Dwa dni temu, przy okazji naszych przewidywań dotyczących działań robaka Conficker po 1-szym kwietnia wspomnieliśmy, że monitorujemy pewną liczbę domen z którymi zarażone komputery miały się łączyć. W niniejszym artykule chcieliśmy podzielić się dotychczas uzyskanymi informacjami wynikającymi z tych obserwacji.

Wstęp

Domeny przez nas obserwowane pochodzą z kwietniowej listy “polskich nazw domenowych” (”.pl”) wygenerowanych przez rozpracowany przez specjalistów confickerowy Algorytm Generujący Domeny (z ang. Domain Generation Algorithm). Używamy od kilkunastu do kilkudziesięciu domen z  pierwszych dni kwietnia (robak komunikuje się codziennie z innym zestawem domen). Odpowiednie wpisy w serwerze DNS kierowały połączenia do domen na specjalny dedykowany komputer udający serwer www (tzw. honeypot). Aby uniknąć wykrycia i jak najbardziej upodobnić się do serwerów “confickerowych” odwzorowanie domena <-> adres IP wynosi 1:1.

Nasze obserwacje

Dotychczasowe nasze obserwacje potwierdzają ogólne przewidywania naukowców zajmujących się analizą robaka: od północy czasu GMT zanotowaliśmy wzrost liczby połączeń. Musieliśmy jednakże odfiltrować ruch, który jednoznacznie wskazywał na nie pochodzący od zainfekowanych komputerów. Pierwszym wyznacznikiem był występujący w protokole HTTP nagłówek User-Agent określający przeglądarkę, której klient używa do połączenia się z serwerem www. Conficker identyfikuje się jako Internet Explorer. Kolejnym ważnym punktem był nagłówek HTTP Host – robak najpierw zamienia adres domenowy na IP, a dopiero następnie wykonuje połączenie bezpośrednio na to IP. Odpadają więc wszystkie połączenia, które w nagłówku Host miały adres domenowy, a nie IP.

Na powyższym wykresie przedstawiono ilość połączeń HTTP GET w dziesięciominutowym oknie czasowym dla domen z 1-go kwietnia. Kolorem niebieskim oznaczono prawdopodobne połączenia zarażonych komputerów, natomiast czerwonym ruch, co do którego mamy pewność, że nie jest aktywnością robaka. Czerwony wykres rozpoczyna się z końcem wykresu niebieskiego, nie jest liczony od osi odciętych.

Okazało się, że “nie-confickerowych” połączeń było nadspodziewanie dużo – aż ok. 20% ruchu. Co więcej, ruch ten utrzymywał się na stałym poziomie. Wygląda więc na to, że badacze Confikera mogą mocno przyczynić się do obciążenia łączy i przypadkowych serwerów. Poza tym świadczy to o tym, że zainteresowanie/uwaga poświęcona robakowi jest póki co niewspółmierna do realnego zagrożenia.

Kolejny wykres przedstawia zestawienie połączeń HTTP GET (rozdzielczość, to również dziesięciominutowe okno czasowe) rozszerzone o domeny z dnia 2-go kwietnia (wykres zielony). Dodatkowo, aby pokazać skalę połączeń “nie-confickerowych”, wykres czerwony i niebieski rozdzielono.

Read more

Pierwszego kwietnia (a więc już za chwilę) ma się zaktualizować najgroźniejszy ostatnimi czasy robak Conficker (zwany także Downadup lub Kido) i… No właśnie, i co? Wiele doniesień prasowych spekuluje najgorsze rzeczy. Wygląda jednak na to, że to szukanie (na wyrost) sensacji i sianie paniki.

Po pierwsze, złośliwe oprogramowanie bardzo często aktualizuje się na komputerze ofiary – Conficker nie jest wyjątkiem. Co więcej, w obecnej wersji tego robaka już istnieje mechanizm aktualizacji poprzez wbudowany protokół P2P! Oczekiwany na jutrzejszy dzień update jest więc lekko “przereklamowany” – byłaby to po prostu kolejna aktualizacja.

To co wydarzy się pierwszego kwietnia to zmiana algorytmu, dzięki któremu już zainfekowane komputery wyszukiwać będą potencjalne źródła update’ów.  Znane są (wygenerowane automatycznie według pewnego algorytmu) domeny, z którymi Conficker będzie się łączył. Zapewne wiele z nich jest już cały czas monitorowanych przez specjalistów od bezpieczeństwa. Przykładem jest tutaj chociażby CERT Polska - monitorujemy pewną liczbę domen, które w przeciągu kilku dni miały być użyte przez twórców Confickera. W przyszłości opublikujemy raport z naszych obserwacji.

