Na przełomie września i października działający w ramach NASK zespół CERT Polska przeprowadził na zaproszenie rządowego zespołu CERT Zjednoczonych Emiratów Arabskich (aeCERT) wdrożenie systemu HoneySpider Network w Dubaju.

Dzięki zastosowaniu systemu HSN aeCERT zyskał możliwość proaktywnego wykrywania i monitorowania złośliwych stron WWW, zarówno na terenie Zjednoczonych Emiratów Arabskich, jak i na świecie. Poza wdrożeniem systemu członkowie CERT Polska przeprowadzili szkolenia z zakresu jego obsługi, utrzymania oraz tworzenia raportów. Zorganizowano także trzydniowe warsztaty dotyczące ataków na aplikacje klienckie, w szczególności na przeglądarki internetowe i wtyczki do nich. Na potrzeby szkoleń stworzono wirtualne laboratorium zawierające spreparowane złośliwe strony WWW do analizy.

Na zaproszenie Hong Kong Productivity Council (HKPC) zespół CERT Polska zorganizował w Hongkongu dwudniowe warsztaty techniczne traktujące o atakach z wykorzystaniem stron internetowych (Monitoring and Analyzing Web Client Side Attacks Workshop). Wydarzenie to odbyło się w ramach międzynarodowej konferencji Information Security Summit 2009. Grupą docelową byli specjaliści związani z bezpieczeństwem IT zarówno instytucji walczących z cyberprzestępczością, jak i instytucji finansowych, e-commerce i banków. Wszyscy uczestnicy pochodzili z regionu Azji i Pacyfiku. Poza warsztatami nasz przedstawiciel wygłosił także prezentację dostępną dla wszystkich uczestników konferencji opisującą projekt HoneySpider Network.

Biorący udział w szkoleniu poznawali motywy i cele cyberprzestępców, oraz przede wszystkim metody wykrywania i walki ze złośliwymi stronami internetowymi. W tym celu przygotowaliśmy przenośne laboratorium. Składało się ono z laptopów pełniących rolę serwerów, routera z access pointem, oraz obrazów wirtualnych stacji roboczych. Wśród serwerów były m.in. serwery www zawierające specjalnie spreparowane złośliwe strony www, a wirtualne systemy posiadały narzędzia do ich analizy. Wszystko to zostało umiejscowione w odizolowanym i kontrolowanym środowisku sieciowym. Dodatkowo, również na przenośnych serwerach, zaprezentowany został rozwijany przez NASK i partnerów holenderskich system HoneySpider Network. Dzięki temu uczestnicy szkolenia mogli zdiagnozować zarówno stworzone na potrzeby warsztatu, jak i rzeczywiste złośliwe strony internetowe. Wykorzystane zostało także jedno z ćwiczeń Europejskiej Agencji Bezpieczeństwa Sieci i Informacji ENISA opracowanych wspólnie z NASK i przeznaczonych dla zespołów typu CERT (ENISA CERT Exercises).

(more…)

W ostatnich dniach na biznesowym serwisie społecznościowym LinkedIn.com pojawiły się fałszywe profile wielu znanych osobistości (głównie celebrytów). W każdym z nich znajdowały się odnośniki do stron zawierających rzekome nagie zdjęcia danej osoby. Strony te przekierowywały (nawet kilka razy) użytkowników, którzy kliknęli w link, na inne, na których znajdował się fałszywy odtwarzacz filmów. W rzeczywistości było to oprogramowanie instalujące w komputerze ofiary trojana. Przykład analizy przez silniki antywirusowe jednego z takich “odtwarzaczy”: www.virustotal.com.

Fałszywy profil Salmy Hayek - jeden z wielu

Jak zapewniają pracownicy LinkedIn cały czas na bieżąco usuwają fałszywe profile. Warto zauważyć, że cyberkryminaliści nie wykorzystują żadnej podatności w serwisie – po prostu tworzą konta użytkowników wykorzystując nazwiska znanych gwiazd, następnie umieszczają w ic-h opisie odnośniki do złośliwych stron licząc, że któraś z ofiar w nie kliknie.

