Zespół CERT Polska opublikował raport podsumowujący rok 2009.
W raporcie odnosimy się do statystyk incydentów obsłużonych przez CERT Polska w poprzednim roku. Prezentujemy także subiektywne wnioski i dodatkowe statystyk na podstawie danych zbieranych przez nasz zespół. Zamieściliśmy także opis najważniejszych wydarzeń dotyczących działalności zespołu. Jest to zwarty obraz podsumowujący cały rok naszej pracy.
Odrębną, istotną częścią jest także raport ze zdarzeń i obserwacji z autorskiego systemu ARAKIS (www.arakis.pl).
Cały raport znajduje się pod adresm: http://www.cert.pl/PDF/Raport_CP_2009.pdf
W dniu 28 lipca 2009 Micha Krause zgłosił błąd dotyczący popularnego serwera DNS — BIND9, który okazał się być podatny na zdalny atak typu DoS (Denial-of-Service).
Wykorzystanie luki umożliwia wyłączenie serwera BIND9 za pomocą pojedynczego pakietu UDP, o ile atakowany serwer DNS jest serwerem typu master przynajmniej dla jednej ze stref. Należy przy tym pamiętać, że zgodnie z RFC 1912 Common DNS Operational and Configuration Errors każdy serwer DNS powinien być podstawowym serwerem dla stref specjalnych, typu localhost, 0.0.127.in-addr.arpa, 255.in-addr.arpa, 0.in-addr.arpa.
Atak polega na wykorzystaniu mechanizmu aktualizacji DNS opisanego w RFC 2136 Dynamic Updates in the Domain Name System (DNS UPDATE). Atakujący wysyła spreparowane zapytanie do serwera DNS z ustawioną wartością opcode na 5 (UPDATE) oraz rekordem ANY w sekcji Prerequisite. Przetworzenie takiego pakietu skutkuje niespełnioną asercją w funkcji dns_db_findrdataset(), i w efekcie kończy się wyjściem serwera BIND.
Warto w tym miejscu dodać, że w sieci pojawiły się rady, jak zablokować tego typu ataki przy pomocy prostej reguły w iptables. Niestety, są one nieskuteczne ponieważ RFC 2136 2.1 stanowi, że tego typu złośliwe zapytanie może zostać wysłane również przy użyciu protokołu TCP. Zalecanym rozwiązaniem jest aktualizacja serwera BIND do najnowszej wersji. Ostatecznie można zdecydować się również na blokowanie komunikacji do serwera master, zostawiając dostępne jedynie serwery slave. Warto tutaj nadmienić, że wyłączenie funkcji dynamicznej aktualizacji (np. poprzez opcję allow-update) – nie chroni przed opisywanym atakiem. (more…)
Conficker (znany także jako Downadup lub Kido), to najgłośniejszy medialnie i zarazem jeden z najgroźniejszych w ostatnim czasie robaków. Dla specjalistów zajmujących się bezpieczeństwem komputerowym jest ponadto bardzo interesujący ze względu na zastosowane przez jego twórców nieznane wcześniej rozwiązania. Na początku kwietnia informowaliśmy (zob. wiadomość Conficker – raport z pola walki), że monitorujemy ruch HTTP do pewnej liczby tzw. “polskich domen confickerowych”, z którymi miały się łączyć zarażone tym robakiem komputery. Nasze obserwacje kontynuowaliśmy przez miesiąc w ramach projektu nazwanego Confiture (skrót od Conficker capture). Realizowała go grupa specjalistów zwana NASK Conficker Working Group (w jej skład weszli specjaliści z trzech działów NASK: CERT Polska, Działu Domen, oraz Zespołu Integracji i Bezpieczeństwa). Wyniki obserwacji oraz płynące z nich wnioski umieściliśmy w raporcie, który można ściągnąć z naszej strony (plik PDF: Projekt Confiture). Poniżej przedstawiamy najistotniejsze fragmenty raportu.
