Projekt HoneySpider Network to system klienckich honeypotów, który powstał dzięki współpracy CERT Polska, GOVCERT.NL oraz SURFnet. Jednym z jego komponentów jest wysoko-interaktywny kliencki honeypot – Capture-HPC NG. Autorem oryginalnego oprogramowania jest Christian Seifert, a modyfikacje zostały wprowadzone przez Dział Rozwoju Oprogramowania z NASK. Capture-HPC NG z projektu HoneySpider Network to nowa wersja, która wprowadza szereg ulepszeń oraz pozwala na zastosowanie maszyny wirtualnej VirtualBox oraz KVM (oryginał opierał się na VMware). Oprogramowanie zostało ustabilizowane oraz udostępnione na licencji GPL 2.0.

(więcej…)

Na przełomie września i października działający w ramach NASK zespół CERT Polska przeprowadził na zaproszenie rządowego zespołu CERT Zjednoczonych Emiratów Arabskich (aeCERT) wdrożenie systemu HoneySpider Network w Dubaju.

Dzięki zastosowaniu systemu HSN aeCERT zyskał możliwość proaktywnego wykrywania i monitorowania złośliwych stron WWW, zarówno na terenie Zjednoczonych Emiratów Arabskich, jak i na świecie. Poza wdrożeniem systemu członkowie CERT Polska przeprowadzili szkolenia z zakresu jego obsługi, utrzymania oraz tworzenia raportów. Zorganizowano także trzydniowe warsztaty dotyczące ataków na aplikacje klienckie, w szczególności na przeglądarki internetowe i wtyczki do nich. Na potrzeby szkoleń stworzono wirtualne laboratorium zawierające spreparowane złośliwe strony WWW do analizy.

Trzy dni temu pojawiły się w systemie ARAKIS połączenia HTTP nawiązane przez – jeżeli wierzyć polu “User-Agent” – pająka webowego HuaweiSymantec. Poprzez żądania GET próbowano pobrać z naszych honeypotów pliki konfiguracyjne (setup.php) znanego narzędzia do zarządzania bazami danych MySQL – phpMyAdmin. Na pierwszy rzut oka wyglądało to jak połączenia generowane przez typowy skaner luk próbujący na ślepo znaleźć podatne lub źle skonfigurowane narzędzie na sprawdzanym serwerze:

(więcej…)

Wraz ze wzrostem zainfekowanych stron internetowych pojawiają się również narzędzia służące do identyfikacji oraz analizy złośliwego kodu. Potrafią one wydobywać kod (głównie JavaScript, ale także VBScript) z dokumentów HTML i PDF oraz z animacji Flash. Następnie, w badanym kodzie, wyszukiwane są exploity. Mogą to być standardowe przepełnienia bufora jak i pływające ramki pobierające szkodliwy program, czy automatyczne przekierowania do złośliwych stron. Do takich narzędzi należą min. PhoneyC, jsunpack oraz wepawet.

(więcej…)

Na zaproszenie Hong Kong Productivity Council (HKPC) zespół CERT Polska zorganizował w Hongkongu dwudniowe warsztaty techniczne traktujące o atakach z wykorzystaniem stron internetowych (Monitoring and Analyzing Web Client Side Attacks Workshop). Wydarzenie to odbyło się w ramach międzynarodowej konferencji Information Security Summit 2009. Grupą docelową byli specjaliści związani z bezpieczeństwem IT zarówno instytucji walczących z cyberprzestępczością, jak i instytucji finansowych, e-commerce i banków. Wszyscy uczestnicy pochodzili z regionu Azji i Pacyfiku. Poza warsztatami nasz przedstawiciel wygłosił także prezentację dostępną dla wszystkich uczestników konferencji opisującą projekt HoneySpider Network.