Przestrzegamy wszystkich użytkowników przed takimi lub podobnymi technikami propagacji malware’u i apelujemy o rozwagę podczas surfowania po Internecie. Nic nie stoi na przeszkodzie, by tego typu sposobem atakować również użytkowników innych portali społecznościowych czy for dyskusyjnych. Ataki poprzez przeglądarki internetowe są coraz częściej wykorzystywane przez cyberprzestępców.

Źródła:
inf. własna,
http://blogs.zdnet.com/security/?p=2358

Ostatnia aktualizacja: 18.12.2008 (przejdź bezpośrednio)

W sieci powszechnie dostępny jest exploit na odkrytą niedawno lukę w przeglądarce Internet Explorer 7. Wczorajsze aktualizacje Micosoft nie łatały wykorzystywanej podatności, co oznacza, że nawet całkowicie zaktualizowane komputery są podatne na potencjalny atak. Exploit wykorzystuje lukę w module obsługującym XML i przepełnia stertę (tzw. atak heap overflow). Wcześniej sprawdza typ i wersję używanej przeglądarki, a także rodzaj systemu operacyjnego.

Przepełnienie sterty wykonuje się tylko dla IE w wersji 7 działającej w systemie Windows XP lub 2003. Nie wiadomo jednak na razie, czy inne wersje przeglądarki bądź systemu Windows (np. Vista) są podatne na atak. Ciekawy jest także fakt użycia funkcji sleep, która powoduje zawieszenie wykonywania kodu javaScript na określony czas (w wersji exploita, którą zdobyliśmy, są to 3 sekundy, natomiast wiadomo, że ta wartość zmienia się). Najprawdopodobniej chciano w ten sposób niejako “ogłupić” automatyczne narzędzia wykorzystywane do zbierania i/lub analizy malware’u.

Szkodliwy kod JavaScript opublikowany został m.in. na wielu chińskich serwisach społecznościowych (głównie forach, także blogach) traktujących o (nie)bezpieczeństwie komputerowym. Potencjalnie można go wykorzystać do wykonania w atakowanym systemie dowolnego kodu (najprawdopodobniej będzie to instalacja trojana lub inne złośliwe oprogramowanie). Wprawdzie brak jest doniesień o masowym wykorzystaniu exploita, jednak może być to tylko kwestią czasu. Należy zwrócić uwagę, że w przypadku masowego ataku taki złośliwy JavaScript może być wstrzyknięty do kodu strony www, którą do tej pory uważaliśmy za bezpieczną. Na razie nie istnieją żadne łaty poprawiające błąd, ale warto pamiętać, że podatna na atak jest tylko przeglądarka Internet Explorer.

Ataki na aplikacje klienckie są coraz chętniej wykorzystywane przez cyberprzestępców, szczególnie te skierowane na przeglądarki internetowe i dodatki do nich. W celu walki z tego typu zagrożeniem powstał projekt HoneySpider Network. Związane z nim nasze klienckie honeypoty potwierdziły zagrożenie, jakie niesie ze sobą opisany wyżej exploit.

Więcej informacji:
http://www.microsoft.com/technet/security/advisory/961051.mspx
http://isc.sans.org/diary.html?storyid=5458

Aktualizacja (czw, 11 gru 2008, 13:53):

Jeszcze wczoraj pojawiła się w sieci wersja exploita, która działa także pod całkowicie zaktualizowanym systemem Windows Vista (zarówno z jak i bez SP1). Obie wersje złośliwego kodu (zarówno ta przeznaczona na Windowsa XP/2003 jak i na Vistę) są modyfikowane (cyberprzestępcy dostosowują je do swoich potrzeb) i najczęściej już nie sprawdzają rodzaju/wersji przeglądarki czy systemu operacyjnego, tylko próbują się wykonać za każdym razem.