Celem projektu Confiture była obserwacja ruchu HTTP do pewnej ilości domen pochodzących z tzw. kwietniowej puli confickerowych polskich nazw domenowych wygenerowanych przez zaimplementowany w robaku Conficker tzw. Algorytm Generujący Nazwy Domenowe (z ang. Domain Name Generation Algorithm). Domeny te miały być używane do ściągania przez zarażone komputery uaktualnień robaka (był to jeden ze sposobów, innym była dystrybucja poprzez wbudowany protokół P2P). Ponieważ robak komunikował się codziennie z innym zestawem domen, monitorowanych przez nas było co najmniej kilka domen “.pl” z każdej dziennej puli od pierwszego do trzydziestego kwietnia. Serwer DNS NASK w odpowiedzi na zapytania o te domeny zwracał adresy IP kierujące do naszego honeypota (a właściwie konfitury, czyli komputera-pułapki), który rejestrował wszystkie połączenia. Jednocześnie monitorowane były zapytania do wybranych serwerów secondary DNS dla domeny “.pl” o wszystkie confickerowe domeny “.pl” z puli kwietniowej. Ponadto nasze wyniki skorelowaliśmy z danymi pochodzącymi z dwóch źródeł zewnętrznych: systemu ARAKIS, oraz obserwacji prowadzonych przez specjalistów z Conficker Working Group.
W połowie stycznia opublikowaliśmy raport roczny zespołu CERT Polska dotyczący incydentów zgłaszanych do nas w roku 2008. Obecnie dokument ten został rozszerzony o raport z systemu wczesnego ostrzegania o zagrożeniach w sieci ARAKIS.
W raporcie zamieszczono statystyki dotyczące alarmów generowanych przez system, które są kluczowe z punktu widzenia obsługi systemu. Ponadto opisano kilka interesujących przypadków obserwacji dokonanych przez ARAKISa.
Raport z systemu ARAKIS (zintegrowany z raportem dotyczącym obsługi incydentów) jest dostępny w formacie PDF pod adresem: www.cert.pl/PDF/Raport_CP_2008.pdf.
Dwa dni temu, przy okazji naszych przewidywań dotyczących działań robaka Conficker po 1-szym kwietnia wspomnieliśmy, że monitorujemy pewną liczbę domen z którymi zarażone komputery miały się łączyć. W niniejszym artykule chcieliśmy podzielić się dotychczas uzyskanymi informacjami wynikającymi z tych obserwacji.
Domeny przez nas obserwowane pochodzą z kwietniowej listy “polskich nazw domenowych” (”.pl”) wygenerowanych przez rozpracowany przez specjalistów confickerowy Algorytm Generujący Domeny (z ang. Domain Generation Algorithm). Używamy od kilkunastu do kilkudziesięciu domen z pierwszych dni kwietnia (robak komunikuje się codziennie z innym zestawem domen). Odpowiednie wpisy w serwerze DNS kierowały połączenia do domen na specjalny dedykowany komputer udający serwer www (tzw. honeypot). Aby uniknąć wykrycia i jak najbardziej upodobnić się do serwerów “confickerowych” odwzorowanie domena <-> adres IP wynosi 1:1.
Dotychczasowe nasze obserwacje potwierdzają ogólne przewidywania naukowców zajmujących się analizą robaka: od północy czasu GMT zanotowaliśmy wzrost liczby połączeń. Musieliśmy jednakże odfiltrować ruch, który jednoznacznie wskazywał na nie pochodzący od zainfekowanych komputerów. Pierwszym wyznacznikiem był występujący w protokole HTTP nagłówek User-Agent określający przeglądarkę, której klient używa do połączenia się z serwerem www. Conficker identyfikuje się jako Internet Explorer. Kolejnym ważnym punktem był nagłówek HTTP Host – robak najpierw zamienia adres domenowy na IP, a dopiero następnie wykonuje połączenie bezpośrednio na to IP. Odpadają więc wszystkie połączenia, które w nagłówku Host miały adres domenowy, a nie IP.
