Aktualności

Raport na temat botnetu Virut

Data publikacji: 21/02/2013, Łukasz Siewierski

Na przełomie stycznia i lutego 2013 roku Naukowa i Akademicka Sieć Komputerowa i działający w jej strukturach CERT Polska przejęły kontrolę nad 43 nazwami domenowymi z końcówką .pl, które służyły do zarządzania botnetem Virut, a także do rozprzestrzeniania złośliwego oprogramowania. W wyniku tych działań ruch z komputerów zarażonych złośliwym oprogramowaniem Virut do centrum zarządzającego (C&C) botnetu został przekierowany do serwera kontrolowanego przez CERT Polska. Informacje, które znajdują się w raporcie to między innymi:

    • Codziennie serwer rejestruje około 270 tysięcy połączeń z unikalnych adresów IP.
    • Prawie połowa zainfekowanych maszyn znajduje się w jednym z trzech krajów: Egipt, Pakistan lub Indie.
    • Polska znajduje się na 19 miejscu pod względem liczby zainfekowanych maszyn.
    • Działalność kryminalna botnetu Virut może być powiązana również ze złośliwym oprogramowaniem typu FakeAV.
    • Niektóre wersje botów posiadały algorytm generowania nazw domenowych (DGA) oraz szyfrowanie strumieniowie, które są dokładnie opisane w raporcie.
    • Byliśmy w stanie rozróżnić kilkadziesiąt wersji Viruta.
    • Virut infekował maszyny z ośmioma różnymi systemami z rodziny Windows, od Windows 98 aż do Windows 8.

Pełen tekst raportu można znaleźć tutaj lub w dziale „Raporty”.

Honeyspider Network 2.0

Data publikacji: 23/01/2013, Łukasz Siewierski

Projekt Honeyspider Network 2.0 jest tworzony przez CERT Polska oraz holenderską organizację rządową do spraw bezpieczeństwa – NCSC. Jest to system, którego celem jest kategoryzacja stron internetowych pod względem zagrożenia, które stanowią dla użytkownika. Skalowalność oraz łączenie informacji z klienckich honeypotów, umożliwia efektywne wykrywanie złośliwych stron internetowych. Jedną z istotniejszych części jest, stworzony specjalnie dla tego systemu, komponent emulujący działanie przeglądarki. Dzięki temu Honeyspider Network potrafi sklasyfikować nie tylko pojedyncze strony, ale cały serwis internetowy śledząc linki prowadzące z głównej strony. Jest to już druga, zupełnie przebudowana, wersja projektu, i po raz pierwszy udostępniliśmy pełen kod źródłowy na otwartej licencji GPL. Informacje na ten temat można znaleźć na www.honeyspider.net oraz na GitHub.
Czytaj więcej

Przejęcie domen związanych z Virutem – c.d.

Data publikacji: 22/01/2013, przemek

Poniżej publikujemy kolejną informację prasową NASK związaną z działaniami przeciwko botnetowi Virut. Przy okazji, wszystkich operatorów zainteresowanych otrzymywaniem danych na temat infekcji w swoich sieciach, zachęcamy do korzystania z platformy n6.

NASK przejął kolejne 15 domen służących do sterowania i rozpowszechniania złośliwego oprogramowania o nazwie Virut. Tym samym uniemożliwił ich dalsze wykorzystywanie do działań przestępczych, niebezpiecznych dla wszystkich użytkowników Internetu. Akcja ta podjęta została w bliskiej współpracy z partnerem NASK, firmą Home.pl.

To kolejny z zapowiadanych przez Instytut etapów działań podjętych na rzecz poprawy bezpieczeństwa użytkowników Internetu. NASK zaprzestaje utrzymywania między innymi domeny lometr.pl stanowiącej jeden z głównych elementów niebezpiecznej sieci. Podjęte przez NASK działanie jest kontynuacją rozpoczętego w ubiegłym tygodniu procesu likwidacji zagrożenia ze strony groźnego botnetu.
Virut to groźny wirus zarażający komputery internautów. Rozpowszechnia się między innymi poprzez luki w przeglądarkach, a także poprzez zainfekowane strony www. Grupy zarażonych komputerów tworzą tzw. botnet i służą do działań niezgodnych z prawem – zmasowanych ataków sieciowych, rozsyłania spamu, czy tez kradzieży poufnych danych. Ten niebezpieczny proceder odbywa się bez wiedzy nieświadomych zagrożenia użytkowników komputerów.
Po przejęciu komunikacji w jednym z największych botnetów na świecie CERT Polska, funkcjonujący w NASK, prowadzi intensywną analizę połączeń z zarażonych komputerów użytkowników Internetu. Pozyskiwane informacje o działaniach botnetu pozwolą w przyszłości na jeszcze skuteczniejsze przeciwdziałanie zagrożeniom sieciowym. Jednocześnie CERT Polska przekazuje informacje o ofiarach Viruta do operatorów sieci.

Przejęcie domen związanych z botnetem Virut

Data publikacji: 18/01/2013, piotrk

Publikujemy ważny komunikat NASK związany z przejęciem domen wykorzystywanych do rozpowszechniania i zarządzania botnetem Virut.

NASK przejął 23 domeny wykorzystywane do działalności cyberprzestępczej, uniemożliwiając tym samym kontynuowanie prowadzonych za ich pomocą nielegalnych działań. Adresy te służyły do rozpowszechniania i zarządzania groźnym wirusem Virut. Działanie NASK ma na celu ochronę społeczności internautów przed zagrożeniami płynącymi z sieci – atakami DDoS, spamem, kradzieżą danych. O skali zjawiska świadczy fakt, iż w samym tylko 2012 roku odnotowano w Polsce aż 890 tysięcy zgłoszeń adresów IP zainfekowanych Virutem.

Pierwsze infekcje Virutem odnotowano w 2006 roku, ale od tego czasu zagrożenie to znacznie przybrało na sile. Od 2010 roku NASK podjął intensywne prace nad wyeliminowaniem działalności Viruta w naszym kraju. W samym 2012 roku zespół CERT Polska, działający w ramach instytutu badawczego NASK, odnotował 890 tysięcy zgłoszeń zainfekowanych adresów IP z Polski. Według szacunków NASK, potwierdzanych przez dane firmy Symantec, sieć komputerów – tzw. botnet – kontrolowanych przez Virut składa się obecnie z około 300 tysięcy urządzeń. Według danych kolejnego producenta oprogramowania antywirusowego, Kaspersky’ego w III kwartale 2012 roku, Virut został wykryty u 5,5 proc. użytkowników i zajął 5 miejsce wśród najpopularniejszych wykrytych wirusów.

Wirus o nazwie Virut jest jednym z najbardziej uciążliwych zagrożeń, z którymi można spotkać się w internecie. Rozpowszechnia się m.in. poprzez luki w przeglądarkach internetowych, a do zarażenia może dojść w wyniku odwiedzenia strony www, na której przestępcy umieścili Viruta. Głównymi źródłami wirusa były domeny zief.pl oraz ircgalaxy.pl, które pełniły funkcję centrów sterujących zainfekowanymi komputerami-zombie i wysyłających rozkazy ataku. W ostatnim roku pojawiły się kolejne domeny z końcówką .pl, które miały te same zadania, a także przyczyniały się do rozpowszechniania złośliwych programów – m.in. Palevo i Zeusa. W efekcie tych działań zaatakowane komputery-zombie łączą się w sieci, tzw. botnety, które wykorzystywane są często do działań niezgodnych z prawem. Botnety w chwili obecnej są kluczowym narzędziem cyberprzestępców. Sieć zarażonych komputerów jest wynajmowana i służy między innymi do dokonywania kradzieży danych, ataków DDoS czy wysyłania spamu. Wszystkie te operacje dzieją się bez wiedzy i zgody właścicieli sprzętu nieświadomych do czego używane są ich komputery.

To pierwszy przypadek, gdy podjęliśmy decyzję o zaprzestaniu utrzymywania nazw w domenie .pl. Zadecydowała skala zjawiska i zagrożenie jakie niosło ono dla wszystkich użytkowników Internetu. W takiej sytuacji odmówiliśmy świadczenia usług.” – komentują przedstawiciele instytutu badawczego NASK.

ENISA publikuje raport CERT Polska o honeypotach

Data publikacji: 26/11/2012, piotrk

W zeszłym tygodniu Europejska Agencja ds. Bezpieczeństwa Informacji – ENISA – opublikowała raport o zastosowaniu honeypotów do wykrywania zagrożeń sieciowych: „Proactive Detection of Security Incidents: Honeypots”. Studium wykonane zostało przez zespół CERT Polska. Jest to pierwsze tak obszerne badanie tej technologii pod kątem jej użyteczności do pracy zespołów typu CERT. W przeciwieństwie do poprzednich badań akademickich dotyczących honeypotów, staraliśmy się przyjąć bardzo praktyczne podejście do oceny istniejących rozwiązań typu honeypot.

Czytaj więcej

OUCH! o podstawach bezpieczeństwa

Data publikacji: 15/11/2012, CERT Polska

OUCH!„Dwustopniowe uwierzytelnianie” to już dwudzieste wydanie OUCH! Jak zawsze zawiera krótkie, przystępne przedstawienie wybranego zagadnienia z bezpieczeństwa. Polska wersja biuletynu ukazuje się od kwietnia 2011 w ramach współpracy CERT Polska i SANS Institute.
Aktualizowanie oprogramowania, backup i przywracanie danych, bezpieczeństwo serwisów społecznościowych i wiele więcej – wszystkie tematy poruszone w przeszłych wydaniach niezmiennie są na czasie, dlatego wciąż warto do nich zaglądać.
Czytaj więcej

0x10 SECURE zakończony

Data publikacji: 31/10/2012, przemek

Współorganizowana przez NASK i CERT Polska konferencja SECURE 2012 odbyła się 23-24 października w warszawskim Centrum Nauki Kopernik. W tegorocznej edycji wzięło udział ponad 300 uczestników z Polski i ze świata, co stanowi absolutny rekord w historii SECURE. Choć poniedziałkowa mgła i przyczyny losowe zmuszały do wprowadzania zmian w agendzie do ostatniej chwili, 46 prelegentów (kolejny rekord!) zapewniło słuchaczom wiele możliwości zdobycia wiedzy na szerokie spektrum tematów z dziedziny bezpieczeństwa IT. Warto podkreślić, że w przypadku większości wykładów była to ich polska (a nierzadko europejska) premiera. W tym roku współpracę przy SECURE podjęły także zespoły CERT z Czech (CESNET CERTs) oraz Słowacji (CSIRT.SK).

Czytaj więcej

Botnet Dorkbot lubi serwisy społecznościowe i wszystkie Twoje hasła

Data publikacji: 11/10/2012, Łukasz Siewierski

ransomeware

W ostatnich dniach zaczęły się pojawiać informacje o nowym robaku rozprzestrzeniającym się za pomocą komunikatora Skype. Od kilku dni CERT Polska również uczestniczy w działaniach operacyjnych mających na celu unieszkodliwienie robaka. Serwis Niebezpiecznik.pl napisał artykuł na temat rozprzestrzeniania się Dorkbota w Polsce. Do laboratorium CERT Polska trafiła próbka tego właśnie malware’u. Próbka ta była wykrywana przez 28 z 44 antywirusów dostępnych na stronie VirusTotal:
Czytaj więcej

Praca w CERT? Czemu nie!

Data publikacji: 09/10/2012, piotrk

Czy chciał(a)byś pracować w CERT Polska? Jesteśmy dynamicznie rozwijającym się zespołem, który jest jednym z wiodących polskich podmiotów zajmujących się bezpieczeństwem w sieci Internet. Jesteśmy zawsze na bieżąco z wydarzeniami, współpracując ściśle z czołowymi instytucjami i firmami z Polski i całego świata. Często jesteśmy na pierwszej linii analizując nowe zagrożenia, od najnowszych exploitów po analizę malware’u czy botnetu.
Czytaj więcej