Konfiturą w Confickera – monitoring confickerowych domen “.pl”
Conficker (znany także jako Downadup lub Kido), to najgłośniejszy medialnie i zarazem jeden z najgroźniejszych w ostatnim czasie robaków. Dla specjalistów zajmujących się bezpieczeństwem komputerowym jest ponadto bardzo interesujący ze względu na zastosowane przez jego twórców nieznane wcześniej rozwiązania. Na początku kwietnia informowaliśmy (zob. wiadomość Conficker – raport z pola walki), że monitorujemy ruch HTTP do pewnej liczby tzw. “polskich domen confickerowych”, z którymi miały się łączyć zarażone tym robakiem komputery. Nasze obserwacje kontynuowaliśmy przez miesiąc w ramach projektu nazwanego Confiture (skrót od Conficker capture). Realizowała go grupa specjalistów zwana NASK Conficker Working Group (w jej skład weszli specjaliści z trzech działów NASK: CERT Polska, Działu Domen, oraz Zespołu Integracji i Bezpieczeństwa). Wyniki obserwacji oraz płynące z nich wnioski umieściliśmy w raporcie, który można ściągnąć z naszej strony (plik PDF: Projekt Confiture). Poniżej przedstawiamy najistotniejsze fragmenty raportu.
Wstęp
Celem projektu Confiture była obserwacja ruchu HTTP do pewnej ilości domen pochodzących z tzw. kwietniowej puli confickerowych polskich nazw domenowych wygenerowanych przez zaimplementowany w robaku Conficker tzw. Algorytm Generujący Nazwy Domenowe (z ang. Domain Name Generation Algorithm). Domeny te miały być używane do ściągania przez zarażone komputery uaktualnień robaka (był to jeden ze sposobów, innym była dystrybucja poprzez wbudowany protokół P2P). Ponieważ robak komunikował się codziennie z innym zestawem domen, monitorowanych przez nas było co najmniej kilka domen “.pl” z każdej dziennej puli od pierwszego do trzydziestego kwietnia. Serwer DNS NASK w odpowiedzi na zapytania o te domeny zwracał adresy IP kierujące do naszego honeypota (a właściwie konfitury, czyli komputera-pułapki), który rejestrował wszystkie połączenia. Jednocześnie monitorowane były zapytania do wybranych serwerów secondary DNS dla domeny “.pl” o wszystkie confickerowe domeny “.pl” z puli kwietniowej. Ponadto nasze wyniki skorelowaliśmy z danymi pochodzącymi z dwóch źródeł zewnętrznych: systemu ARAKIS, oraz obserwacji prowadzonych przez specjalistów z Conficker Working Group.
Czasowy rozkład liczby połączeń – czyli kiedy i jak dużo widzieliśmy zainfekowanych komputerów.
Największa liczba żądań HTTP GET obserwowana była w ciągu dnia, a najmniejsza w nocy. Średnia aktywność w nocy była od ok. 50% do ok. 66% niższa niż w dzień. Dobowe maksimum znajdowało się zazwyczaj między godz. osiemnastą a dwudziestą czasu polskiego (GMT+2), natomiast minimum w okolicy godziny trzeciej. Najwięcej żądań HTTP GET per domena (całość ruchu podzielona przez liczbę monitorowanych domen) w pięciominutowym oknie czasowym zaobserwowano w trzech pierwszych dniach kwietnia – prawie 150 (maksimum globalne), czyli jedno zapytanie GET co dwie sekundy. W kolejnych dniach ruch zmalał. Dodatkowo, pomijając trend dobowy, liczba żądań dla domeny w różnych dniach była dosyć zróżnicowana i zależna od rodzaju danego dnia – w dni robocze ruch był wyraźnie większy, niż w dni wolne od pracy (weekendy i święta). Nazwać to zjawisko można trendem tygodniowym. Od 7.04 robak rozpoczął autoaktualizację poprzez alternatywny kanał dystrybucji oparty na P2P, a liczba połączeń zaczęła systematycznie spadać (minimum globalne znajdowało się w dn. 12.04), po czym lekko wzrosła i ustabilizowała się zachowując trend tygodniowy. Na poniższym wykresie przedstawiono liczbę połączeń HTTP GET per domena w dziesięciominutowym przedziale czasowym.
