szyfrowanie CBC
wektor
inicjujcy
Szczegy ataku
Aby zrozumie dokadnie, wjaki sposb przeprowadzany
jest atak, naley przeledzi dokadnie, jak wyglda proces
szyfrowania ideszyfrowania.
Przyjmijmy, e protok posuguje si blokami o dugoci
8 bajtw. By zaszyfrowa wybrane dane, strona nadajca
klucz
klucz
szyfrowanie
klucz
szyfrowanie
szyfrowanie
wten sposb powstaje tekst jawny. Nastpnie tekst jawny dzielony jest na bloki orwnej dugoci. Pierwszy blok
jest poddawany dziaaniu operacji XOR z tzw. wektorem
inicjujcym, a nastpnie szyfrowany ustalonym kluczem.
Wynik odugoci 8 bajtw to pierwszy blok szyfrogramu.
szyfrogram
szyfrogram
szyfrogram
Wykres 26.
szyfrogram
klucz
deszyfrowanie
szyfrogram
klucz
deszyfrowanie
szyfrogram
klucz
deszyfrowanie
wektor
inicjujcy
tekst jawny
72
tekst jawny
tekst jawny
Deszyfrowanie CBC
z powodu niezgodnoci MAC. Po przechwyceniu transmisji zamiast ostatniego bloku autorzy ataku wstawiaj
inny, wybrany przez siebie blok szyfrogramu. Wtej sytuacji
strona odbierajca odszyfruje podsunity blok szyfrogramu ipodda operacji XOR zpoprzednim blokiem. Wwyniku
tego powstanie warto, ktra zostanie zinterpretowana
jako uzupenienie. Jej ostatni bajt bdzie zawiera dugo
uzupenienia i jednoczenie zdecyduje o wartoci sumy
MAC.
Jeli w naszym przykadzie ostatni bajt bdzie mia warto 7, suma MAC bdzie poprawna itekst zostanie przyjty przez stron odbierajc. Wtym przypadku bdziemy
mogli stwierdzi, e ostatni bajt tekstu jawnego odpowiadajcego wybranemu blokowi szyfrogramu XORowany
z ostatnim bajtem poprzedniego bloku szyfru (znanym)
daje wynik 7. Wystarczy znowu XORowa j z 7, aby
pozna warto ostatniego bajtu tekstu jawnego wybranego bloku. Jeli strona odbierajca odrzuci tekst, atakujcy moe zmieni ostatni bajt poprzedniego bloku iwysa
szyfrogram jeszcze raz.
Prawdopodobiestwo, e atakowany bajt tekstu jawnego
ma warto 7, jest rwne 1/256, co oznacza, e rednio
raz na 128 prb bajt zostanie zaakceptowany.
Nastpnie, majc kontrol nad czci tekstu jawnego (np.
cieki dania), moemy manipulowa dugoci tego
fragmentu. Pozycja atakowanego fragmentu (np. ciasteczka) bdzie si zmieniaa tak, by jego kolejne bajty staway
si ostatnimi bajtami ktrego bloku tekstu jawnego. Ciasteczko odugoci 10 bajtw mona bdzie wtedy odzyska rednio po 1280 zapytaniach.
CERT Orange Polska radzi:
Przeprowadzenie opisywanego ataku mona uniemoliwi,
jeeli wyczy si wsparcie dla protokou SSLv3 (np. dla
przegldarki internet Explorer mona to zrobi wPanelu
Sterowania, wybierajc Opcje internetowe, anastpnie
wzakadce Zaawansowane odznaczy Uyj SSL 3.0).
Jeli z jakiego powodu nie da si tego zrobi, liczb moliwych do przeprowadzenia na podstawie Poodle atakw
uda si ograniczy, wyczywszy wprzegldarce obsug
JavaScript. Dla administratorw, ktrych serwery wspieraj SSLv3, najlepszym wyjciem jest wyczenie lub zablokowanie tego protokou.
73
Rysunek 56.
Zawarto zoliwego pliku RTF
Rysunek 57.
Fragment kodu ActionScript
przeprowadzajcy heap spraying
19
74
20
Luka zacza by stosowana w atakach przeciwko uytkownikom systemu Windows. Jej pierwsze wykorzystanie
zostao zarejestrowane 2 kwietnia. Zaobserwowano m.in.
prby zainstalowania trojana Cueisfry oraz Havex wkampaniach APT (Advanced Persistent Threat), czyli ukierunkowanych dziaaniach wywiadowczych.
Luka CVE-2014-1776 to uszkodzenie pamici wprzegldarce Internet Explorer ujawnione 26 kwietnia 2014 roku.
Badacze, ktrzy j odkryli i koordynowali jej atanie z firm Microsoft, twierdzili, e bya to cz trwajcej wanie
kampanii atakw nazwanej pniej Operation Clandestine
Fox.
Gdy uytkownik wchodzi na zoliw stron WWW, pobiera i otwiera specjalnie przygotowany plik Flash. Aktywna
zawarto znajdujca si w pliku przeprowadza proces
heap spraying, czyli przygotowuje pami procesu przegldarki do przeprowadzenia wamania, umieszczajc
wniej dane, ktre wtrakcie wamania zostan zinterpretowane jako kod. Nastpnie kod JavaScript umieszczony na
stronie deszyfruje swoj kolejn cz iwefekcie doprowadza do powstania bdu typu use-after-free. Exploit
przygotowuje shellcode ROP izmienia wskanik stosu tak,
by na niego wskazywa. Po cakowitym przejciu sterowania kodem wwtku przegldarki przystpuje do pobierania
skadnikw malware zsieci internet.
>> Rysunek 57.
Wedug informacji opublikowanych na stronie Microsoft
podatna jest przegldarka Internet Explorer w wersjach
6-11 (czyli praktycznie wszystkie obecnie uywane), jednak atakujcy wybierali na cele gwnie wersje 9-11.
CERT Orange Polska radzi:
Aby zabezpieczy si przed exploitami atakujcymi elementy systemu Windows, warto korzysta z zestawu
EMET20 zawierajcego narzdzia znacznie ograniczajcego moliwoci przejcia kontroli nad wykonaniem kodu.
Skuteczno zestawu zostaa potwierdzona m.in. wtrakcie testowania omawianego ataku. Nie zapominajmy oczywicie o regularnym aktualizowaniu przegldarki internetowej.
Address Space Layout Randomization funkcjonalno systemu operacyjnego przydzielajca kluczowym elementom aplikacji losowe miejsca w pamici
Tame
75
notatki
77
notatki
78
za rok 2014
Raport CERT Orange Polska