Po zebraniu kompletnych danych z systemu ARAKIS mogliśmy przeprowadzić dokładniejszą analizę w jaki sposób robak Morto rozprzestrzeniał się w internecie. Jak pisaliśmy wcześniej, pierwsza wersja Morto łączyła się z komputerami używając usługi Remote Desktop Protocol na porcie 3389, a następnie starała się uzyskać dostęp administracyjny próbując logować się przy użyciu listy predefiniowanych nazw użytkowników i haseł.
W pierwszym w historii raporcie półrocznym, obejmującym okres od stycznia do czerwca 2011, skupiamy się na analizie informacji z systemów automatycznych. Otrzymaliśmy blisko 4 mln tego rodzaju zgłoszeń. Podobnie jak w raporcie rocznym 2010, wyodrębniliśmy z nich kilka najważniejszych kategorii zdarzeń, w szczególności: źródła spamu, phishing, złośliwe oprogramowanie, boty czy ataki DDoS. Obserwacje porównaliśmy z analogicznymi danymi z ubiegłego roku i na tej podstawie wskazaliśmy kilka istotnych zmian, z których nie wszystkie potrafimy jednoznacznie wytłumaczyć. Z pewnością warto zapoznać się w szczególności z analizą informacji o złośliwym oprogramowaniu i stronach phishingowych w polskich sieciach, a także z tym, z których polskich sieci pochodzi najwięcej spamu i gdzie znajdziemy najwięcej botów. Pytanie, czy te dwie ostatnie kategorie muszą być ze sobą powiązane tak ściśle jak się uważa oraz jakie czynniki o tym decydują jest tylko jednym z wielu, do których odnosimy się w naszej publikacji.
Raport w wersji do pobrania znajduje się pod adresem http://www.cert.pl/PDF/Raport_CP_1H2011.pdf.
Wyk.1. Bots by type
W pierwszej połowie 2011 roku zauważyliśmy ponad 1 mln botów. Bezsprzecznie dominowały dwa z nich Torpig oraz Rustock. Ich liczebność była co najmniej trzy razy wyższa niż pozostałych. Zauważyliśmy prawie 380 tys. maszyn zainfekowanych Torpigiem oraz prawie 350 tys. Rustockiem. Poza nimi znaczący udział miały boty ircowe, Mebroot oraz Conficker. W przypadku botów ircowych mamy do czynienia ze składową wielu odmian botów. Jedną wspólną, wyróżniającą je cechą był kanał zarządzania jakim był IRC. Na szczególną uwagę zasługuje Mebroot, który jest wykorzystywany do wykradania danych klientów instytucji finansowych. Co prawda w większości przypadków poważne, dedykowane ataki są ukierunkowane na podmioty zagraniczne, przy czym istnieje duże prawdopodobieństwo trafienia do botnetu, którego celem jest polski użytkownik.
W niniejszym opracowaniu opisane zostały działania zespołu CERT Polska związane z analizą oraz monitorowaniem aktywności komputerów zainfekowanych malware hamweq. Celem badania było poznanie mechanizmów działania, rozprzestrzeniania się oraz sposobów zarządzania opisywanym złośliwym oprogramowaniem. Dodatkowo przeprowadzona została analiza komend jaki mogą być przesłane przez botmastera do zombie.
W porównaniu z innymi programami możliwości omawianego malware są stosunkowo ubogie, a kontrola nad zainfekowanym komputerem ogranicza się jedynie do wydawania paru prostych poleceń. Służą one głównie do przeprowadzania ataków DDoS – które stanowią obecnie jedno z największych zagrożeń w sieci (ostatnio często nagłaśnianych w mediach). Hamweq został również wymieniony w raporcie bezpieczeństwa opublikowanych przez Microsoft w połowie 2010 roku jako jeden z najczęściej spotykanych złośliwych programów. Znajduje się on dokładnie na trzecim miejscu, daleko przed takimi malware jak ZeuS czy SpyEye. Ten właśnie fakt, oraz brak dostępnych szczegółowych analiz hamweq w sieci stały się głównym powodem wybrania tego malware jako przedmiotu badania.
Raport można pobrać pod adresem : http://www.cert.pl/wp-content/uploads/201106_hamweq.pdf
W raporcie z pracy zespołu CERT Polska prezentujemy i omawiamy statystyczny obraz zagrożeń dotyczących polskich sieci w 2010 roku. Opisujemy także najciekawsze naszym zdaniem zjawiska i wydarzenia, które pojawiły się lub mocno zaktywizowały w tym okresie. Po raz pierwszy znaczną część raportu zajmują analizy dokonane na podstawie nie tylko incydentów obsłużonych przez nas ręcznie w systemie zgłoszeń, ale przede wszystkim ponad 12 milionów informacji, które otrzymujemy z różnego rodzaju systemów, zarówno własnych jak i zewnętrznych. Jest to naszym zdaniem wyjątkowo miarodajny obraz, zarówno ze względu na ogrom wykorzystanych informacji i wielość źródeł, jak i fakt, że dotyczą one praktycznie całej polskiej przestrzeni adresowej. (więcej…)
Zeus jest jednym z największych botnetów funkcjonujących obecnie w Internecie. Boty Zeusa – Zboty – to konie trojańskie wyspecjalizowane w kradzieży danych. Jeśli komputer użytkownika jest zainfekowany, bot rejestruje loginy i hasła użytkowników próbujących zalogować się do serwisów banków internetowych, instytucji finansowych lub sklepów. Dodatkowo, infekcja powoduje, że zabezpieczenia typu SSL są zupełnie bezużyteczne, ponieważ boty ingerują w węwnętrzne mechanizmy przeglądarek, które informują o nawiązaniu bezpiecznego połączenia. Zespół CERT analizował i przygotował raport na temat pozyskanej próbki bota Zeusa.
Botnet Bredolab według niektórych oszacowań składał się z ponad 30 mln zainfekowanych maszyn. W trakcie śledztwa prowadzonego w minionych tygodniach zidentyfikowano 143 serwery związane z botnetem. Jednostka Dutch National High Tech Crime Team, holenderskie służby zajmujące się przestępstwami komputerowymi, 25 października podjęły działania mające na celu zniszczenie botnetu. W akcji brały udział też między innymi GovCERT.NL i firma Fox-IT. Rozpoczęto odłączanie kolejnych serwerów Command-and-Control od sieci Internet. Narodowa policja w Holandii w trakcie śledztwa starała się namierzyć podejrzanych o kierowanie botnetem. Głównego podejrzanego, 27-letniego Ormianina, namierzono w Rosji. Aresztowano go na lotnisku Zvartnots w Erywaniu w Armenii.
