Since Saturday evening, we have been experiencing multiple attacks targeting websites under gov.pl domain. Most of the attacks are DDoS, attributed to Anonymous who declared radical protests after Polish government revealed plans to sign the ACTA treaty on January 26th. Websites of the Polish Parliament, Ministry of Foreign Affairs and Internal Security Agency were among victims of these attacks. List of targets, as well as links to LOIC-based software for launching the attacks and VPN clients for anonymisation are distributed via twitter, Facebook (13000 likes as of today!) and the anonops IRC server.

(more…)

Jeśli podczas surfowania w Internecie natkniemy się na witryny kuszące tytułową frazą, radzimy nie cieszyć się przedwcześnie. Najprawdopodobniej trafiliśmy na kolejną stronę, która w bardziej bądź mniej sprytny sposób próbuje wyłudzić od nas pieniądze. W tym przypadku jest to skłonienie nas do wykupienia usługi dostępu do „super gadżetów: gier java, dzwonków tapet i innych”. Płatność odbywa się za pomocą SMS Premium (2,46 PLN/SMS – 4 SMS/tydzień lub 7,38 PLN/SMS – 1 SMS/tydzień). Organizatorem „promocji” jest firma holenderska. Aby zobrazować rząd wielkości korzyści majątkowych pochodzących z nieuwagi internautów, można przytoczyć informację prasową o przejęciu wspomnianej spółki przez spółkę niemiecką (obie działające w tym samym obszarze rynku). Wartość przejęcia: 20 milionów euro w gotówce oraz 1,9 miliona euro w nowowyemitowanych akcjach a także spłata długu w wysokości 9,8 miliona euro. Przewidywany roczny przychód nowej spółki – 95 milionów euro, zysk EBITA – 18 milionów euro.

(more…)

In the autumn of 2011 we observed new malware infections, which looked similar to Zeus. Subsequent analysis of the malicious software mechanism start up, the process of hiding and storing of configuration indeed verified that it was ZeuS. However, monitoring of infected machines failed to uncover the characteristic communicatation with a C&C. After closer examination it appeared that the sample was probably a new version based on the source code of ZeuS that was accidentally made public.

In the new version of the Trojan, the authors focus on eliminating the weakest link – a centralized system of information distribution.
Previous versions of Zeus were based on one (or few) predefined addresses which were used for botnet management. This allowed for relatively easy tracking and blocking of servers, thus rendering the botnet useless. However, the analysed variant of the Trojan used two new channels of communication to receive orders (figure on right):

1. Communication in a peer-to-peer network
2. Domain names Generation Mechanism

This variant has been analyzed to some extent by other researchers before – there is information on the web on the new variant of Zeus (eg abuse.ch ), however – based on our knowledge – previous research has focused on registering and monitoring traffic to Zeus domains. In our work we focus on understanding the P2P network communication mechanisms, mapping out the network, and monitoring the exchange of information in this particular network.

(more…)

Port 0/TCP jest wg rejestru IANA portem zarezerwowanym. Oznacza to, że żadna usługa nie powinna korzystać z tego portu do komunikacji sieciowej. Gdy w dniu 13 listopada 2011 roku do sond systemu ARAKIS zaczęła napływać wzmożona liczba pakietów TCP kierowanych na port 0, zbudziło to nasze zainteresowanie. Próby połączeń na ten port były widziane zarówno przez honeypoty, jak i w sieci darknet. Znaczna większość pakietów zarejestrowanych w honeypotach był zniekształcona (szczegóły niżej). Ruch wrócił do normy z dniem 17.11.2011. Zarejestrowaliśmy jeszcze krótkotrwały wzrost 30.11-01.12.2011. Nasze obserwacje w tych okresach pokrywają się z danymi pochodzącymi z systemu DSHIELD, co świadczy o globalnym zasięgu tej anomalii.

(more…)

Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała przygotowany przez CERT Polska raport dotyczący metod wykrywania sieciowych incydentów bezpieczeństwa – „Proactive detection of network security incidents”.

Proaktywne wykrywanie incydentów to proces odnajdywania złośliwej aktywności w sieci, za którą dany CERT jest odpowiedzialny, przy pomocy narzędzi monitorujących lub z wykorzystaniem zewnętrznych usług dostarczających informacje o wykrytych incydentach, jeszcze zanim właściciele atakowanych sieci staną się tego świadomi. Zwiększenie efektywności tych działań jest fundamentem dla prężnego funkcjonowania zespołów CERT i zwiększenia ich możliwości obsługi incydentów.

Opublikowany dokument to wnikliwa analiza sposobów w jaki CERTy, w szczególności narodowe i rządowe, wykrywają incydenty w swoich obszarach działalności. Raport zawiera również zestaw najlepszych praktyk i użytecznych narzędzi dla nowo powstałych zespołów typu CERT, analizę problemów jakim muszą stawić czoła i zestaw rekomendacji dla usprawnienia obsługi incydentów przez zespoły CERT. (more…)

Projekt HoneySpider Network to system klienckich honeypotów, który powstał dzięki współpracy CERT Polska, GOVCERT.NL oraz SURFnet. Jednym z jego komponentów jest wysoko-interaktywny kliencki honeypot – Capture-HPC NG. Autorem oryginalnego oprogramowania jest Christian Seifert, a modyfikacje zostały wprowadzone przez Dział Rozwoju Oprogramowania z NASK. Capture-HPC NG z projektu HoneySpider Network to nowa wersja, która wprowadza szereg ulepszeń oraz pozwala na zastosowanie maszyny wirtualnej VirtualBox oraz KVM (oryginał opierał się na VMware). Oprogramowanie zostało ustabilizowane oraz udostępnione na licencji GPL 2.0.

(more…)

W ostatnich dniach pojawiła się nowa mutacja trojana Zeus. Jest to kolejna wersja zbudowana na podstawie źródeł, które wyciekły na poczatku maja. Tak jak poprzednio, do dystrybucji plików konfiguracyjnych używane są mechanizmy P2P. Twórcy  zrezygnowali z charakterystycznego dla Murofeta mechanizmu DGA (algorytm generowania domen)  i powrócili do umieszczenia adresu C&C w zaszyfrowanym pliku konfiguracyjnym.

Jak dokładnie działa nowa mutacja ?

Po zainfekowaniu  komputer ofiary odczytuje liste węzłów sieci P2P, która jest ukryta w ciele trojana. Następnie łaczy się  do nich po protokole UDP, pobiera listy kolejnych węzłów oraz  nowszą wersję pliku konfiguracyjnego (jeżeli takową znajdzie). Pobranie konfigu odbywa się po wysokim porcie TCP. Następnie zgłasza się do kontrolera z wykorzystaniem  HTTP POST.

W pliku konfiguracyjnym znajduje się około 200 unikalnych webinjectów. Mutacja nie atakuje bezpośrednio polskich podmiotów. Wykrada za to każdej ofierze dane przesyłane formularzem, m.in. loginy i hasła wpisywane podczas logowania. Na przestrzeni 3 dni zainfekowana maszyna połączyła się z 360 unikalnymi węzłami sieci P2P. Najwięcej z nich znajdowało się w USA (143 węzły). W  Polsce odnotowaliśmy 12 maszyn.