Na powyższym wykresie przedstawiono ilość połączeń HTTP GET w dziesięciominutowym oknie czasowym dla domen z 1-go kwietnia. Kolorem niebieskim oznaczono prawdopodobne połączenia zarażonych komputerów, natomiast czerwonym ruch, co do którego mamy pewność, że nie jest aktywnością robaka. Czerwony wykres rozpoczyna się z końcem wykresu niebieskiego, nie jest liczony od osi odciętych.
Okazało się, że “nie-confickerowych” połączeń było nadspodziewanie dużo – aż ok. 20% ruchu. Co więcej, ruch ten utrzymywał się na stałym poziomie. Wygląda więc na to, że badacze Confikera mogą mocno przyczynić się do obciążenia łączy i przypadkowych serwerów. Poza tym świadczy to o tym, że zainteresowanie/uwaga poświęcona robakowi jest póki co niewspółmierna do realnego zagrożenia.
Kolejny wykres przedstawia zestawienie połączeń HTTP GET (rozdzielczość, to również dziesięciominutowe okno czasowe) rozszerzone o domeny z dnia 2-go kwietnia (wykres zielony). Dodatkowo, aby pokazać skalę połączeń “nie-confickerowych”, wykres czerwony i niebieski rozdzielono.
Nie ma wątpliwości, że grasujący od listopada robak Conficker (zwanym także Downadup lub Kido) stał się największym tego typu zagrożeniem z okresu ostatnich kilku lat. Kolejne doniesienia prasowe mówiły o ustalaniu następnych rekordów zarażonych komputerów, dochodzących nawet do kilkunastu milionów. Zdarzały się też optymistyczne wieści, że główną falę ataków mamy już za sobą. Poniżej podzielamy się naszymi obserwacjami dokonanymi przez system ARAKIS. Warto pamiętać, że system korzysta z rozproszonej sieci sensorów znajdujących się tylko na terenie Polski, więc informacje przez niego dostarczane można interpretować jako próbę zobrazowania sytuacji z punktu widzenia polskiego użytkownika systemu Windows.
Na początek krótkie wprowadzenie co to jest ten Conficker i jak się nim można zarazić? Robak (jego pierwsza wersja) pojawił się w listopadzie zeszłego roku i wykorzystywał lukę znajdującą się w mechanizmie obsługi zdalnych wywołań procedur RPC (biuletyn bezpieczeństwa Microsoft numer MS08-067). Pomimo wydania (i to jeszcze przed pojawieniem się robaka!) przez Microsoft poprawki, regularnie rosła liczba zainfekowanych komputerów. Początkowo robak propagował się tylko przez sieć (wykorzystując wspomnianą wyżej podatność i tylko ją) – przez porty 445 i 139 TCP. Jednak na początku stycznia twórcy robaka uzbroili go w nowe groźne funkcjonalności – Conficker.B (bo tak nazwano nową odmianę) próbuje dostać się do systemu ofiary poprzez udostępnione w sieci lokalnej zasoby, a gdy te są chronione, próbuje złamać hasło! Robak używa ataku słownikowego, więc podatne są nieskomplikowane hasła (przy okazji polecamy nasz poradnik “Jak skonstruować dobre hasło?“). Ponadto infekowane są przenośne pamięci, jak na przykład zewnętrzne dyski twarde, pendrive’y, odtwarzacze mp3 czy karty pamięci. Oznacza to, że zagrożone są także komputery mające załataną podatność opisaną w MS08-067. To wszystko sprawiło, że według naszych obserwacji przez pierwsze dwa tygodnie nowego roku potroiła się liczba zainfekowanych komputerów. Objawiło się to wyraźnym wzrostem ruchu (unikalne adresy IP) na ARAKISowych wykresach opisujących port 445/TCP dotyczących zarówno honeynetu, jak i firewalli czy darknetu (o źródłach z których korzysta ARAKIS można przeczytać w ARAKIS FAQ).
Wykres przedstawia aktywność zaobserwowaną tylko przez honeypoty. Oś rzędnych przedstawia liczbę unikalnych (niepowtarzalnych) adresów IP w 5-minutowym “oknie” czasowym. Dobowe wahania odzwierciedlają najprawdopodobniej pory dnia, w których najczęściej zarażone komputery były użytkowane (maksimum wypada w okolicach godziny 18 polskiego czasu, minimum między 1 a 8 rano).
Mniej więcej od połowy stycznia trend się “uspokoił”. Wprawdzie obserwujemy ciągły wzrost liczby zainfekowanych komputerów, lecz nie jest on już tak wyraźny. Oczywiście nie cała aktywność na porcie 445/TCP oznacza Confickera – są jeszcze inne robaki (jak np. Sasser), które ciągle propagują się przez ten port. Jednak liczba zarażonych nimi (łącznie) komputerów jest ok. kilkanaście razy mniejsza, niż hostów zainfekowanych Confickerem. W systemie ARAKIS wytworzyły się dwa klastry opisujące pierwszy etap nawiązania połączenia przez tego robaka (dokładnie negocjację SMB). Analizując statystyki dotyczące aktywności klastrów okazuje się, że ok. 70%-80% (dane z ostatniego tygodnia) wszystkich komputerów widzianych w honeynecie ARAKISa propagowało Confickera (klaster opisujący tego robaka jest na pierwszym miejscu zarówno pod względem ilości unikalnych źródłowych adresów IP, jak i ilości przepływów). Według obserwacji ARAKISa jest to więc obecnie największe zagrożenie, które rozprzestrzenia się drogą sieciową w sposób aktywny, a pamiętać należy, że to nie jedyna metoda propagacji tego robaka. Poniżej statystyki klastrów z ostatnich 24 godzin.
Można więc śmiało powiedzieć, że problem “epidemii” Confickera dotyczy także polskich użytkowników systemu Windows i Internetu. Ciekawe więc mogą być obserwacje ilości ataków widocznych w ARAKISie pochodzących z terytorium Polski. W rankingu TOP 10 państw, z których widoczne były próby ataku, Polska (na szczęście!) w ogóle nie występuje. Najwięcej połączeń (ok. 23%) pochodzi z terytorium Rosji, a następnie blisko siebie są Brazylia i Chiny (ok. 12%). Rozpatrując tylko polskich dostawców Internetu statystyki pokazują najwięcej połączeń z sieci takich providerów, jak TPNET, Netia, Dialog, Vectra, Multimedia. Są to więc m.in. najwięksi polscy dostawcy Internetu, przy czym im więcej klientów, tym więcej infekcji (co jest logiczne). Z powodu różnic w ilości klientów nie ma sensu pokazywać statystyk opisujących który provider ma najwięcej zarażonych komputerów. Można natomiast pokazać procentowy rozkład źródeł ataków na województwa. Najwięcej, bo aż ok. 50% widzianych w ARAKISie “polskich” ataków, pochodzi w województwa dolnośląskiego.
Podsumowując: pomimo stosunkowo niedużego udziału polskich IP w widzianych przez ARAKIS atakach, naszego państwa nie ominęła epidemia Confickera (w Internecie nie ma przecież granic). Polski Internauta jest jak najbardziej zagrożony. Nie obserwujemy także spadku liczby zainfekowanych komputerów – wręcz przeciwnie, liczba ta (choć wolniej niż przed miesiącem) stale rośnie, co widać na wykresach ruchu na porcie 445/TCP oraz w statystykach klastrów. Ruch generowany przez tego robaka jest naprawdę znaczący i – szczególnie słabszym łączom – może sprawiać trudności. Na koniec prosimy pamiętać, że sensory ARAKISa nie widzą wszystkiego. Niekoniecznie przytoczone powyżej dane muszą idealnie odzwierciedlać rzeczywistość w polskiej części Internetu, lecz ze względu na rozproszoną sieć sond jest to całkiem prawdopodobne. Wybrane dane systemu ARAKIS dostępne są publicznie na stronie www.arakis.pl.
Więcej ciekawych informacji na temat robaka Conficker można znaleźć:
