Tag: zagrożenie

Przejęcie domen związanych z Virutem – c.d.

Data publikacji: 22/01/2013, przemek

Poniżej publikujemy kolejną informację prasową NASK związaną z działaniami przeciwko botnetowi Virut. Przy okazji, wszystkich operatorów zainteresowanych otrzymywaniem danych na temat infekcji w swoich sieciach, zachęcamy do korzystania z platformy n6.

NASK przejął kolejne 15 domen służących do sterowania i rozpowszechniania złośliwego oprogramowania o nazwie Virut. Tym samym uniemożliwił ich dalsze wykorzystywanie do działań przestępczych, niebezpiecznych dla wszystkich użytkowników Internetu. Akcja ta podjęta została w bliskiej współpracy z partnerem NASK, firmą Home.pl.

To kolejny z zapowiadanych przez Instytut etapów działań podjętych na rzecz poprawy bezpieczeństwa użytkowników Internetu. NASK zaprzestaje utrzymywania między innymi domeny lometr.pl stanowiącej jeden z głównych elementów niebezpiecznej sieci. Podjęte przez NASK działanie jest kontynuacją rozpoczętego w ubiegłym tygodniu procesu likwidacji zagrożenia ze strony groźnego botnetu.
Virut to groźny wirus zarażający komputery internautów. Rozpowszechnia się między innymi poprzez luki w przeglądarkach, a także poprzez zainfekowane strony www. Grupy zarażonych komputerów tworzą tzw. botnet i służą do działań niezgodnych z prawem – zmasowanych ataków sieciowych, rozsyłania spamu, czy tez kradzieży poufnych danych. Ten niebezpieczny proceder odbywa się bez wiedzy nieświadomych zagrożenia użytkowników komputerów.
Po przejęciu komunikacji w jednym z największych botnetów na świecie CERT Polska, funkcjonujący w NASK, prowadzi intensywną analizę połączeń z zarażonych komputerów użytkowników Internetu. Pozyskiwane informacje o działaniach botnetu pozwolą w przyszłości na jeszcze skuteczniejsze przeciwdziałanie zagrożeniom sieciowym. Jednocześnie CERT Polska przekazuje informacje o ofiarach Viruta do operatorów sieci.

Przejęcie domen związanych z botnetem Virut

Data publikacji: 18/01/2013, piotrk

Publikujemy ważny komunikat NASK związany z przejęciem domen wykorzystywanych do rozpowszechniania i zarządzania botnetem Virut.

NASK przejął 23 domeny wykorzystywane do działalności cyberprzestępczej, uniemożliwiając tym samym kontynuowanie prowadzonych za ich pomocą nielegalnych działań. Adresy te służyły do rozpowszechniania i zarządzania groźnym wirusem Virut. Działanie NASK ma na celu ochronę społeczności internautów przed zagrożeniami płynącymi z sieci – atakami DDoS, spamem, kradzieżą danych. O skali zjawiska świadczy fakt, iż w samym tylko 2012 roku odnotowano w Polsce aż 890 tysięcy zgłoszeń adresów IP zainfekowanych Virutem.

Pierwsze infekcje Virutem odnotowano w 2006 roku, ale od tego czasu zagrożenie to znacznie przybrało na sile. Od 2010 roku NASK podjął intensywne prace nad wyeliminowaniem działalności Viruta w naszym kraju. W samym 2012 roku zespół CERT Polska, działający w ramach instytutu badawczego NASK, odnotował 890 tysięcy zgłoszeń zainfekowanych adresów IP z Polski. Według szacunków NASK, potwierdzanych przez dane firmy Symantec, sieć komputerów – tzw. botnet – kontrolowanych przez Virut składa się obecnie z około 300 tysięcy urządzeń. Według danych kolejnego producenta oprogramowania antywirusowego, Kaspersky’ego w III kwartale 2012 roku, Virut został wykryty u 5,5 proc. użytkowników i zajął 5 miejsce wśród najpopularniejszych wykrytych wirusów.

Wirus o nazwie Virut jest jednym z najbardziej uciążliwych zagrożeń, z którymi można spotkać się w internecie. Rozpowszechnia się m.in. poprzez luki w przeglądarkach internetowych, a do zarażenia może dojść w wyniku odwiedzenia strony www, na której przestępcy umieścili Viruta. Głównymi źródłami wirusa były domeny zief.pl oraz ircgalaxy.pl, które pełniły funkcję centrów sterujących zainfekowanymi komputerami-zombie i wysyłających rozkazy ataku. W ostatnim roku pojawiły się kolejne domeny z końcówką .pl, które miały te same zadania, a także przyczyniały się do rozpowszechniania złośliwych programów – m.in. Palevo i Zeusa. W efekcie tych działań zaatakowane komputery-zombie łączą się w sieci, tzw. botnety, które wykorzystywane są często do działań niezgodnych z prawem. Botnety w chwili obecnej są kluczowym narzędziem cyberprzestępców. Sieć zarażonych komputerów jest wynajmowana i służy między innymi do dokonywania kradzieży danych, ataków DDoS czy wysyłania spamu. Wszystkie te operacje dzieją się bez wiedzy i zgody właścicieli sprzętu nieświadomych do czego używane są ich komputery.