Exploity ponadto są już powszechnie wykorzystywane do zarażania komputerów internautów: pojawia się coraz więcej stron www, które zawierają wyżej opisany złośliwy JavaScript. Są to głównie strony chińskie (domena .cn), do których odnośniki (URL) są wstrzykiwane w zawartość innych “legalnych” stron. Jak udało się ustalić specjalistom zajmującym się tym problemem komputery infekowane są najczęściej złośliwym oprogramowaniem wykradającym hasła do gier online. Oczywiście cyberprzestępcy mogą równie dobrze wykorzystać malware, który np. wykrada hasła do banków, numery kart kredytowych, czy zmienia komputer ofiary w członka botnetu (tzw. komputer-zombie).

Korzystając z serwisu Virustotal.com wysłaliśmy do przeskanowania przez silniki antywirusowe kilka wariantów exploita. Oto linki do wyników analiz:

• www.virustotal.com/analisis/cac8d964051da96907b2a509d99c5ddf (wykryło 6/37 antywirusów, 16,22%)
• www.virustotal.com/analisis/cbf99af64ed8c638acded59e959917fb (wykryło 15/38 antywirusów, 39,48%)
• www.virustotal.com/analisis/ee75aaa813e95b144f01ddd4e3bad2ed (wykryło 14/38 antywirusów, 36,85%)

Więcej informacji można znaleźć na stronach:
http://blogs.zdnet.com/security/?p=2296
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081210

Aktualizacja (czw, 18 gru 2008, 10:30):

Microsoft wydał patch łatający opisaną wyżej lukę (biuletyn bezpieczeństwa oznaczony numerem MS08-078). Apelujemy zatem do wszystkich użytkowników systemów Windows o jak najszybsze zaktualizowanie swojej przeglądarki Internet Explorer nawet, jeżeli nie jest ona używana do surfowania po internecie (ponieważ wiele aplikacji – jak np. Gadu-Gadu – korzysta z niej i przez to pośrednio jest podatne na ataki). Można to zrobić poprzez:

• Aktualizacje automatyczne (dostępne w Panel sterowania),
• korzystając z witryny Microsoft Update
• ściągając odpowiednią do posiadanego systemu i wersji przeglądarki poprawkę bezpośrednio ze strony Centrum Pobierania Microsoft i instalując ją ręcznie.

Dwa dni temu przy okazji dwudziestej rocznicy powstania internetowego robaka opublikowaliśmy pierwszą część opracowania, w którym podsumowujemy i analizujemy rozwój jaki się dokonał w przeciągu tych dwudziestu lat wśród zagrożeń dla użytkowników Internetu. Dzisiaj kolej na drugą ostatnią część.

Problemy stwarzane przez ogólnie pojęte szkodliwe oprogramowanie spowodowały powstanie aplikacji i urządzeń, których celem była ochrona całych sieci bądź pojedynczych komputerów. Powstawało wiele firm, które specjalizowały się tylko w tej dziedzinie i opracowywały wiele autorskich rozwiązań. W 2004 roku po raz pierwszy narzędzia, które zostały stworzone do ochrony, same stały się celem robaka Witty. Co ciekawe atakował on produkty tylko jednej firmy: ISS (Internet Security Systems), m.in. firewalle i systemy typu IDS. Wykorzystując ich podatność był w stanie bardzo szybko się rozprzestrzeniać. Początkowa prędkość propagacji była tak duża (w ciągu pierwszych 10 sekund działalności zostało zainfekowanych 110 hostów, w kolejnych 20 sekundach “tylko” 50 nowych), że wzbudziło to podejrzenia, iż robak posiadał wcześniej zdefiniowaną listę docelowych adresów IP pod którymi działało podatne oprogramowanie. Z czasem prędkość rozprzestrzeniania się spadła, choć i tak była imponująca (ok. 12 000 komputerów w przeciągu 45 minut). Cały kod robaka mieścił się w pojedynczym pakiecie UDP. Witty był silnie złośliwy. Oprócz autopropagacji, konsekwencją której było wygenerowanie dużego ruchu w sieci, nadpisywał lub kasował losowe bloki na dyskach doprowadzając z czasem do uszkodzenia całego systemu plików. Robak miał jeszcze jedną charakterystyczną cechę: zaatakował w niecałe 48 godzin od opublikowania przez ISS informacji o luce, co było na owe czasy wynikiem rekordowym. Uwydatniło to słabość systemów w postaci opieszałym aktualizowaniu oprogramowania przez administratorów, bowiem jak się okazało wielu z nich nie zainstalowało na poprawek czas (zob. wiadomość Witty nie dał szans administratorom).

Aktywność takich robaków, jak Slammer, Blaster czy Sasser nie słabnie od lat (co potwierdzają m.in. wspomniane wcześniej obserwacje systemu ARAKIS). Nie oznacza to jednak, że cyberprzestępcy nie wymyślają nowych rodzajów ataków. Obecnie obserwowany trend w propagacji malware’u przez Internet wskazuje na to, że coraz częściej do infekowania internautów używane są luki w tzw. programach klienckich (czyli takich, które pozwalają użytkownikowi łączyć się z serwerem), w szczególności w przeglądarkach internetowych i dodatkach do nich. Aby wykorzystać je w tym ostatnim przypadku wystarczy odpowiednio zmodyfikować kod strony www (najczęściej poprzez wstrzyknięcie złośliwego JavaScripta lub odnośnika do zewnętrznej złośliwej strony www). Odwiedzający ją nieświadomy użytkownik jest zarażany bez jakiejkolwiek dodatkowej interakcji (tzw. atak drive-by-download). Ewentualnie można go odpowiednio “zachęcić”, by sam uruchomił jakiś kod nie mając oczywiście świadomości, że jest szkodliwy. Zatem nie ma potrzeby atakować w sposób bezpośredni (aktywny) zwykłego użytkownika – wystarczy umieścić malware na stronie i czekać, aż internauci sami na nią wejdą i się zainfekują. Dzięki temu można być mniej “widocznym” w sieci, bo zamiast aktywnie poszukiwać ofiary generując podejrzany ruch, malware czeka, aż ofiara “znajdzie” jego. Głównym celem robaków w takim przypadku stały się więc serwery www. Wraz z rozwojem Web 2.0 znacznie łatwiej działać robakom atakującym i modyfikującym treść (wstrzykującym złośliwy kod) stron www – nie trzeba polegać tylko na podatnościach serwerów www, wystarczy błędnie napisany skrypt php, asp itp. Robaki PHP, które wykorzystując błędy w skryptach różnych znanych aplikacji nie skupiając się na jednej były wielokrotnie widziane przez system ARAKIS (zob. wiadomość Robak wykorzystujący luki w skryptach PHP). Niejeden profesjonalny serwis www padł też ich ofiarą – chociażby ostatnio miała miejsce infekcja stron internetowych Serious Magic należącej do firmy Adobe Systems (zob wiadomość Infekcja na stronach internetowych Serious Magic – internauci zgrożeni)

Oczywiście to nie oznacza zupełnego zarzucenia starszych metod infekcji: dalej popularne jest wykorzystanie e-maili. Coraz częściej malware propagowany jest także przez sieci P2P (sieci te wykorzystywane są także coraz chętniej, zamiast IRC, do zarządzania botnetami). Cały czas bardzo popularna i nadzwyczaj skuteczna jest socjotechnika, czyli namówienie internauty, by sam z własnej woli uruchomił (złośliwy) program. W dalszym ciągu po Internecie grasują Sassery, Blastery itp. Ostatnio wykryto w systemach z rodziny Windows groźną lukę, która może być wykorzystywana przez nowego robaka (pisaliśmy o niej w wiadomości Krytyczna aktualizacja Microsoft Windows). Specjaliści od bezpieczeństwa IT potwierdzają, że taki robak już jest wypuszczony do Internetu, lecz nie są to jakieś masowe ilości (przynajmniej na razie nie może być mowy o epidemii). System ARAKIS nie zaobserwował do tej pory aktywności nowego robaka. Być może ze względu na pewne podobieństwa wykorzystywanej luki do tych używanych przez inne robaki (m.in. Sassera) nie jest opłacalne dla cyberprzestęcpców rozwijanie nowego kodu – można go (i jemu podobne) zablokować dosyć łatwo chociażby poprzez filtrowanie na firewallu pakietów kierowanych na porty 445 i 139 TCP (nie wspominając o zwykłej aktualizacji systemu). Warto także zauważyć, że coraz rzadziej wykrywane są tak poważne luki, że mogą być wykorzystane w podobny sposób przez robaki. Obecnie rozwijane metody infekcji (głównie omówione wcześniej wykorzystujące przeglądarkę internetową) oraz te już sprawdzone są najprawdopodobniej bardziej opłacalne i przynoszą lepsze rezultaty.

Jaki jest obecny cel infekowania użytkowników Internetu? Z historii wynika, że najpierw robaki miały pokazać niedoskonałości aplikacji bądź systemów, przynosić sławę twórcom, czy złośliwie usuwać z systemu różne pliki, wyświetlać zabawne lub obraźliwe komunikaty, itp. W chwili obecnej prawdziwym celem twórców malware’u są pieniądze a motywacją zwyczajna chęć zysku. Zdobywają je na różne sposoby. Mogą instalować w systemach ofiar programy szpiegujące i wykradające hasła do kont bankowych czy różnych płatnych gier on-line. Mogą używać szantażu, jak np. twórcy wirusa Gpcode/PGPcoder, który szyfruje pliki multimedialne i dokumenty i odszyfrowuje dopiero wtedy, gdy ofiara wpłaci na konto cyberprzestępcy określoną sumę pieniędzy. Wreszcie (najpowszechniejsza metoda) tworzą z zainfekowanego komputera członka botnetu (tzw. komputer-zombie). Ofiary najczęściej nie zdają sobie sprawy, że ich komputer jest jednym z tysięcy, a nawet być może milionów komputerów kontrolowanych przez właścicieli botnetu (tzw. botmasterów). Co najwyżej zauważą spowolnienie jego pracy lub połączenia internetowego, ponieważ wykorzystywane są zasoby systemowe oraz sieciowe – cyberprzestępcy używają ich do świadczenia swoim “klientom” odpłatnie takich usług, jak rozsyłanie spamu reklamowego, atak DDoS na serwery konkurencji, itp.

Co zatem zrobić, by nie paść ofiarą cyberprzestępców? Nie ma, niestety, niezawodnego rozwiązania. Nie ma także co liczyć na całkowite wyeliminowanie malware’u. W praktyce jesteśmy świadkami swoistego „wyścigu zbrojeń” pomiędzy cyberprzestępcami a osobami walczącymi z nimi. Powinniśmy zatem pilnować, by używane przez nas oprogramowanie i system operacyjny były zawsze zaktualizowane. Mocno zalecane jest używanie systemu antywirusowego oraz firewalla (najlepiej, gdyby także używał ich nasz dostawca Internetu). Przede wszystkim jednak musimy być ostrożni w trakcie surfowania po Internecie i mieć ograniczone zaufanie do wszystkich stron www, e-maili czy wiadomości w komunikatorach internetowych. Zdrowego rozsądku nic nie zastąpi, tak jak edukacji na ten temat (w myśl zasady, że przeciwnik lepiej poznany jest mniej groźny).

W niedzielę 2. listopada minęło dwadzieścia lat odkąd po raz pierwszy w sieci Internet pojawił się robak komputerowy (czyli samopowielający się i samopropagujący się przez sieć złośliwy program komputerowy). Jego autorem był Robert Tappan Morris. Został napisany by uwydatnić błędy w ówczesnych unixowych systemach z rodziny BSD, Sun oraz Vax. W założeniu twórcy miał być niegroźny. Jednakże błąd w kodzie spowodował, że szybko rozprzestrzenił się na ok. 6 tysięcy komputerów całkowicie je paraliżując. Usuwanie skutków działalności robaka zajęło 8 dni a szkody oszacowano na 10 mln dolarów. Robert Morris został osądzony i skazany.

Rocznica ta jest doskonałą okazją do podsumowania ewolucji robaków komputerowych, analizy metod ich propagacji, a także prześledzenia zmian w motywacji i celach ich autorów. Można też pokusić się o próbę odgadnięcia ich przyszłości. Poniżej opisane zostaną najciekawsze przypadki robaków internetowych będące swoistymi „kamieniami milowymi” w (nie)bezpieczeństwie sieci Internet.