Warto zwrócić uwagę, że wykres obejmuje jeszcze dwa dni maja (honeypot cały czas działał, wpisy w DNS nadal się znajdowały), natomiast ruch dosyć liniowo maleje do zera, które osiąga 1.05 o godzinie 2:00 czasu polskiego, czyli równo o północy czasu GMT. Jest to czas, od którego Conficker miał zaprogramowane, by wygenerować nową listę nazw domenowych (majowych) i zaprzestać korzystać z listy kwietniowej.
Najwięcej unikalnych źródeł łączyło się w dniu 2.04 – 11296 na jedną domenę, natomiast średnia z całego miesiąca wynosi 7823.
Geograficzny rozkład źródeł połączeń – czyli skąd pochodziły zainfekowane komputery
Najwięcej unikalnych adresów IP pochodziło z terytorium Chin (ponad 232 tysiące). Z państw następnych w kolejności – Rosji i Brazylii pochodziło odpowiednio po 127 i 125 tysięcy unikalnych źródeł. Jest to prawie dwa razy mniej niż z Chin. Między trzecim miejscem a kolejnymi (blisko siebie Wietnam i Indie) jest jeszcze większa różnica, która przekracza połowę wartości. Pierwszym krajem z listy należącym do Unii Europejskiej były Włochy z liczbą prawie 33 tysięcy unikalnych źródeł. Stany Zjednoczone Ameryki Północnej znalazły się na 17-tym miejscu z liczbą niewiele powyżej 18,5 tysiąca IP, co jest zadziwiająco małą liczbą.
Unikalnych źródeł połączeń z terytorium Polski było stosunkowo niewiele: 8.867, co uplasowało nasz kraj na 25-tym miejscu. Analizując ruch tylko z terytorium RP pod względem dostawców Internetu widać, że w czołówce zgodnie z przewidywaniami znajdują się największe firmy. Przeważający procent IP należał do sieci Telekomunikacji Polskiej (nieco powyżej 3 tysięcy). Prawie trzy razy mniej miała następna w kolejności firma Dialog. Dalej uplasowały się Multimedia i Netia (po ok. 400). Należy pamiętać, że na różnicę między pierwszą w zestawieniu Telekomunikacją Polską a następnymi dostawcami może także wpływać pozycja rynkowa (liczba klientów) tej pierwszej. Ogólne liczba zaobserwowanych przez nas polskich adresów IP w odniesieniu do liczby osób posiadających w Polsce dostęp do Internetu (szacunkowo wg. raportu UKE prawie 4,5 mln.), oraz w stosunku do innych państw, jest niewielka, co jest pozytywnym zjawiskiem.
Kolejna pozytywna wiadomość, to liczba unikalnych źródłowych adresów IP należących do polskich sieci rządowych (administracji publicznej) oraz wojskowych. W ciągu całego miesiąca obserwacji zarejestrowaliśmy tylko 10 adresów IP, które po zamianie na nazwy domenowe należały do “gov.pl”; oraz tylko 1 z “mil.pl”. Istnieje duże prawdopodobieństwo, że te adresy nie są poszczególnymi komputerami, a bramami wyjściowymi dla danej instytucji. Oznacza to, że infekcji poszczególnych stacji roboczych mogło być więcej niż odpowiednio dziesięć (gov.pl) i jedna (mil.pl), lecz i tak jest to stosunkowo niewielka liczba
Podobne statystyki dotyczące adresów źródłowych związanych z “edu.pl” ujawniły, że w sieciach naukowych było najwięcej infekcji. Łącznie zarejestrowaliśmy 39 takich źródeł. Część z nich jednoznacznie wskazuje na wyjściowe bramy domów studenckich, przez co liczba zainfekowanych stacji roboczych znajdujących się za nimi może być znacznie większa. Ponadto nie wszystkie instytucje naukowe używają w swoich nazwach domenowych “edu”, przez co statystyki te nie mogą odzwierciedlać nawet przybliżonej liczby infekcji w sektorze polskiej nauki.