Co się więc prawdopodobnie stanie? Każda instancja bota będzie usiłowała się połączyć poprzez HTTP GET z serwerami kryjącymi się pod nazwami z losowej puli 500 domen z 50 000 możliwych danego dnia, w celu sprawdzenia, czy udostępniane są nowe aktualizacje.  Najprawdopodobniej odpytywane przez zarażone komputery serwisy mogą być “zalane” połączeniami, w sposób niezamierzony wywołując efekt podobny jak w ataku DDoS. Narażone na DDoS są więc serwisy, których domeny zostały już wcześniej zarejestrowane w innych celach, nie związanych z Confickerem. Jednakże wydaje się mało prawdopodobne, by twórcy Confickera zdecydowali się na masową aktualizację akurat tego dnia, w którym wszyscy się tego spodziewają i większość specjalistów od bezpieczeństwa monitoruje te adresy. Może wręcz się okazać, że do aktualizacji z wykorzystaniem domen nie dojdzie, albowiem zostanie wykorzystany (lub już został) mechanizm P2P.

Pomimo, że uważamy iż nic wielkiego nie stanie się pierwszego kwietnia, to nie zmienia to faktu, że Conficker stanowi duże zagrożenie. Nie należy zatem wpadać w panikę, tylko upewnić się czy infekcja nie występuje na własnym komputerze / we własnej sieci.

Przykładowe narzędzia służące do usuwania Confickera:

• Microsoft Windows Malicious Software Removal Tool
• F-Secure
• McAfee Avert Stinger

Więcej szczegółów o samym robaku i jego związku z pierwszym kwietnia:

• www.secureworks.com
• Know Your Enemy: Containing Conficker (The Honeynet Project)
• SRI International Conficker C Analysis

Poniżej publikujemy listę kwietniowych domen “.pl” (posortowane alfabetycznie), które mają być użyte przez robaka. Jeżeli wasza domena przypadkiem znajduje się na niej – warto przygotować się na ewentualny atak DDoS.

• www.cert.pl/PDF/conficker_pl.txt (133 KB)

Polecamy także poprzednie nasze wiadomości związane z tym zagrożeniem:

• Conficker/Downadup – krajobraz Polski
• Masowy atak nowego robaka
• Krytyczna aktualizacja Microsoft Windows (MS08-067)

Od marca 2009 roku CERT Polska weźmie udział w dwuletnim unijnym projekcie FISHA (A Framework for Information Sharing and Alerting). Głównym celem projektu jest opracowanie prototypu systemu EISAS (European Information Sharing and Alerting System), czyli ogólnoeuropejskiego systemu wymiany i dostępu do informacji dotyczących bezpieczeństwa komputerowego oraz ostrzegania przed zagrożeniami w sieci Internet. Najważniejszym przeznaczeniem takiego systemu ma być skuteczne dotarcie z aktualną informacją oraz edukacja, a w efekcie wzrost świadomości – odnośnie kwestii bezpieczeństwa on-line – wśród użytkowników domowych oraz firm z sektora małych i średnich przedsiębiorstw. Skoncentrowanie uwagi na tego typu odbiorcach wynika z faktu, że grupy te, jako całość, mają znaczący wpływ na stan bezpieczeństwa w sieci, a tym samym na bezpieczeństwo krytycznej infrastruktury teleinformatycznej krajów Unii Europejskiej. Jednocześnie, obie te grupy pozostają łatwym celem ataków, z powodu zbyt niskiej świadomości zagadnień bezpieczeństwa oraz braku umiejętności wdrażania odpowiednich środków zabezpieczeń lub ich zaniedbywania.

Projekt realizowany będzie w ramach specjalnego programu „Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks” Komisji Europejskiej i powstanie we współpracy pomiędzy NASK, CERTem węgierskim (CERT-Hungary) oraz niemieckim instytutem badawczym Internet Security Centre z Uniwersytetu Gelsenkirchen.

Wstępnym wyznacznikiem prac w tym projekcie są rezultaty badań Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), przeprowadzonych w latach 2006-2007 i dotyczących możliwości utworzenia systemu typu EISAS. W opracowaniu studium wykonalności takiego systemu uczestniczyli (w ramach specjalnych grup roboczych ENISA) specjaliści z wielu różnych podmiotów zajmujących się bezpieczeństwem IT, w tym również z zespołu CERT Polska.

