PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

Wielkość: px

Rozpocząć pokaz od strony:

Download "www.arakis.pl PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)"

Barbara Muszyńska
8 lat temu
Przeglądów:

1 PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

2 agenda I. opis systemu II. wykrywanie nowych ataków III. ataki aktualne robak PHP IV. open proxy znajdź i wykorzystaj V. atak na routery Linksys VI. echa ataków z innych rejonów Internetu VII. masowy atak na wiele podatnych usług Windows VIII. podsumowanie i wnioski

3 I opis systemu ARAKIS: AgRegacja Analiza i Klasyfikacja Incydentów Sieciowych Wykrywanie i opisywanie zagrożeń występujących w sieci i propagujących się w sposób aktywny Projekt zespołu CERT Polska / NASK Dział Rozwoju Oprogramowwania / NASK Dział Naukowy / NASK ARAKIS-GOV: implementacja projektu ARAKIS dla administracji publicznej (CERT GOV PL / DBTI ABW)

zespołu CERT Polska / NASK Dział Rozwoju Oprogramowwania / NASK Dział Naukowy / NASK

4 I opis systemu architektura LAN2 LAN1 sensor Internet LAN3 darknet serwer www analiza zbieranych danych

5 I opis systemu źródła danych (1) Honeynet Zwykły host (produkcyjny) Udawany host (honeypot) LAN sensor

6 I opis systemu źródła danych (2) Firewall Firewall Internet LAN sensor

7 I opis systemu źródła danych (3) System antywirusowy Serwer pocztowy z AV LAN sensor

8 I opis systemu źródła danych (4) Darknet Internet Internet sensor Internet darknet

9 II wykrywanie nowych ataków Trend Micro ServerProtect:

10 II Trend Micro ServerProtect:

11 II Trend Micro ServerProtect: timeline ARAKIS

12 II Trend Micro ServerProtect: sygnatura snort ARAKISowa sygnatura ( ) Sygnatura Bleeding Edge Threats ( )

13 II Trend Micro ServerProtect: masowy atak (1)

14 II Trend Micro ServerProtect: masowy atak (2)

15 II Trend Micro ServerProtect: masowy atak (3)

16 II Trend Micro ServerProtect: exploit (1)

17 II Trend Micro ServerProtect: exploit (2)

18 II Trend Micro ServerProtect: exploit (3) : publikacja exploita w serwisie milw0rm

19 II Trend Micro ServerProtect: exploit (4)

20 II Trend Micro ServerProtect: exploit (5)

21 II wykrywanie nowych ataków 3 losowe bajty - inny przykład pomyślnego użycia

22 III ataki aktualne robak PHP (1) Forum MyBB : BugTraq: SQL-injection, XSS i ShellCommand Execution m.in. w forumdisplay.php i search.php

23 III ataki aktualne robak PHP (2) Forum MyBB

24 III ataki aktualne robak PHP (3) cback: analiza VT: RST.B (Linux backdoor)

25 III ataki aktualne robak PHP (4) Confixx Pro (połowa 2007)

26 III ataki aktualne robak PHP (5) cmd.gif PHP webshell/backdor

27 III ataki aktualne robak PHP (6)

28 III ataki aktualne robak PHP (7)

29 IV open proxy znajdź i wykorzystaj (1) najczęściej wyszukiwane i wykorzystywane: open web proxy szeroki zakres portów: od 1/TCP do 56770/TCP cel: rzadko legalne użycie jako pośrednik (anonimizacja) w przeglądaniu pornografii, wysyłaniu spamu, dalszych ataków na różne serwery

30 IV open proxy znajdź i wykorzystaj (2) metody: GET, POST, CONNECT

31 IV open proxy znajdź i wykorzystaj (3) studium przypadku (początek listopada 2007) 1) skanowanie w poszukiwaniu proxy (głównie port 6588/TCP) 2) wykorzystanie

32 IV open proxy znajdź i wykorzystaj (4)

33 V atak na routery Linksys (1) studium przypadku port 8080/TCP (GET) podobny do poszukiwania open proxy atak właściwy poprzedzony skanowaniem portu z portu 6000

34 V atak na routery Linksys (2) studium przypadku c.d. z losowego źródłowego portu: GET /manager/html Referer wskazuje na stronę główną Web-GUI atakowanego routera Host wskazuje na adres IP routera Authorization : domyślna nazwa użytkownika i hasło (base64) YWRtaW46YWRtaW46 admin:admin

część) połączenia ze źródłowego portu 80/TCP z flagami SYN+ACK połączenia na

35 VI echa ataków z innych rejonów Internetu studium przypadku (maj/czerwiec 2008) atak DDoS TCP SYN flood spoofing IP należących do sond ARAKIS (przynajmniej część) połączenia ze źródłowego portu 80/TCP z flagami SYN+ACK połączenia na szeroki zakres portów docelowych ( ) pakiety tylko z dwóch IP chińskie serwery WWW

36 VI echa ataków z innych rejonów Internetu studium przypadku c.d. (2) darknet źródłowy port 80/TCP

37 VI echa ataków z innych rejonów Internetu studium przypadku c.d. (3) honeynet docelowy port od 629 do ponad

38 VI echa ataków z innych rejonów Internetu

39 VI echa ataków z innych rejonów Internetu studium przypadku c.d. (5)

40 VII atak na różne usługi MS Windows cel ataku: serwer pracujący pod kontrolą Windows, świadczący jednocześnie wiele usług sieciowych sposób: robak wykorzystujący na raz wiele luk w różnych usługach metoda: ping połączenie WINS (42/TCP) atak na IIS (5.0): Indexed Directory Disclosure kolejny (+ IIS 4.0?): Chunked Encoding Transfer Heap Overflow pobranie EXE (Padobot/Poxdar): atak na WINS: Association Context Data Remote Memory Corruption

41 VII atak na różne usługi MS Windows Ataki skierowane na sieciowe usługi MS WIndows stanowią większość (szkodliwego) ruchu widzianego w ARAKISie

42 VIII Podsumowanie ARAKIS potwierdzenie funkcjonalności w: Wykrywaniu, badaniu i monitorowaniu nowych zagrożeń sieciowych, które propagują się w sposób aktywny Obserwacji i analizie istniejących, ciągle powszechnych zagrożeń nie będących nowymi Jako świadek ataków występujących w innych rejonach Internetu Jako dodatkowe zabezpieczenie (obok standardowych mechanizmów: firewall, IDS/IPS, itp.) podsieci podmiotów, które goszczą sondy Dostarczaniu cennych informacji dla naukowców i specjalistów zajmujących się bezpieczeństwem sieciowym

43 VIII Podsumowanie

44 Dziękuję za uwagę. Pytania?

Podobne dokumenty

Tomasz Grudziecki CERT Polska / NASK tomasz.grudziecki@cert.pl

PROJEKT ARAKIS - DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki CERT Polska / NASK tomasz.grudziecki@cert.pl Abstract ARAKIS is a CERT Polska (NASK) project that aims to create an early