Według wstępnych oszacowań ponad 90.000 stron internetowych (w tym niemal 400 w domenie .pl) mogło paść ofiarą masowej “infekcji” (wstrzyknięcia przekierowania iframe). Po wejściu na zainfekowaną stronę przeglądarka przekierowywana jest na inną witrynę, na której znajduje się szkodliwy skrypt JavaScript. Skrypt ten próbuje doprowadzić do przejęcia kontroli nad wykonaniem kodu na komputerze użytkownika przy wykorzystaniu następujących (zidentyfikowanych na chwilę obecną) luk:

CVE-2010-0840 – Java Trust
CVE-2010-0188 – PDF LibTiff
CVE-2010-0886 – Java SMB
CVE-2006-0003 – IE MDAC
CVE-2010-1885 – HCP

Jeśli system i oprogramowanie użytkownika jest podatne na atak, uruchamiane są na nim niezidentyfikowane programy. Złośliwy skrypt umieszczany jest na witrynach pracujących na frameworku osCommerce.

O wynikach analizy zagrożenia będziemy informować w kolejnych komunikatach na naszym blogu.

Z wynikami wstępnej analizy można zapoznać się na blogu Armorize.

Od początku lipca w systemie ARAKIS zaobserwowaliśmy wzrost pakietów TCP wysyłanych z portu 80. Ustawione flagi (SYN i ACK) oraz wysoki port docelowy, wskazują na to, że większość jest odpowiedziami na żądanie nawiązania połączenia. Atakujący przeprowadzając ataki typu DoS (odmowa dostępu) często używają sfałszowanych adresów IP aby uniknąć zablokowania maszyn. Aby dokładniej przyjrzeć się charakterystyce analizowanego ruchu, przygotowaliśmy wizualizacje przedstawiające przepływy z portu 80/TCP otrzymywane przez nasze honeypoty.

Read more

Bez wątpienia DNS jest jedną z najważniejszych usług w internetowym ekosystemie, zarówno dla zwykłych użytkowników, firm jak i przestępców. Paradoksalnie, przezroczystość i wszechobecność DNSu powoduje, że wielu administratorów nie zdaje sobie sprawy jak poważne konsekwencje mogą nieść za sobą udane ataki na DNS. Nie chodzi tutaj o podatności w samym protokole (jak na przykład ta opisywana przez nas wcześniej), ale o całkowite przejęcie kontroli nad delegacją domeny bez wykorzystywania jakichkolwiek luk w oprogramowaniu. Jest to szczególnie ważne dla firm rozpowszechniających swoje produkty czy usługi w internecie – utrata wizerunku może kosztować gigantyczne sumy. Na nic zdadzą się firewalle, systemy IDS/IPS, biometryczna kontrola dostępu w siedzibie firmy, jeśli przestępca po prostu zaloguje się  do panelu rejestratora korzystając z wykradzionego lub odgadniętego hasła i zmieni delegację domeny (lub poszczególne wpisy). “Domain hijacking” dotknął między innymi Twittera, Secunię, ICANN, IANA i innych. Zazwyczaj efektem takiego działania jest podmiana strony WWW, ale bywają też ataki bardziej subtelne. Zobaczmy co może się stać w wypadku np. sklepu internetowego zaatakowanego przez kogoś, kto chce uzyskać korzyści finansowe:

• przestępca kontrolujący czyjąś domenę może zdobyć jej prawidłowy certyfikat SSL (korzystając z usług legalnych firm wydających certyfikaty na podstawie wpisu do DNS),

• może czytać pocztę kierowaną do użytkowników danej domeny, w szczególności odzyskać ich hasła do innych serwisów (np. poprzez użycie linka “resetuj hasło”),

• może dystrybuować złośliwe oprogramowanie wykorzystując zaufanie do marki ofiary,

• może zdobyć loginy, hasła, adresy email użytkowników (np. klientów) serwisów w przejętej domenie, co może doprowadzić do następnych włamań,

• może wyłudzać pieniądze – np. podstawiając fałszywy sklep.

Oczywiście możliwych scenariuszy jest dużo więcej, przestępcy z dnia na dzień stają się coraz bardziej kreatywni.

Sama konstrukcja protokołu DNS (mechanizm TTL) powoduje, że nawet gdy uda się szybko odzyskać kontrolę nad domeną i przywrócić prawidłowe wpisy, te stworzone przez przestępców mogą pozostać w wielu miejscach sieci (serwery cache) przez wiele dni.

Dlatego bardzo ważne jest by w panelu rejestratora domenowego używać mocnych, niesłownikowych haseł. Jeśli rejestrator oferuje dodatkowe zabezpieczenia (np. potwierdzenie operacji emailem) należy z nich korzystać. Nieodzowne jest też ciągłe monitorowanie konfiguracji domen i raportowanie wszelkich zmian.