Przez ponad 10 lat od debiutu robaka Morris praktycznie niewiele powstawało godnych uwagi robaków. To był czas królowania wirusów. Nie miały one właściwości samopropagacji, najczęściej przenosiły się w zainfekowanych plikach na dyskietkach. W roku 1999 zrodził się robak Melissa, który rozprzestrzenił się po Internecie w przeciągu zaledwie kilku godzin. Infekował pliki programów Word i Excel, następnie rozsyłał się samodzielnie jako załącznik e-maili do adresów znalezionych w książce kontaktowej programu pocztowego Outlook ofiary. Infekcja wymagała interakcji od użytkownika, który musiał świadomie otworzyć załącznik. Oprócz obciążenia sieci, jakie powodował w wyniku masowej autopropagacji, niektóre wersje robaka potrafiły wyrządzić szkody w systemie ofiary poprzez kasowanie plików systemowych. Wypisywał także różne komunikaty. Malware był typowo złośliwy i jego celem była po prostu jak największa propagacja oraz wyrządzanie szkód w komputerze ofiary.

Rok później ujawnił się robak napisany w języku VBScript, który również rozsyłał się głównie przez pocztę elektroniczną, ale oprócz niej korzystał także z kanałów IRC. Z powodu słów zawartych w temacie e-maili, nazwany został Love Letter lub ILoveYou. Bazował na rozwiązaniach znanych z innego robaka jakim był Christmas Tree EXEC (był aktywny w 1987 roku w sieciach m.in. EARN i BITNET). Jego działalność również ograniczała się do działań niszczycielskich. Łączne straty zsumowane z kilku lat działalności szacowane były na od 5,5 do 10 miliardów dolarów i należą do jednych z najwyższych w historii.

W 2001 roku pojawił się robak, który nie wymagał żadnej interakcji ze strony użytkownika. Nazwany został Code Red i atakował serwery IIS firmy Microsoft. Wykorzystując podatność w ich oprogramowaniu był w stanie poprzez specjalnie spreparowane zapytanie HTTP przepełnić bufor serwera i wykonać na nim swój kod. Na zainfekowanym serwerze podmieniał treść stron internetowych (atak zwany website defacement) i rozprzestrzeniał się dalej. Robak był jednocześnie tzw. bombą logiczną (ang. logic bomb) – po ok. 20 dniach od infekcji uruchamiany był atak DoS na wcześniej zdefiniowane adresy IP (znalazł się tam m.in. adres strony Białego Domu). W przeciwieństwie do wcześniejszych robaków charakterystyczne dla Code Red było to, że nie wyrządzał żadnych większych szkód maszynom, które infekował. Natomiast miał konkretny cel: zaprogramowany był do dalszego dedykowanego ataku na wybrane serwery www. Adresy IP serwerów Białego Domu mogły wskazywać na polityczny motyw twórców robaka.

W tym samym roku pojawił się robak o nazwie Nimda (słowo „admin” czytane od końca). Był poniekąd połączeniem pomysłowości dotychczasowych robaków. Infekował zarówno komputery klienckie jak i serwery. Rozprzestrzeniał się na wiele sposobów: przez wiadomości e-mail (jako załącznik), w sieci LAN poprzez udostępnione zasoby sieciowe, z wykorzystaniem podatności w serwerach www (podobnie do Code Red), użyciem tylnych wejść pozostawionych przez inne robaki (w tym także Code Red), oraz infekowanie poprzez luki w przeglądarkach internetowych (złośliwy kod umieszczany na stronach www zaatakowanych wcześniej serwerów). Miał także właściwości typowe dla wirusa: dopisywał się do wykonywalnych plików i czekał na interakcję użytkownika. Dzięki tak zróżnicowanym metodom propagacji robak był w stanie bardzo szybko się rozprzestrzeniać.