Biorący udział w szkoleniu poznawali motywy i cele cyberprzestępców, oraz przede wszystkim metody wykrywania i walki ze złośliwymi stronami internetowymi. W tym celu przygotowaliśmy przenośne laboratorium. Składało się ono z laptopów pełniących rolę serwerów, routera z access pointem, oraz obrazów wirtualnych stacji roboczych. Wśród serwerów były m.in. serwery www zawierające specjalnie spreparowane złośliwe strony www, a wirtualne systemy posiadały narzędzia do ich analizy. Wszystko to zostało umiejscowione w odizolowanym i kontrolowanym środowisku sieciowym. Dodatkowo, również na przenośnych serwerach, zaprezentowany został rozwijany przez NASK i partnerów holenderskich system HoneySpider Network. Dzięki temu uczestnicy szkolenia mogli zdiagnozować zarówno stworzone na potrzeby warsztatu, jak i rzeczywiste złośliwe strony internetowe. Wykorzystane zostało także jedno z ćwiczeń Europejskiej Agencji Bezpieczeństwa Sieci i Informacji ENISA opracowanych wspólnie z NASK i przeznaczonych dla zespołów typu CERT (ENISA CERT Exercises).

(więcej…)

W ostatnich latach bardzo popularne stały się rozmaite systemy wirtualizacji, do tego stopnia, że uruchamiania się nawet serwery produkcyjne właśnie w takich środowiskach. Równolegle, systemy wirtualizacji są wykorzystywane  do analizy zagadnień związanych z bezpieczeństwem i ochroną informacji. W tym kontekście systemy te świetnie się nadają do przeprowadzania dynamicznej analizy działania złośliwego kodu. Wśród problemów z tym związanych wielokrotnie zwracano uwagę na fakt możliwości wykrycia przez złośliwe oprogramowanie środowiska wirtualnego, a co za tym idzie, nie wykonywania się na takich systemach w celu uniemożliwienia analizy działania.

Z naszych doświadczeń wynika, że zdecydowanie mniej uwagi poświecono stabilności tych rozwiązań. Na problem trafiliśmy w kontekście budowy wysokointeraktywnych klienckich honeypotów w ramach projektu HoneySpider Network. Wysokointeraktywne klienckie honeypoty to rozwiązania sterujące rzeczywistym systemem w celu wykrywania zmian w systemie przed i po uruchomieniu np. przeglądarki z danym URLem. Dzięki temu możliwe staję się wykrycie złośliwego URLa, znalezienie luki w przeglądarce, lub wręcz przechwycenie bota czy robaka. Do implementacji wysokointeraktywnych klienckich honeypotów wykorzystuje się najczęściej wirtualizację.

Struktura i zasada działania klienckiego honeypota jest zazwyczaj podobna. Istnieje pojedynczy serwer zarządzający, który zarządza włączaniem, wyłączaniem i odtwarzaniem do pierwotnego stanu jednego lub więcej honeypota, z którym komunikuje się przez sieć. W przypadku instalacji na jednej maszynie z użyciem wirtualizacji wykorzystywana jest sieć emulowana. W systemie honeypota pracuje program kliencki, który pobiera URLe do badania oraz monitoruje stan systemu, wykrywając infekcje, czyli zmiany nie zawarte na (wcześniej zdefiniowanych) listach zmian, jakie mogą zachodzić w normalnym, poprawnie działającym systemie, w którym jedyną pracującą aplikacją jest program kliencki. W przypadku wykrycia infekcji informacja przekazywana jest do serwera, który inicjuje przywracanie poprzedniego stanu (tzw. revert). Jeśli infekcji nie wykryto, klient otrzymuje kolejny URL.

Jednym z bardziej znanych rozwiązań wysokointeraktywnych jest Capture-HPC autorstwa Christiana Seiferta. Ogólne zasady działania jest taka jak powyżej, natomiast działanie klienta polega na modyfikacji wywołań systemowych i pozwala przechwytywać wszystkie zdarzenia w chwili ich wystąpienia. Rozwiązanie to stało się podstawą komponentu wysokointeraktywnego projektu HoneySpider Network.

