Wizualizacja aktywności Morto

Data publikacji: 14/10/2011, pp

Po zebraniu kompletnych danych z systemu ARAKIS mogliśmy przeprowadzić dokładniejszą analizę w jaki sposób robak Morto rozprzestrzeniał się w internecie. Jak pisaliśmy wcześniej, pierwsza wersja Morto łączyła się z komputerami używając usługi Remote Desktop Protocol na porcie 3389, a następnie starała się uzyskać dostęp administracyjny próbując logować się przy użyciu listy predefiniowanych nazw użytkowników i haseł.

Analizując ruch RDP z lipca i sierpnia sprawdziliśmy na jakie nazwy użytkowników boty, lub inny atakujący, próbowali zalogować się w tym okresie. Okazało się, że w przypadku zdecydowanej większości skanowań, pojedynczy źródłowy adres IP próbuje łączyć się do wielu adresów docelowych przy użyciu pojedynczej nazwy użytkownika. Na 1800 adresów źródłowych, jedynie 24 łączyło się na więcej niż jedną nazwę użytkownika, z tego 21 na jedynie dwie różne nazwy. Nasze obserwacje nie są więc do końca zgodne z wcześniejszymi raportami (m.in. Symantec), wg. których Morto próbuje zalogować się na wielu różnych użytkowników.

Następnym krokiem była analiza natężenia ruchu w całym badanym okresie. Poniższy wykres przedstawia wszystkie połączenia RDP zarejestrowane przez nasze honeypoty w rozbiciu na nazwy użytkownika, jakie próbowano wykorzystać:

Maksymalna liczba połączeń dziennie przekracza 80000, jednak nie widać istotnego trendu. Okazało się, że większość ruchu generowana jest przez pojedyncze źródła, które atakują duże zakresy adresów IP. Dlatego zbadaliśmy jak rozkładały się w czasie połączenia od unikalnych źródłowych adresów IP – poniższy wykres zawiera dane wyłącznie o pierwszym połączeniu z danego adresu IP (nowi atakujący):

Łatwo zaobserwować, że od ok. 15 sierpnia lawinowo narastała liczba unikalnych źródeł ataków, które wykorzystywały login „a”. Atakujący posługujący się innymi nazwami zostali w tym ujęciu całkowicie zmarginalizowani. Lawinowo narastająca liczba źródeł ataków to charakterystyczna cecha szybko rozprzestrzeniających się robaków, więc można przypuszczać, że obserwowany ruch pochodził od Morto. Nazwa „a” była znana jako jedna z wykorzystywanych przez Morto, jednak nie potrafimy wyjaśnić, czemu zaobserwowaliśmy wzrost ataków jedynie z tą nazwą, a nie innymi (np. „Administrator”). Zgodnie z wcześniejszymi doniesieniami, aktywność robaka skończyła się gwałtownie ok. 25 sierpnia.

Ostatnią analizą jaką wykonaliśmy, była próba zbadania aktywności robaka w kontekście geograficznym. Poniższa animacja przedstawia pierwsze połączenia dla każdego źródła, które próbowało logować się na użytkownika „a”:

Animacja Morto

7 lipca nastąpiła pierwsza próba połączenia zarejestrowana przez nasze honeypoty, źródło znajdowało się w Korei Południowej. Następnie widać sporadyczne ataki z innych obszarów Azjii i świata, lecz dopiero 28 lipca następuje gwałtowny globalny wzrost aktywności. Aktywność stopniowo rośnie, aż do momentu w którym robak kończy rozprzestrzenianie (25/26 sierpnia).