News

Citadel plitfi botnet report

Date of publication: 15/04/2013, CERT Polska

At the end of February 2013 Polish Research and Academic Computer Network and CERT Polska took over 3 domains used by one of the Citadel botnets, known as “plitfi”. All the network traffic from these domains was directed to a sinkhole server controlled by CERT Polska. Today we publish a report outlining the details of the takedown and our findings.
Read more

Otwarte serwery DNS – najlepszy przyjaciel ataków DDoS

Date of publication: 28/03/2013, CERT Polska

OpenResolver

DDoS via DNS?

Ataki DoS (denial-of-service) znane są od dawna. Jedynym ich celem jest sparaliżowanie infrastruktury teleinformatycznej ofiary – a co za tym idzie uniemożliwienie świadczenia usługi w sieci. Jedną z najbardziej popularnych form tego ataku jest wersja rozproszona – DDoS (distributed denial-of-service).

Od kilku dni trwa jeden z największych znanych do tej pory ataków DDoS. Jak donoszą media (np. BBC NEWS, The New York Times) wielkość ataku dochodzi do 300 Gbps (gigabitów na sekundę!). Co ciekawe do przeprowadzenia tego ataku zostały użyte otwarte serwery DNS. W jaki sposób?

Read more

SECURE 2013 Call for Speakers is Now Open

Date of publication: 27/03/2013, przemek

SECURE is a conference dedicated entirely to IT security and addressed to administrators, security team members and practitioners in this field. SECURE’s unique feature is the organisers’ commitment to providing participants with reliable information about everything that is current and meaningful in IT security. A high professional level of the talks is ensured by CERT Polska during the paper selection process. Particular emphasis is on practical solutions, analysis of the current threats, latest trends in countering threats as well as important legal issues. Participants have an opportunity to gain the latest knowledge, improve their qualifications and exchange experience with experts.
Read more

Virut botnet report

Date of publication: 21/02/2013, CERT Polska

At the end of January and the beginning of February 2013 NASK (Research and Academic Computer Network) — the .pl ccTLD Registry — and its security team CERT Polska took over 43 .pl domains used to control the Virut botnet and to spread malicious applications. As a result of this action, all traffic from infected computers to the Command and Control servers were redirected to the sinkhole server controlled by CERT Polska.
Read more

Honeyspider Network 2.0

Date of publication: 23/01/2013, CERT Polska

The project is a joint venture between NASK/CERT Polska (Poland) and National Cyber Security Centre (Netherlands). Goal of this system is to determine whether a site is malicious to the end-user. Scalability and ability to combine output from multiple client honeypots makes it an effective way of detecting malicious intents. One of the most important components of the system is a module that emulates web browser. Thanks to that module Honeyspider Network can classify not only a single website, but also a whole portal, by following the links from the main site. This a second, completely rebuild, edition of this project and for the first time its source code is available under the GPL license. All the necessary information can be found on www.honeyspider.net and on Cert Polska GitHub.
Read more

Przejęcie domen związanych z Virutem – c.d.

Date of publication: 22/01/2013, CERT Polska

Poniżej publikujemy kolejną informację prasową NASK związaną z działaniami przeciwko botnetowi Virut. Przy okazji, wszystkich operatorów zainteresowanych otrzymywaniem danych na temat infekcji w swoich sieciach, zachęcamy do korzystania z platformy n6.

NASK przejął kolejne 15 domen służących do sterowania i rozpowszechniania złośliwego oprogramowania o nazwie Virut. Tym samym uniemożliwił ich dalsze wykorzystywanie do działań przestępczych, niebezpiecznych dla wszystkich użytkowników Internetu. Akcja ta podjęta została w bliskiej współpracy z partnerem NASK, firmą Home.pl.

To kolejny z zapowiadanych przez Instytut etapów działań podjętych na rzecz poprawy bezpieczeństwa użytkowników Internetu. NASK zaprzestaje utrzymywania między innymi domeny lometr.pl stanowiącej jeden z głównych elementów niebezpiecznej sieci. Podjęte przez NASK działanie jest kontynuacją rozpoczętego w ubiegłym tygodniu procesu likwidacji zagrożenia ze strony groźnego botnetu.
Virut to groźny wirus zarażający komputery internautów. Rozpowszechnia się między innymi poprzez luki w przeglądarkach, a także poprzez zainfekowane strony www. Grupy zarażonych komputerów tworzą tzw. botnet i służą do działań niezgodnych z prawem – zmasowanych ataków sieciowych, rozsyłania spamu, czy tez kradzieży poufnych danych. Ten niebezpieczny proceder odbywa się bez wiedzy nieświadomych zagrożenia użytkowników komputerów.
Po przejęciu komunikacji w jednym z największych botnetów na świecie CERT Polska, funkcjonujący w NASK, prowadzi intensywną analizę połączeń z zarażonych komputerów użytkowników Internetu. Pozyskiwane informacje o działaniach botnetu pozwolą w przyszłości na jeszcze skuteczniejsze przeciwdziałanie zagrożeniom sieciowym. Jednocześnie CERT Polska przekazuje informacje o ofiarach Viruta do operatorów sieci.

NASK shuts down dangerous Virut botnet domains

Date of publication: 18/01/2013, CERT Polska

NASK has taken over multiple domains used for cybercrime activities, making their further usage for illegal purposes impossible. The domain names were used to spread and control dangerous malware known as “Virut” . NASK’s actions are aimed at protecting Internet users from threats that involved the botnet built with Virut-infected machines, such as DDoS attacks, spam and data theft. The scale of the phenomenon was massive: in 2012 for Poland alone, over 890 thousand unique IP addresses were reported to be infected by Virut.

Since 2006, Virut has been one of the most disturbing threats active on the Internet. In late 2012 Symantec estimated the size of its botnet at 300,000 machines, while Kaspersky reported that Virut was responsible for 5.5% of infections in Q3 2012, making it the fifth most widespread threat of the time. Interestingly, Virut’s main distribution vector is executable file infection, and most users would get infected by using removable media or sharing files over networks. However, more recent versions of the malware have been capable of infecting HTML files, injecting an invisible iframe that would download Virut from a remote site. Once infected, a computer would connect to an IRC server controlled by the attacker and receive instructions to download and run arbitrary executable files (all without owner’s knowledge or consent). Effectively, Virut’s authors have converted those machines into zombies – elements of a botnet used for spamming, DDoS attacks and other malicious activities. According to Symantec, Virut has been recently used for distribution of Waledac – a long-time recognized spamming bot.

A number of domains in .pl, most notably zief.pl and ircgalaxy.pl, have been used to host Virut, its command & control IRC servers, as well as to host other malware including Palevo and Zeus. NASK, the operator of the Polish domain registry, took over 23 of these domains yesterday (Jan 17, 2013) in an effort to protect Internet users from Virut-related threats. Name servers for those domains were changed to sinkhole.cert.pl, controlled by CERT Polska – an incident response team operated by NASK. NASK’s actions were supported by threat intelligence data from CERT Polska, VirusTotal and Spamhaus.

ENISA publikuje raport CERT Polska o honeypotach

Date of publication: 26/11/2012, CERT Polska

W zeszłym tygodniu Europejska Agencja ds. Bezpieczeństwa Informacji – ENISA – opublikowała raport o zastosowaniu honeypotów do wykrywania zagrożeń sieciowych: „Proactive Detection of Security Incidents: Honeypots”. Studium wykonane zostało przez zespół CERT Polska. Jest to pierwsze tak obszerne badanie tej technologii pod kątem jej użyteczności do pracy zespołów typu CERT. W przeciwieństwie do poprzednich badań akademickich dotyczących honeypotów, staraliśmy się przyjąć bardzo praktyczne podejście do oceny istniejących rozwiązań typu honeypot.

Read more

OUCH! o podstawach bezpieczeństwa

Date of publication: 15/11/2012, CERT Polska

OUCH!“Dwustopniowe uwierzytelnianie” to już dwudzieste wydanie OUCH! Jak zawsze zawiera krótkie, przystępne przedstawienie wybranego zagadnienia z bezpieczeństwa. Polska wersja biuletynu ukazuje się od kwietnia 2011 w ramach współpracy CERT Polska i SANS Institute.
Aktualizowanie oprogramowania, backup i przywracanie danych, bezpieczeństwo serwisów społecznościowych i wiele więcej – wszystkie tematy poruszone w przeszłych wydaniach niezmiennie są na czasie, dlatego wciąż warto do nich zaglądać.
Read more

...89101112...