W roku 2003 wybuchła epidemia robaka Slammer, który wykorzystywał podatność w serwerze bazodanowym MS SQL. Rozprzestrzeniał się bez jakiejkolwiek interakcji użytkownika poprzez pakiety UDP, a cały jego kod zajmował tylko 376 bajtów. Dzięki specyfikacji komunikacji UDP (brak nawiązania połączenia i weryfikacji przesłanych pakietów), a także dzięki niewielkiemu rozmiarowi (jeden pakiet wystarczył do wyexploitowania luki i w konsekwencji infekcji) propagacja Slammera osiągnęła niesamowite tempo – liczba zainfekowanych komputerów podwajała się co 8,5 sekundy! To powodowało gigantyczny wzrost ruchu w sieci (Slammer skanował “na ślepo”, bez wcześniejszej weryfikacji czy ma do czynienia z serwerem MS SQL), co skutkowało całkowitym wysyceniem łączy i niemożliwością korzystania z sieci (swoisty atak DoS). Brak łączności oczywiście dotknął wszystkich podłączonych do sieci, nawet jeżeli nie używali atakowanego oprogramowania. Pomimo istnienia łat na lukę wykorzystywaną przez robaka jego aktywność w Internecie jest nadal bardzo duża, co potwierdzają obserwacje dokonane przez system ARAKIS (od dawna góruje w rankingu najczęściej dopasowywanych reguł Snortowych oraz statystykach aktywności klastrów).

W tym samym roku, wykorzystując podatność w module RPC systemów z rodziny Windows, pojawił się robak Blaster (zwany także Lovesan). Początkowo został zaprojektowany, by w ściśle określonym czasie (13.08.2003) wszystkie zainfekowane nim komputery przeprowadziły jednocześnie atak TCP SYN flood na witrynę windowsupdate.com. Fakt ten odkryto przed tą datą, więc (pomijając fakt użycia nie do końca odpowiedniego adresu) Microsoft prewencyjnie czasowo zamknął tą stronę. Skutkiem ubocznym działalności Blastera na niektórych systemach był natomiast okresowy samoczynny restart komputera co kilka minut. Kolejne mutacje robaka służą obecnie do przenoszenia innych złośliwych programów (głównie trojanów) i – tak samo jak w przypadku Slammera – pomimo dostępnych poprawek Blaster jest nadal bardzo “popularny” w Internecie (co również potwierdzają obserwacje ARAKISa).

W kontekście Blastera warto wspomnieć o robaku Welchia (zwanym również jako Nachi). Otóż został on zaprogramowany by… walczyć z Blasterem. Wykorzystując lukę podobną do tej exploitowanej przez Blastera rozprzestrzeniał się na podatne komputery a następnie ściągał i instalował poprawki Microsoftu łatające podatności. Dodatkowo usuwał z systemu – jeżeli znalazł – Blastera a po pewnym okresie czasu kasował sam siebie. Pomimo dobrych intencji autora oraz niedestruktywnej dla systemu działalności robak jest uważany za szkodliwy, ponieważ jego propagacja zapychała łącza internetowe. Ponadto witryna Microsoft, z której ściągane były łaty, miała problemy z obsługą połączeń pochodzących z łatanych “na siłę” komputerów.

Skoro mowa o “wojnie robaków”, to należy wspomnieć o trzech znanych robakach: MyDoom, Bagle (zwanym także Beagle) i Netsky (inaczej SomeFool). Wszystkie trzy rozprzestrzeniają się przez pocztę e-mail (wartym odnotowania faktem jest, że korzystają z własnych silników SMTP a nie z konta pocztowego ofiary). Twórca tego ostatniego był w konflikcie z autorami pierwszych dwóch, więc napisał robaka usuwającego ich malware z zainfekowanych systemów. W przeciwieństwie do robaka Welchia nie był on jednak zaprogramowany tylko do “dobrych celów”, lecz miał cechy typowego malware’u, także te “uciążliwe” – zainfekowany nim komputer potrafił w zadanych godzinach (najczęściej wczesno-porannych)  zacząć wydawać nieprzyjemne dla ucha dźwięki. Oczywiście jego propagacja mocno obciążała łącza oraz serwery pocztowe. Wszystkie trzy robaki od pojawienia się w 2004 roku doczekały się bardzo wielu mutacji i są aktywnie wykorzystywane w Internecie przez cyberprzestępców do dziś (głównie ze względu na wbudowaną funkcjonalność serwera SMTP).