To pierwszy przypadek, gdy podjęliśmy decyzję o zaprzestaniu utrzymywania nazw w domenie .pl. Zadecydowała skala zjawiska i zagrożenie jakie niosło ono dla wszystkich użytkowników Internetu. W takiej sytuacji odmówiliśmy świadczenia usług.” – komentują przedstawiciele instytutu badawczego NASK.

Anomalia w sieci μTorrent

Data publikacji: 18/05/2012, CERT Polska

Na podstawie informacji pozyskanych z systemu ARAKIS

1. Wstęp

W ostatnich tygodniach obserwowalismy znaczny wzrost aktywności w sieci uTorrent (opartej na protokole uTP). Niektóre z rejestrowanych pakietów wywoływały fałszywe alarmy systemu ARAKIS wysokiego poziomu informujące o możliwej infekcji chronionych węzłów. Co więcej, z danych dotyczących ruchu wynikało między innymi, że występowała komunikacja pomiędzy dwiema sondami systemu ARAKIS, co było bardzo mało prawdopodobne. Oznacza to, że adresy zawarte w pakietach IP składających się na ten ruch były błędne (lub podrobione). W niniejszym raporcie zebrane zostały wyniki badania tej aktwyności.

Czytaj więcej

n6: zapraszamy do subskrypcji ostrzeżeń z systemu

Data publikacji: 10/05/2012, piotrk

Jeżeli jesteś właścicielem, administratorem lub operatorem sieci i chciałbyś być na bieżąco informowany o zagrożeniach w Twojej sieci ta wiadomość jest dla Ciebie.

n6 to zbudowana w całości przez CERT Polska platforma służąca do gromadzenia, przetwarzania i przekazywania informacji o zdarzeniach bezpieczeństwa w sieci. W ciągu jednego roku przez platformę przetwarzane są dziesiątki milionów zdarzeń bezpieczeństwa z Polski i całego świata. n6 funkcjonuje w pełni automatycznie. Nazwa n6 to zmodyfikowany akronim pełnej nazwy platformy Network Security Incident eXchange. Jej celem jest efektywne, niezawodne i szybkie dostarczenie dużych ilości informacji o zagrożeniach bezpieczeństwa właściwym podmiotom: właścicielom sieci, administratorom i operatorom sieci.

Dostęp do n6 jest bezpłatny i nie wymaga instalacji jakichkolwiek sond w sieci.

Czytaj więcej

Zeus/Murofet

Data publikacji: 18/11/2011, rt

W ostatnich dniach pojawiła się nowa mutacja trojana Zeus. Jest to kolejna wersja zbudowana na podstawie źródeł, które wyciekły na poczatku maja. Tak jak poprzednio, do dystrybucji plików konfiguracyjnych używane są mechanizmy P2P. Twórcy  zrezygnowali z charakterystycznego dla Murofeta mechanizmu DGA (algorytm generowania domen)  i powrócili do umieszczenia adresu C&C w zaszyfrowanym pliku konfiguracyjnym.

Jak dokładnie działa nowa mutacja ?

Po zainfekowaniu  komputer ofiary odczytuje liste węzłów sieci P2P, która jest ukryta w ciele trojana. Następnie łaczy się  do nich po protokole UDP, pobiera listy kolejnych węzłów oraz  nowszą wersję pliku konfiguracyjnego (jeżeli takową znajdzie). Pobranie konfigu odbywa się po wysokim porcie TCP. Następnie zgłasza się do kontrolera z wykorzystaniem  HTTP POST.

W pliku konfiguracyjnym znajduje się około 200 unikalnych webinjectów. Mutacja nie atakuje bezpośrednio polskich podmiotów. Wykrada za to każdej ofierze dane przesyłane formularzem, m.in. loginy i hasła wpisywane podczas logowania. Na przestrzeni 3 dni zainfekowana maszyna połączyła się z 360 unikalnymi węzłami sieci P2P. Najwięcej z nich znajdowało się w USA (143 węzły). W  Polsce odnotowaliśmy 12 maszyn.