Poniżej przedstawiamy animację pokazująca godzinowe zmiany rozkładu geograficznego źródeł zapytań HTTP GET.
Dane z serwerów nazw
Dla danych pozyskanych z serwerów DNS NASK stworzyliśmy statystyki opisujące źródła połączeń z podziałem na kraje, oraz polskich dostawców Internetu. Należy pamiętać, że większość połączeń pochodziła nie z końcowych komputerów (stacji roboczych), lecz z innych serwerów nazw. Dodatkowo gdy inny serwer DNS raz odpytał się o domenę, to odpowiedź mogła być przez niego zapamiętana przez pewien czas (z ang. cache), przez co ruch obserwowany przez NASK nie odzwierciedlał rzeczywistego “interesowania się” domeną przez hosty korzystające z danego serwera nazw.
Najwięcej unikalnych połączeń nie pochodziło z terenów Chin (dopiero piąte miejsce), lecz Brazylii. Różnica między nimi jest ponad dwukrotna. Być może wytłumaczenie niskiej pozycji Chin, to niewielka liczba umiejscowionych w tym kraju serwerów DNS, co wynikać może z kwestii większego kontrolowania całości ruchu Chiny ↔ reszta świata, przez Chiński rząd. Kolejna rozbieżność, to stosunek liczby unikalnych źródeł między Brazylią a Rosją. Na stosunkowo wysokiej pozycji (czwartej) znalazły się Stany Zjednoczone Ameryki Północnej, które w zestawieniu honeypotowym były dopiero na 17-tym miejscu. Z podobieństw: także pierwszym krajem z listy należącym do Unii Europejskiej są Włochy; Polska jest na stosunkowo odległym 15-tym miejscu.
Jeżeli pod uwagę weźmiemy ruch tylko z terytorium Polski okaże się, że najwięcej zapytań DNS zgodnie z przewidywaniami pochodziło od największego polskiego operatora Telekomunikacji Polskiej – prawie cztery razy więcej niż z kolejej w klasyfikacji Netii. Dopiero na 7-mej pozycji znalazł się 2-gi w rankingu honeypotowym Dialog.
Wnioski
Ostatecznie okazało się, że cały mechanizm aktualizacji za pośrednictwem domen pozostał niewykorzystany – do aktualizacji bowiem doszło poprzez mechanizm P2P. Autorzy robaka wprowadzili jednak nową technikę utrudniającą skuteczne zwalczanie botnetu. W przeciwieństwie do dotychczas stosowanej metody fast-flux w której pojedyncze domeny sterujące zmieniały swój IP, w tym wypadku zmieniane były domeny (tzw. domain fluxing). Nowatorskość robaka spowodowała, że wiele ekspertów od bezpieczeństwa właśnie na nim skupiła uwagę, co z punktu widzenia autorów było zjawiskiem niepożądanym. Spowodowało to szybkie rozpoznanie większości mechanizmów działania robaka. W przyszłości jednak, jeśli więcej botnetów będzie budowana w oparciu o podobną technikę domain fluxing, problem stanie się znacznie poważniejszy. Konieczne zatem staje się opracowanie nowego systemu reakcji na tego typu zjawiska, obejmujący operatorów registry, rejestratorów, zespołów typu CERT, organów ścigania oraz innych zainteresowanych.
Więcej informacji, wykresów, map i wniosków w pełnej wersji raportu: www.cert.pl/PDF/Projekt_Confiture.pdf
Tags: ARAKIS, botnet, Conficker, domain fluxing, Downadup, fast-flux, malware, Microsoft, P2P, raport, robak, worm