Do dzisiaj (oczywiście pomimo istnienia odpowiednich łat) również szeroko wykorzystywany jest robak Sasser, który masowo infekował systemy Windows już w 2004 roku. Cyberprzestępcy korzystają z jego ciała by zarazić ofiarę swoim malware’em (najczęściej są to różnego rodzaju trojany). Interesujący jest fakt, że robak ten sam posiadał pewną lukę, która została wykorzystana przez innego robaka o nazwie Dabber. Tym razem autor tego ostatniego bynajmniej nie miał dobrych intencji: komputery zainfekowane przez Sassera były po prostu “przejmowane” przy pomocy Dabbera i dalszego wykorzystywania w cyberprzestępczej działalności.

Ciąg dalszy (część 2) tutaj…

W ramach projektu HoneySpider Network, poza opracowywaniem sposobów rozpoznawania złośliwych bądź podejrzanych stron WWW przez klienckie honeypoty, pojawiła się konieczność rozpoznawania, czy badany URL należy do sieci fast-flux czy nie. Decyzja taka wpływa na sposób badania takiego URLa – zdarzają się bowiem przypadki, w których część komputerów sieci fast-flux przekierowuje nie na złośliwe strony, ale na strony nieszkodliwe. Może się też zdarzyć, że IP zwracane w odpowiedzi na zapytanie o domenę w danym momencie są nieosiągalne, co powoduje, że pająki sieciowe nie zbadają prawidłowej strony.

W NASK opracowano więc narzędzie, pozwalające rozpoznać czy dana domena należy do sieci fast-flux czy nie. Narzędzie umożliwia sprawdzenie dużej ilości domen w krótkim czasie, tak aby wykorzystywany algorytm mógł zostać dodany do pająków sieciowych opracowywanych w ramach projektu. Zaimplementowano własną metodę, bazując na uwagach zawartych w Honeynet Project: Know Your Enemy: Fast-Flux Service Networks. Metodę zweryfikowano empirycznie oraz porównując z metodą opracowaną przez Thorsten’a Holz’a. W porównaniu do wspomnianej metody, algorytm opracowany w NASK umożliwia uzyskanie szybszych wyników, bez konieczności zapytań do zewnętrznych serwisów whois przy zachowaniu podobnych wskaźników skuteczności.

Zbadaliśmy URLe przychodzące w spamie do skrzynki pocztowej cert@cert.pl oraz spamtrap’ów CERT Polska. Każdy URL przychodzący w spamie wysłany był do pająka sieciowego, który badał stronę i ściągał kolejne URLe z badanych stron. W przypadku spamu z ostatnich dni na cert@cert.pl, wydobyto bezpośrednio z maili 2748 unikalnych URLi (2106 unikalnych domen). Po zapytaniach pająków o te URLe uzyskaliśmy w sumie 2664 unikalnych domen. Z tych domen:

• 1965 zostało sklasyfikowanych jako nie należących do fast-flux

• 455 już się nie resolvowało

• 244 okazało się być domenami typu fast-flux

W przypadku testu spamu ze spamtrap’ów, wydobyto bezpośredniu z maili 2840 unikalnych URLi (2159 unikalnych domen). Po zapytaniu pająków o te URLe uzyskaliśmy w sumie 2473 unikalnych domen. Z tych domen:

• 1796 zostało sklasyfikowanych jako nie należących do fast-flux

• 550 już się nie resolvowało

• 127 okazało się być domenami typu fast-flux

W pierwszym przypadku ilość domen fast-flux kształtowała się na poziomie 9,2%, w drugim 5,1%. Oznaczo to, że fast-flux jest częstym zjawiskiem wykorzystywanym w spamie, uzasadniając tezę, że aby skutecznie analizować URLe ze spamu, kliencki honeypot musi być w stanie poprawnie rozpoznawać takie domeny.