Dwa dni temu, przy okazji naszych przewidywań dotyczących działań robaka Conficker po 1-szym kwietnia wspomnieliśmy, że monitorujemy pewną liczbę domen z którymi zarażone komputery miały się łączyć. W niniejszym artykule chcieliśmy podzielić się dotychczas uzyskanymi informacjami wynikającymi z tych obserwacji.

Wstęp

Domeny przez nas obserwowane pochodzą z kwietniowej listy “polskich nazw domenowych” (”.pl”) wygenerowanych przez rozpracowany przez specjalistów confickerowy Algorytm Generujący Domeny (z ang. Domain Generation Algorithm). Używamy od kilkunastu do kilkudziesięciu domen z  pierwszych dni kwietnia (robak komunikuje się codziennie z innym zestawem domen). Odpowiednie wpisy w serwerze DNS kierowały połączenia do domen na specjalny dedykowany komputer udający serwer www (tzw. honeypot). Aby uniknąć wykrycia i jak najbardziej upodobnić się do serwerów “confickerowych” odwzorowanie domena <-> adres IP wynosi 1:1.

Nasze obserwacje

Dotychczasowe nasze obserwacje potwierdzają ogólne przewidywania naukowców zajmujących się analizą robaka: od północy czasu GMT zanotowaliśmy wzrost liczby połączeń. Musieliśmy jednakże odfiltrować ruch, który jednoznacznie wskazywał na nie pochodzący od zainfekowanych komputerów. Pierwszym wyznacznikiem był występujący w protokole HTTP nagłówek User-Agent określający przeglądarkę, której klient używa do połączenia się z serwerem www. Conficker identyfikuje się jako Internet Explorer. Kolejnym ważnym punktem był nagłówek HTTP Host – robak najpierw zamienia adres domenowy na IP, a dopiero następnie wykonuje połączenie bezpośrednio na to IP. Odpadają więc wszystkie połączenia, które w nagłówku Host miały adres domenowy, a nie IP.

Na powyższym wykresie przedstawiono ilość połączeń HTTP GET w dziesięciominutowym oknie czasowym dla domen z 1-go kwietnia. Kolorem niebieskim oznaczono prawdopodobne połączenia zarażonych komputerów, natomiast czerwonym ruch, co do którego mamy pewność, że nie jest aktywnością robaka. Czerwony wykres rozpoczyna się z końcem wykresu niebieskiego, nie jest liczony od osi odciętych.

Okazało się, że “nie-confickerowych” połączeń było nadspodziewanie dużo – aż ok. 20% ruchu. Co więcej, ruch ten utrzymywał się na stałym poziomie. Wygląda więc na to, że badacze Confikera mogą mocno przyczynić się do obciążenia łączy i przypadkowych serwerów. Poza tym świadczy to o tym, że zainteresowanie/uwaga poświęcona robakowi jest póki co niewspółmierna do realnego zagrożenia.

Kolejny wykres przedstawia zestawienie połączeń HTTP GET (rozdzielczość, to również dziesięciominutowe okno czasowe) rozszerzone o domeny z dnia 2-go kwietnia (wykres zielony). Dodatkowo, aby pokazać skalę połączeń “nie-confickerowych”, wykres czerwony i niebieski rozdzielono.

Wyraźnie widać, że o północy czasu GMT (2:00 naszego czasu) Conficker zaczął korzystać z nazw domenowych pochodzących z puli z dnia 2-go kwietnia. Wszystkie wzrosty i spadki ruchu generowanego przez robaka związane są prawdopodobnie z porą dnia, w której pracowały zarażone komputery. Ruch “nie-confickerowy” cały czas pozostawał na mniej-więcej stałym poziomie.

Różnica między wartościami wykresów dla domen z 1-go i 2-go kwietnia wynika z różnych ilości monitorowanych przez nas domen. Ilość obserwowanych przez nas domen z 2-go kwietnia stanowi ok. 65% ilości domen z 1-go kwietnia. Gdyby więc podzielić ruch z danego dnia przez liczbę monitorowanych domen, moglibyśmy porównać, czy ilość połączeń spada w stosunku do dnia poprzedniego. Wykres poniżej przedstawia takie zestawienie zapytań Confickera per domena.

Wykresy do pewnego stopnia są niemal identyczne, tylko przesunięte w fazie o 24 godziny. Oznacza to, że ruch generowany przez robaka utrzymuje się na stałym poziomie. Ciekawe będą obserwacje z dni kolejnych.

Interesującą kwestią są także źródła połączeń. Okazuje się, że najwięcej komputerów łączących się do obserwowanych przez nas domen z 1-go kwietnia miało adresy IP wskazujące na terytorium Chin (ponad 20%). Następne kraje w kolejności, to Rosja (ok. 13%), Brazylia (ok. 12%), Korea (ok. 6%), Wietnam i Ukraina (ok. 5%), oraz Indie i Indonezja (po. 4%).

Połączeń z terytorium Polski jest stosunkowo niewiele (poniżej 1% w stosunku do wszystkich). To potwierdza nasze wcześniejsze obserwacje, którymi podzieliliśmy się w artykule Conficker/Downadup – krajobraz Polski:

“Ciekawe więc mogą być obserwacje ilości ataków widocznych w ARAKISie pochodzących z terytorium Polski. W rankingu TOP 10 państw, z których widoczne były próby ataku, Polska (na szczęście!) w ogóle nie występuje”.

Sprawdzają się także statystyki związane z rozkładem polskich infekcji na dostawców Internetu (w czołówce znajdują się najwięksi dostawcy Internetu). Najwięcej zarażonych komputerów pochodziło z sieci Telekomunikacji Polskiej. Jednakże warto pamiętać, że w stosunku do innych dostawców TP ma dużo więcej klientów.  Pierwszą dziesiątkę listy przedstawiamy na wykresie poniżej:

Na koniec zamieszczamy jeszcze mapę ukazującą najbardziej aktywne rejony geograficzne, skąd pochodziły komputery łączących się do obserwowanych przez nas domen. Im większe i bardziej czerwone koło, tym więcej unikalnych adresów IP pochodziło z danego obszaru (im mniejsze i bardziej pomarańczowe – tym stosunkowo mniej).

Powyższą mapę wygenerowaliśmy dzięki serwisowi geostats.hostip.info.

Podsumowanie

Najbardziej zaskoczyła nas ilość połączeń niezwiązanych z Confickerem. Zapewne większość związana jest z badaniami prowadzonymi przez specjalistów od bezpieczeństwa. Najprawdopodobniej chciano w ten sposób monitorować z czym się łączy robak, lub wręcz liczono na pozyskanie najnowszej jego wersji (aktualizacji).

Również całkiem zaskakujące – tym razem pozytywnie – są statystyki dotyczące zainfekowanych komputerów pochodzących z terytorium Polski. Po raz kolejny liczby pozyskane przez nas sugerują, że w Polsce jest stosunkowo niewiele maszyn przejętych przez Confickera. Potwierdzają to także obserwacje innych specjalistów zajmujących się monitorowaniem aktywności robaka, w tym także powołana specjalnie do tego celu Conficker Working Group (proszę kliknąć w mapę pokazującą rozkład infekcji w Europie). Czyżby przyczyniła się do tego m.in. oferowana przez TP usługa “bezpieczny dostęp“?

Ponadto obserwacje potwierdzają wcześniejsze analizy robione na binarkach Confickera, że dzienne zestawy domen zmieniają się o każdej północy wg. czasu GMT. Jeżeli obecny trend będzie się utrzymywał, to raczej nie ma zagrożenia opisywanego wcześniej (nie tylko przez nas) niezamierzonego “zalania” połączeniami istniejących i działających produkcyjnie witryn o nazwach domenowych pokrywających się z tymi wytworzonymi przez confickerowy Algorytm Generujący Domeny. Jednakże na ostateczne wnioski trzeba jeszcze poczekać, gdyż ilość połączeń per domena może jeszcze się zwiększyć (na razie mamy do dyspozycji dane jedynie z 1,5 dnia).

O dalszych obserwacjach będziemy na bieżąco informować.

Tags: ARAKIS, botnet, Conficker, domain fluxing, Downadup, luka, malware, Microsoft, P2P, patch, robak, worm

This entry was posted on 2 April 2009 at 7:12 PM and is filed under Posty. You can follow any responses to this entry through theRSS 2.0 feed. Both comments and pings are currently closed.