W przedstawianym Państwu raporcie omawiamy najważniejsze trendy i zagadnienia związane z problematyką cyberbezpieczeństwa w Polsce w 2014 roku. Prezentujemy aktualne zagrożenia, kierunki ich rozwoju, informujemy o podejmowanych przez CERT Polska działaniach. Czytaj więcej
Na początku grudnia zauważyliśmy nowy botnet, którego boty występują w wersji zarówno na systemy z rodziny Linuks jak i Windows. Bot był instalowany, w przypadku systemów Linuks, w wyniku ataku typu brute-force na hasło użytkownika usługi SSH. Następnie atakujący loguje się na serwer, pobiera plik bota i go uruchamia. Bot jest dosyć prosty – jedyną jego funkcjonalnością jest możliwość wykonania ataków typu DDoS, a dokładnie DNS Amplification. Istnieje również wersja na systemy operacyjne z rodziny Windows, która instaluje nową usługę, aby utrudnić usunięcie bota z systemu. Wykrywalność wersji na systemy Windows jest wysoka: 34/48, przy czym wykrywalność wersji na systemy Linuks jest dosyć niska: 3/47. Czytaj więcej
Ataki DoS (denial-of-service) znane są od dawna. Jedynym ich celem jest sparaliżowanie infrastruktury teleinformatycznej ofiary – a co za tym idzie uniemożliwienie świadczenia usługi w sieci. Jedną z najbardziej popularnych form tego ataku jest wersja rozproszona – DDoS (distributed denial-of-service).
Od kilku dni trwa jeden z największych znanych do tej pory ataków DDoS. Jak donoszą media (np. BBC NEWS, The New York Times) wielkość ataku dochodzi do 300 Gbps (gigabitów na sekundę!). Co ciekawe do przeprowadzenia tego ataku zostały użyte otwarte serwery DNS. W jaki sposób?
Od sobotniego wieczoru jesteśmy świadkami serii incydentów nazwanych przez media „wojną Anonimowych z Polską”. Niestety, niewiele jest jasnych i merytorycznych informacji o tym, co tak naprawdę dzieje się z rządowymi serwisami. W obliczu pojawiających się w prasie informacji typu „internetowa część polskiej administracji przestała właściwie istnieć” brak ten wydaje się dość odczuwalny. Postanowiliśmy więc rzucić trochę światła na najistotniejsze naszym zdaniem rzeczy.
Zacznijmy od tego, co widać gołym okiem. Po ogłoszeniu przez Polskę woli podpisania układu ACTA strony wielu serwisów, przede wszystkim w domenie .gov.pl, przestały wyświetlać zawartość. Zazwyczaj próba załadowania strony kończyła się komunikatem o niedostępności. W krańcowych przypadkach zawartość znacząco różniła się od oczekiwanej. Oba fakty nie są oczywiście bez związku, o czym dalej.
Od początku lipca w systemie ARAKIS zaobserwowaliśmy wzrost pakietów TCP wysyłanych z portu 80. Ustawione flagi (SYN i ACK) oraz wysoki port docelowy, wskazują na to, że większość jest odpowiedziami na żądanie nawiązania połączenia. Atakujący przeprowadzając ataki typu DoS (odmowa dostępu) często używają sfałszowanych adresów IP aby uniknąć zablokowania maszyn. Aby dokładniej przyjrzeć się charakterystyce analizowanego ruchu, przygotowaliśmy wizualizacje przedstawiające przepływy z portu 80/TCP otrzymywane przez nasze honeypoty.
W niniejszym opracowaniu opisane zostały działania zespołu CERT Polska związane z analizą oraz monitorowaniem aktywności komputerów zainfekowanych malware hamweq. Celem badania było poznanie mechanizmów działania, rozprzestrzeniania się oraz sposobów zarządzania opisywanym złośliwym oprogramowaniem. Dodatkowo przeprowadzona została analiza komend jaki mogą być przesłane przez botmastera do zombie.
W porównaniu z innymi programami możliwości omawianego malware są stosunkowo ubogie, a kontrola nad zainfekowanym komputerem ogranicza się jedynie do wydawania paru prostych poleceń. Służą one głównie do przeprowadzania ataków DDoS – które stanowią obecnie jedno z największych zagrożeń w sieci (ostatnio często nagłaśnianych w mediach). Hamweq został również wymieniony w raporcie bezpieczeństwa opublikowanych przez Microsoft w połowie 2010 roku jako jeden z najczęściej spotykanych złośliwych programów. Znajduje się on dokładnie na trzecim miejscu, daleko przed takimi malware jak ZeuS czy SpyEye. Ten właśnie fakt, oraz brak dostępnych szczegółowych analiz hamweq w sieci stały się głównym powodem wybrania tego malware jako przedmiotu badania.