Klasyczny Capture-HPC (obecnie w wersji 2.5.1) wykorzystuje VMware, w wersji VMware Server 1.0.x oraz 2.0. Serwer, do uruchamiania klienta korzysta z Vix API. W momencie wykrycia zmian – a więc teoretycznie po wykryciu złośliwego oprogramowania, po upływie stałego czasu, system wirtualny jest przywracany do wersji sprzed infekcji (następuje revert). Sam Capture-HPC zawiera wiele błędów w kodzie, które drastycznie wpływają na jego funkcjonalność (przepełnienia, słaby system logowania, gubione urle, bezpieczeństwo wątków … ). Okazuje się jednak, że kiedy wykorzystamy nawet już poprawionego Capture’a do przetworzenia dużych ilości URLi (np. rzędu kilku tysięcy), to instalacja VMware pod wpływem revertów (w szczególności jeśli revertowanych jest wiele maszyn), staje się niestabilna, do tego stopnia, że czasem konieczny jest reboot systemu hosta. Ponieważ wyniki wtedy zwracane stają się mało wiarygodne, rozwiązanie bazujące na VMware okazało się niewystarczające w kontekście projektu HoneySpider, które zakłada przetwarzanie dziesiątków tysięcy URLi dziennie i wysokiego poziomu niezawodności. Testy wykonywane były pod Linux Debian, w wersji Lenny, z jądrami 2.6.26 i wyżej.

Jak więc prezentują się alternatywne systemy wirtualizacji? Podobne testy przeprowadziliśmy dla VirtualBoxa (wersje 2.0.6 i 2.1.4), KVM/Qemu (wersje 84 i 72) oraz Xen (wersje 3.2.1 oraz 3.3). Okazało się, że każdy z tych systemów ma swoje poważne problemy. VirtualBox wykazał się średnim poziomem stabilności (procesy hosta – VBoxHeadless – padały po losowej ilości revertów z błędem naruszenia pamięci), który jednak udało się ‘obejść’ specyficznym revertem pilnującym, aby w jednym czasie był uruchomiony tylko jeden proces VBoxSVC sterujący obrazami wirtualnymi. Do ubijania już ‘zamykanych’ obrazów (np. po wykryciu stanu zainfekowania), konieczny okazał się sygnał SIGTERM, a nie standardowe narzędzie VirtualBoxa (VBoxManage), które okazało się zawodne. KVM/Qemu natomiast okazały się rozwiązaniami bardzo stabilnymi, jednakże … zwracane wyniki okazywały się mało wiarygodne, albowiem klient capture’a zwracał losowe wyniki (inny za każdym razem dla tego samego URLa). Podobny problem napotkaliśmy przy Xenie – co może nie dziwić, gdyż rozwiązanie również bazuje na Qemu (Xen w wersji 3.3 zawierał dodatkowe blędy w sterownikach, które w ogóle uniemożliwiały uruchomienie go w kontekście Capture’a).

Powyżej podsumowanie naszych doświadczeń i ocen dla systemów wirtualizacji w kontekście wykrywania złośliwych URL poprzez klienckie honeypoty. Wyniki okazały się sporym zaskoczeniem – systemy wirtualizacji okazały się być nie tak stabilne jak się spodziewano, w sytuacji wielu revertów, masowego otwierania złośliwych stron i wielu obrazów uruchamianych jednocześnie. Dodatkowym zaskoczeniem okazały się rozwiązania bazujące na Qemu – losowość zwracanych wyników. W tej sytuacji, najlepszym rozwiązaniem na dzień dzisiejszy okazał się VirtualBox, które po wprowadzeniu zabezpieczeń dla revert stał się podstawowym narzędziem systemu HoneySpider Network.

W niedzielę 22 lutego na kilku forach internetowych pojawiły się wypowiedzi zaniepokojonych internautów informujące, że ich programy antywirusowe wykrywają złośliwe oprogramowanie na stronie www.pajacyk.pl (na przykład Avast identyfikował je jako VBS:Malware-gen). Przeprowadzona przez nas analiza potwierdziła zagrożenie – jak się okazało do kodu strony Pajacyka został doklejony skrypt JavaScript przekierowujący na inną stronę infekującą internautów trojanem ZBot. Fragment źródła strony z przekierowującym skryptem (zapamiętany przez nas około godziny 10:00 w poniedziałek 23 lutego) wyglądał następująco:

Skrypt JS jest zaciemniony (ang. obfuscated) w celu utrudnienia jego analizy oraz oszukania silników antywirusowych – po zdekodowaniu zawiera on ukrytą ramkę IFRAME z inną stroną, która dokładnie w ten sam sposób przekierowuje do właściwej strony zawierającej exploit. Zagrożenie związane ze stroną Pajacyka potwierdził także nasz system klienckich honeypotów HoneySpider Network. Witryna w jednoznaczny sposób została sklasyfikowana jako złośliwa:

Dzięki wysoko-interaktywnym honeypotom przechwyciliśmy złośliwe pliki wykonywalne z trojanem, które były automatycznie ściągane i uruchamiane przez exploit umieszczony na stronie WWW (tzw. drive-by download):

Powyższą zawartość pobraną w wyniku odwiedzenia Pajacyka poddaliśmy skanowaniu antywirusowemu w serwisie VirusTotal – ponad połowa silników AV wykryła zagrożenie:
http://www.virustotal.com/pl/analisis/ce1ade3e46f3089ae3a267c2e0e264bb

Polska Akcja Humanitarna podała informację, że alarmy programów antywirusowych występujące po wejściu na witrynę Pajacyka są spowodowane obecnością reklamy w postaci wyskakującego okienka, którą bardziej czułe antywirusy klasyfikują jako złośliwe oprogramowanie, a zagrożenie nie istnieje. Niestety nie jest to prawdą – kod doklejony do strony infekował internautów, którzy odwiedzili Pajacyka w niedzielę lub poniedziałek rano. Zagrożenie zostało usunięte dopiero w poniedziałek około godziny 10:30. Według statystyk umieszczonych na www.pajacyk.pl, tylko w niedzielę witrynę odwiedziło prawie 100 tysięcy osób. Trudno oszacować ile z nich zostało zainfekowanych, ale skala problemu jest poważna.

Wszystkim osobom, które w tym czasie otworzyły stronę Pajacyka, zalecamy wykonanie pełnego skanowania systemu jednym ze skutecznych w tym przypadku programów antywirusowych (lista wykrywających to zagrożenie silników AV znajduje się w linku do analizy naszej próbki w serwisie VirusTotal). Ponadto w ochronie komputera przed niebezpiecznymi elementami stron WWW (w tym skryptami JavaScript przekierowującymi na złośliwe strony) pomagają wtyczki do przeglądarek blokujące takie elementy (na przykład dodatek NoScript do przeglądarki Firefox). Zapewniają one ochronę przed innymi stronami infekującymi odwiedzających, tym bardziej że przypadek Pajacyka nie jest odosobniony i takie witryny cały czas są obecne w sieci.

Mechanizm doklejania złośliwych skryptów do popularnych stron WWW często polega na wykorzystywaniu zdobytych haseł do serwerów FTP, na których strony te są hostowane. Jeśli komputer webmastera strony jest zainfekowany działającym w ten sposób koniem trojańskim, to przy aktualizacji strony za pomocą klienta FTP trojan przechwytuje dane logowania do konta FTP, po czym ściąga z serwera odpowiedni plik ze stroną główną (np. index.html, index.htm, index.php), dokleja złośliwy skrypt JS (często tuż za znacznikiem <body> lub tak jak w przypadku Pajacyka tuż przed znacznikiem </body>) i na koniec wysyła tak zmodyfikowaną wersję strony z powrotem na serwer FTP. Coraz popularniejsza jest też metoda zorientowana na wykorzystywanie haseł już zapamiętanych w klientach FTP – często dotyczą one aplikacji Total Commander. Dlatego, oczywiście oprócz posiadania programu antywirusowego z aktualną bazą sygnatur, zalecamy nie korzystać z mechanizmu zapamiętywania haseł w tego typu programach. Szczególnie webmasterzy powinni zwracać uwagę i sprawdzać, czy strony przez nich zarządzane nie zostały zaatakowane w podobny sposób.

Metoda polegająca na umieszczaniu przekierowań do złośliwych stron na innych popularnych witrynach zyskuje coraz większą popularność wśród cyberprzestępców, ponieważ zaufanie do takich stron jest duże (zdecydowanie większe niż na przykład do adresu wysłanego w spamie), a poza tym są one odwiedzane przez dużą liczbę niczego nie podejrzewających internautów (atakujący nie musi dodatkowo zachęcać do wejścia na taką stronę i rozsyłać jej adresu).