Projekt FISHA będzie obejmował opracowanie koncepcji ogólnoeuropejskiej wymiany informacji na temat zagrożeń oraz najlepszych praktyk dotyczących zabezpieczeń, łącząc istniejące już inicjatywy. Aktualnie, pomimo wielu takich przedsięwzięć w państwach członkowskich UE, w tym licznych serwisów bezpieczeństwa komputerowego, brakuje aktywnej i wielostronnej współpracy pomiędzy nimi. Z uwagi na to, jednym z głównych zadań projektowych będzie zapoczątkowanie i/lub wzmocnienie mechanizmów współpracy, także w oparciu o te, z powodzeniem działające w CERTowej społeczności. Funkcjonowanie systemu EISAS będzie wymagało m.in. opracowania architektury systemu a także specjalnego protokołu wymiany informacji, który zapewni sprawną i bezpieczną komunikację pomiędzy zaangażowanymi podmiotami.

W ramach projektu powstanie prototyp dedykowanego portalu internetowego dla systemu EISAS. Z założenia, portal ma stanowić europejskie forum informacyjne, na którym będą publikowane aktualne informacje dotyczące bezpieczeństwa komputerowego, pozyskiwane w ramach systemu EISAS. Przewidziane jest, że każde z państw członkowskich UE będzie miało docelowo własny, krajowy portal, pobierający odpowiednie informacje z głównego portalu. Ze względu na specyfikę rozważanej grupy odbiorców, istotne jest, żeby wszystkie informacje, publikowane na portalach, były sformułowane w łatwy do zrozumienia sposób. O przygotowanie komunikatów w „mniej technicznym” języku zadbają grupy specjalistów. Równocześnie, w ramach portali krajowych, komunikaty będą tłumaczone na język ojczysty danej narodowości. Przystępnie przygotowane informacje będą dostępne zarówno dla bezpośrednio zainteresowanych subskrybentów, jak i dla innych – istniejących już w danym kraju – serwisów internetowych, które powstały i działają z myślą o podobnych grupach odbiorców (np. Waarschuwingsdienst – w Holandii, CyTRAP Labs – w Szwajcarii, Cases Luxemburg, Sieciaki.pl – w Polsce).

Ważnym zadaniem projektu FISHA będzie także zaplanowanie i przygotowanie programu akcji informacyjno-edukacyjnej. W tym zakresie, istotny będzie przede wszystkim wybór odpowiednich środków komunikacji masowej i produktów edukacyjnych (filmy, broszury, plakaty, szkolenia, itp.), które pozwolą najskuteczniej dotrzeć do odbiorców z przystępną informacją, dotyczącą zagrożeń oraz zaleceń bezpieczeństwa komputerowego.

Inicjatywa zapoczątkowana projektem FISHA ma być motywacją do przeprowadzenia odpowiednich działań oraz akcji edukacyjnych w całej UE. Wsparciem ma być specjalny przewodnik, który zawierać będzie opis procedur, informacje oraz wskazówki, w jaki sposób, w dowolnym państwie UE, można stworzyć krajową replikę europejskiego portalu internetowego oraz systemu ostrzegania i wymiany informacji dotyczących bezpieczeństwa on-line, a także odpowiedniego programu edukacyjnego. W przyszłości, podjęta inicjatywa ma doprowadzić do wzrostu świadomości zagrożeń bezpieczeństwa komputerowego wśród użytkowników domowych oraz kadry sektora małych i średnich przedsiębiorstw UE, a także do efektywnego rozwoju współpracy pomiędzy kluczowymi podmiotami, co w efekcie ma przyczynić się do poprawy stanu bezpieczeństwa internetowego w skali europejskiej.

Powodzenie tej inicjatywy będzie zależało z pewnością od zainteresowania i zaangażowania ze strony instytucji rządowych państw członkowskich UE, Komisji Europejskiej, organizacji ENISA, różnych innych instytucji ds. bezpieczeństwa IT oraz środowiska akademickiego. Dlatego, w ramach projektu powstanie także odpowiedni program adresowany do takich instytucji, który ma skłonić do wsparcia tej inicjatywy. Nadmieńmy, że współpracę w realizacji projektu zaoferowały dotychczas m.in.: Finnish Telecom Agency FICORA, Electronic Government Centre of the Hungary, Hungarian Telecom Agency NHH, holenderski CERT rządowy (GovCERT.NL) oraz Cisco Hungary.

Prace zespołu CERT Polska w projekcie FISHA będą wspierane przez inne zespoły działające w strukturach NASK, w tym przez Dział Naukowy oraz Dział Rozwoju Oprogramowania. Ponadto, wykorzystane zostaną efekty badań oraz doświadczenia zdobyte podczas realizacji projektu Saferinternet.pl (w szczególności jego części -  Awareness), w ramach unijnego programu Safer Internet. W Polsce, projekt ten wspólnie realizują NASK oraz Fundacja Dzieci Niczyje, a jednym z głównych zadań jest koordynacja działań edukacyjnych promujących bezpieczne i efektywne korzystanie z Internetu wśród dzieci i młodzieży.