Od początku stycznia grupa serwerów DNS zalewana jest pytaniami ze sfałszowanymi adresami IP nadawcy. Echa tych ataków widziane są w systemie wczesnego wykrywania zagrożeń sieciowych ARAKIS. W ruchu sieciowym pozyskanym do tej pory zidentyfikowaliśmy ok. 20 atakowanych serwerów DNS należących m.in. do Dynamic Network Services (znany jako DynDNS), Verisign, GoDaddy, eNom, Hurricane Electric, TelecityGroup, czy SoftLayer Technologies.
Od dnia 23 sierpnia w systemie ARAKIS obserwujemy atak (D)DoS na serwery Facebooka. Dnia 24.08.2010 o godzinie 21 został wygenerowany alarm NSNORT mówiący o dopasowaniu reguły Snorta do przepływu. Oznacza to zwykle jakąś znaną formę ataku, która jednak nie była ostatnio rejestrowana przez system ARAKIS. Ta reguła to: ET POLICY facebook activity.
Przechodząc do serwisu poprzez kliknięcie odnośnika „Zgadzam się” wyrażasz zgodę na przetwarzanie przez nas Twoich danych osobowych.
POLITYKA COOKIES
Pliki cookies
Gdy korzystasz z naszych serwisów, gromadzimy informacje o Twojej wizycie i
sposobie poruszania się w naszych serwisach. W tym celu stosujemy pliki
cookies. Plik cookies zawiera dane informatyczne, które są umieszczone w
Twoim urządzeniu końcowym - przeglądarce internetowej, z której korzystasz.
Pliki cookies używane w naszych serwisach wykorzystywane są między innymi
do bieżącej optymalizacji serwisów oraz ułatwiania Twojego z nich
korzystania. Niektóre funkcjonalności dostępne w naszych serwisach mogą nie
działać, jeżeli nie wyrazisz zgody na instalowanie plików cookies.
Instalowanie plików cookies lub uzyskiwanie do nich dostępu nie powoduje
zmian w Twoim urządzeniu ani w oprogramowaniu zainstalowanym na tym
urządzeniu.
Stosujemy dwa rodzaje plików cookies: sesyjne i trwałe. Pliki sesyjne
wygasają po zakończonej sesji, której czas trwania i dokładne parametry
wygaśnięcia określa używana przez Ciebie przeglądarka internetowa oraz
nasze systemy analityczne. Trwałe pliki cookies nie są kasowane w momencie
zamknięcia okna przeglądarki, głównie po to, by informacje o dokonanych
wyborach nie zostały utracone. Pliki cookies aktywne długookresowo
wykorzystywane są, aby pomóc nam wspierać komfort korzystania z naszych
serwisów, w zależności od tego czy dochodzi do nowych, czy do ponownych
odwiedzin serwisu.
Do czego wykorzystujemy pliki cookies?
Pliki cookies wykorzystywane są w celach statystycznych oraz aby usprawnić
działanie serwisów i zwiększyć komfort z nich korzystania, m.in:
pozwalają sprawdzić jak często odwiedzane są poszczególne strony
serwisów - dane te wykorzystujemy do optymalizacji serwisów pod
kątem odwiedzających;
umożliwiają rozpoznanie rodzaju Twojego urządzenia, dzięki czemu
możemy lepiej dopasować sposób i format prezentowania treści oraz
funkcjonalności serwisów;
poprawiają wydajność i efektywność serwisów dla korzystających.
W jaki sposób możesz nie wyrazić zgody na instalowanie plików cookies
za pomocą ustawień przeglądarki?
Jeśli nie chcesz, by pliki cookies były instalowane na Twoim urządzeniu,
możesz zmienić ustawienia swojej przeglądarki w zakresie instalowania
plików cookies. W każdej chwili możesz też usunąć z pamięci swojego
urządzenia pliki cookies zapisane w trakcie przeglądania naszych serwisów.
Pamiętaj jednak, że ograniczenia w stosowaniu plików cookies mogą utrudnić
lub uniemożliwić korzystanie z tych serwisów.
Wykorzystywane narzędzia firm trzecich
Niektóre pliki cookies są tworzone przez podmiot, z usług których
korzystamy, np.
Google Inc.
W naszych serwisach wykorzystujemy narzędzie Google Analytics do analizy
ruchu na stronie internetowej oraz aktywności dotyczących jej przeglądania.
Wykorzystujemy je w szczególności do celów statystycznych, aby sprawdzić
jak często odwiedzane są poszczególne serwisy. Dane te wykorzystujemy
również do optymalizacji i rozwoju serwisów. Więcej informacji na temat
narzędzia Google Analytics znajdziesz na stronie:
https://policies.google.com/technologies/cookies
Twitter
Więcej informacji o zasadach plików cookies możesz znaleźć na: