Aktualności

Wstępna analiza bota Kelihos.B

Data publikacji: 22/03/2012, CERT Polska

Ostatnio natknęliśmy się na bardzo dobry artykuł o funkcjonowaniu kolejnej instancji botnetu Kelihos. Z zestawienia wyników badań prowadzonych przez autora tego artykułu wynika, że większość maszyn biorących udział w schemacie fast-flux tego botnetu znajduje się na terenie Polski. Postanowiliśmy więc dokładniej przyjrzeć się dostępnym próbkom tego złośliwego oprogramowania i podzielić się naszymi spostrzeżeniami.

Czytaj więcej

SECURE 2012 – Call for Speakers

Data publikacji: 13/03/2012, przemek

Secure 2011Choć doniesienia na temat bezpieczeństwa IT zdominowane zostały ostatnio przez ataki Anonymous na serwery polskiego rządu, „haktywizm” nie jest z pewnością ani jedynym, ani nawet głównym tematem wartym poruszenia na tegorocznym SECURE. Podczas gdy działania na rzecz poprawy bezpieczeństwa podejmowane przez organa ścigania, CERTy, prywatne firmy czy niezależnych ekspertów przynoszą coraz bardziej wymierny skutek w postaci unieszkodliwianych botnetów czy zatrzymań dokonywanych przez policję, przestępcy także nie zasypiają gruszek w popiele. Rozwijane są nowe modele sterowania zainfekowanymi komputerami (np. z wykorzystaniem komunikacji peer-to-peer), coraz śmielej atakowane są także urządzenia mobilne. Dzięki SECURE chcemy jak zwykle dostarczać rzetelnych i merytorycznych informacji o tym, co naprawdę istotne i aktualne, przede wszystkim z pierwszej ręki – od najlepszych ekspertów i praktyków. Jeśli chcesz podzielić się z innymi taką wiedzą, niniejsze zaproszenie jest właśnie do Ciebie. Strona konferencji: http://www.secure.edu.pl/

Czytaj więcej

DNSChanger – sprawdź swoje ustawienia DNS!

Data publikacji: 01/03/2012, CERT Polska

dnschanger

System DNS jest to usługa dostarczająca informacji na temat nazw domenowych. Jej głównym zastosowaniem jest tłumaczenie nazw domen – czytelnych i łatwych do zapamiętania przez człowieka – na adresy IP – czytelne i łatwe do interpretacji dla komputera. Dostarcza ona również różnych innych informacji, takich jak np: który serwer obsługuje pocztę dla danej domeny. Śmiało można powiedzieć, że DNS jest usługą kluczową jeżeli chodzi o działanie internetu. Bez prawidłowo działającego serwera DNS praktycznie nie byli byśmy w stanie odwiedzić żadnej strony internetowej ani wysłać żadnej wiadomości e-mail. Nasz komputer nie wiedziałby z jakim adresem IP należy się połączyć, aby wysłać zlecone przez użytkownika polecenie. Oczywiście z każdym serwisem nadal można by łączyć się podając bezpośrednio jego adres IP, ale było by to strasznie niewygodne. Istotną jest również aby informacje docierające do nas z systemu DNS były prawdziwe i pochodziły z zaufanego źródła. Nic więc dziwnego, iż pojawiło się złośliwe oprogramowanie, które atakuje ten właśnie element.

Czytaj więcej

Nie zostań "słupem" !

Data publikacji: 28/02/2012, rt

W dniach 26 oraz 27 lutego 2012 roku miała miejsce duża kampania spamowa skierowana do polskich użytkowników internetu. Masowo rozsyłano wiadomość o treści:

Szanowni Panstwo!

Wydzial Magellan Petroleum Corporation, duzej miedzynarodowej firmy, przyjmuje aplikacje na stanowisko w swoim dziale Kontroli Kredytowej dla Europy Wschodniej. Obecnie potrzebujemy pracownikow w terenie, poniewaz nasz wydzial rozprowadza produkty firmy w krajach europejskich.

Dzieki poprawie koniunktury po kryzysie ekonomicznym co raz wiecej duzych firm zatrudnia pracownikow do pracy zdalnej. Praca zdalna w znaczacym stopniu obniza koszty utrzymania przestrzeni biurowej w budzecie firmy, a pracownicy nie maja potrzeby codziennego dojazdu do biura. W nowoczesnym swiecie technologii informacyjnej jest to ekonomiczne rozwiazanie, ktore uwalnia fundusze dla wzrostu firmy i pozwala na godziwe wynagradzanie pracownikow.

Obecnie poszukujemy agentow terenowych, ktorych zadaniem bedzie kontrola platnosci pomiedzy nasza firma a klientami w krajach europejskich, ktore nie sa czlonkami strefy euro. Potrzeba ta wynikla z faktu, ze realizacja przelewow internetowych zajmuje duzo czasu i nie posiadaja one wystarczajacego poziomu zabezpieczen przed kradzieza naszych funduszy. Z tego powodu kontrolujemy oplaty za pomoca agentow. Do obowiazkow agenta nalezy wykonywanie przelewow bankowych oraz dokonywanie biezacych przelewow srodkow za pomoca miedzynarodowych systemow platnosci. Plan pracy agenta musi byc wystarczajaco elastyczny, aby umozliwic mu kontrole srodkow przychodzacych na konto w ciagu dnia. Agent musi rowniez posiadac zdolnosc szybkiego finalizowania transakcji.

Nasza firma oferuje pracownikom satysfakcjonujace wynagrodzenie oraz zabezpieczenie spoleczne.

Jesli jestescie Panstwo zainteresowani podjeciem pracy na tym stanowisku, prosimy o wyslanie krotkiego CV na nasz adres e-mail:
[email protected]

Nasz menedzer skontaktuje sie z Panstwem.

Czytaj więcej

CERT Polska wprowadza platformę n6

Data publikacji: 21/02/2012, piotrk

Jeżeli jesteś właścicielem, administratorem lub operatorem sieci i chciałbyś być na bieżąco informowany o zagrożeniach w Twojej sieci ta wiadomość jest dla Ciebie.

n6 to zbudowana w całości przez CERT Polska platforma służąca do gromadzenia, przetwarzania i przekazywania informacji o zdarzeniach bezpieczeństwa w sieci. W ciągu jednego roku przez platformę przetwarzane są dziesiątki milionów zdarzeń bezpieczeństwa z Polski i całego świata. n6 funkcjonuje w pełni automatycznie. Nazwa n6 to zmodyfikowany akronim pełnej nazwy platformy Network Security Incident eXchange. Jej celem jest efektywne, niezawodne i szybkie dostarczenie dużych ilości informacji o zagrożeniach bezpieczeństwa właściwym podmiotom: właścicielom sieci, administratorom i operatorom sieci.

Czytaj więcej

Ataki DDoS na polskie strony rządowe

Data publikacji: 23/01/2012, przemek

Od sobotniego wieczoru jesteśmy świadkami serii incydentów nazwanych przez media „wojną Anonimowych z Polską”. Niestety, niewiele jest jasnych i merytorycznych informacji o tym, co tak naprawdę dzieje się z rządowymi serwisami. W obliczu pojawiających się w prasie informacji typu „internetowa część polskiej administracji przestała właściwie istnieć” brak ten wydaje się dość odczuwalny. Postanowiliśmy więc rzucić trochę światła na najistotniejsze naszym zdaniem rzeczy.

Zacznijmy od tego, co widać gołym okiem. Po ogłoszeniu przez Polskę woli podpisania układu ACTA strony wielu serwisów, przede wszystkim w domenie .gov.pl, przestały wyświetlać zawartość. Zazwyczaj próba załadowania strony kończyła się komunikatem o niedostępności. W krańcowych przypadkach zawartość znacząco różniła się od oczekiwanej. Oba fakty nie są oczywiście bez związku, o czym dalej.

Czytaj więcej

Wygrałeś natychmiastową nagrodę!

Data publikacji: 11/01/2012, rz

ipad2

Jeśli podczas surfowania w Internecie natkniemy się na witryny kuszące tytułową frazą, radzimy nie cieszyć się przedwcześnie. Najprawdopodobniej trafiliśmy na kolejną stronę, która w bardziej bądź mniej sprytny sposób próbuje wyłudzić od nas pieniądze. W tym przypadku jest to skłonienie nas do wykupienia usługi dostępu do „super gadżetów: gier java, dzwonków tapet i innych”. Płatność odbywa się za pomocą SMS Premium (2,46 PLN/SMS – 4 SMS/tydzień lub 7,38 PLN/SMS – 1 SMS/tydzień). Organizatorem „promocji” jest firma holenderska. Aby zobrazować rząd wielkości korzyści majątkowych pochodzących z nieuwagi internautów, można przytoczyć informację prasową o przejęciu wspomnianej spółki przez spółkę niemiecką (obie działające w tym samym obszarze rynku). Wartość przejęcia: 20 milionów euro w gotówce oraz 1,9 miliona euro w nowowyemitowanych akcjach a także spłata długu w wysokości 9,8 miliona euro. Przewidywany roczny przychód nowej spółki – 95 milionów euro, zysk EBITA – 18 milionów euro.

Czytaj więcej

ZeuS – wariant P2P+DGA – analiza nowego zagrożenia

Data publikacji: 04/01/2012, CERT Polska

zeus p2p

Jesienią 2011 roku zarejestrowano infekcje nowym złośliwym oprogramowaniem. Analiza mechanizmu uruchamiania złośliwego oprogramowania, proces jego ukrywania, czy też sposób składowania konfiguracji wskazywały na ZeuSa. Jednak podczas monitorowania zainfekowanych maszyn nie udało się zauważyć charakterystycznej dla tego trojana komunikacji z centrum C&C. Po głębszej analizie okazało się, iż próbka to najprawdopodobniej nowa wersja trojana ZeuS oparta na upublicznionym przypadkiem kodzie.

zeus3_infograf-300x243

W nowej wersji trojana autorzy skupili się na eliminacji najsłabszego ogniwa – scentralizowanego systemu dystrybucji informacji.
Poprzednie wersje ZeuS-a oparte było o jeden (lub kilka) zdefiniowanych adresów, pod którymi dostępne było centrum zarządzania C&C. Pozwalało to łatwo namierzyć takie adresy i poprzez ich blokowanie uczynić botnet bezużytecznym. Badany wariant trojana wykorzystuje dwa nowe kanały komunikacyjne do pobierania nowych rozkazów (rys. po prawej):

 

  1. Komunikacja w sieci peer-to-peer
  2. Mechanizm Generowania Domen

W internecie dostępne były już wcześniej informacje na temat nowego wariantu zeusa (np: abuse.ch), ale – z informacji jakie posiadamy – dotychczasowa praca badawcza skupiała się na zarejestrowaniu i monitorowaniu ruchu do domen zeusowych. Podczas naszej pracy skupiliśmy się na poznaniu oraz monitorowaniu mechanizmów wymiany informacji przez sieć P2P oraz próbie zebrania danych na temat jej kształtu.

Czytaj więcej

Dziwny ruch na porcie 0/TCP

Data publikacji: 12/12/2011, TomaszG.

Port 0/TCP jest wg rejestru IANA portem zarezerwowanym. Oznacza to, że żadna usługa nie powinna korzystać z tego portu do komunikacji sieciowej. Gdy w dniu 13 listopada 2011 roku do sond systemu ARAKIS zaczęła napływać wzmożona liczba pakietów TCP kierowanych na port 0, zbudziło to nasze zainteresowanie. Próby połączeń na ten port były widziane zarówno przez honeypoty, jak i w sieci darknet. Znaczna większość pakietów zarejestrowanych w honeypotach był zniekształcona (szczegóły niżej). Ruch wrócił do normy z dniem 17.11.2011. Zarejestrowaliśmy jeszcze krótkotrwały wzrost 30.11-01.12.2011. Nasze obserwacje w tych okresach pokrywają się z danymi pochodzącymi z systemu DSHIELD, co świadczy o globalnym zasięgu tej anomalii.

Czytaj więcej

Raport ENISA i CERT Polska o metodach wykrywania sieciowych incydentów bezpieczeństwa

Data publikacji: 08/12/2011, CERT Polska

Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała przygotowany przez CERT Polska raport dotyczący metod wykrywania sieciowych incydentów bezpieczeństwa – „Proactive detection of network security incidents”.

Proaktywne wykrywanie incydentów to proces odnajdywania złośliwej aktywności w sieci, za którą dany CERT jest odpowiedzialny, przy pomocy narzędzi monitorujących lub z wykorzystaniem zewnętrznych usług dostarczających informacje o wykrytych incydentach, jeszcze zanim właściciele atakowanych sieci staną się tego świadomi. Zwiększenie efektywności tych działań jest fundamentem dla prężnego funkcjonowania zespołów CERT i zwiększenia ich możliwości obsługi incydentów.

Opublikowany dokument to wnikliwa analiza sposobów w jaki CERTy, w szczególności narodowe i rządowe, wykrywają incydenty w swoich obszarach działalności. Raport zawiera również zestaw najlepszych praktyk i użytecznych narzędzi dla nowo powstałych zespołów typu CERT, analizę problemów jakim muszą stawić czoła i zestaw rekomendacji dla usprawnienia obsługi incydentów przez zespoły CERT.Czytaj więcej