PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)
agenda I. opis systemu II. wykrywanie nowych ataków III. ataki aktualne robak PHP IV. open proxy znajdź i wykorzystaj V. atak na routery Linksys VI. echa ataków z innych rejonów Internetu VII. masowy atak na wiele podatnych usług Windows VIII. podsumowanie i wnioski
I opis systemu ARAKIS: AgRegacja Analiza i Klasyfikacja Incydentów Sieciowych Wykrywanie i opisywanie zagrożeń występujących w sieci i propagujących się w sposób aktywny Projekt zespołu CERT Polska / NASK Dział Rozwoju Oprogramowwania / NASK Dział Naukowy / NASK ARAKIS-GOV: implementacja projektu ARAKIS dla administracji publicznej (CERT GOV PL / DBTI ABW)
I opis systemu architektura LAN2 LAN1 sensor Internet LAN3 darknet serwer www analiza zbieranych danych
I opis systemu źródła danych (1) Honeynet Zwykły host (produkcyjny) Udawany host (honeypot) LAN sensor
I opis systemu źródła danych (2) Firewall Firewall Internet LAN sensor
I opis systemu źródła danych (3) System antywirusowy Serwer pocztowy z AV LAN sensor
I opis systemu źródła danych (4) Darknet Internet Internet sensor Internet darknet
II wykrywanie nowych ataków Trend Micro ServerProtect:
II Trend Micro ServerProtect:
II Trend Micro ServerProtect: timeline ARAKIS
II Trend Micro ServerProtect: sygnatura snort ARAKISowa sygnatura (23.08.2007) Sygnatura Bleeding Edge Threats (29.08.2007)
II Trend Micro ServerProtect: masowy atak (1)
II Trend Micro ServerProtect: masowy atak (2)
II Trend Micro ServerProtect: masowy atak (3)
II Trend Micro ServerProtect: exploit (1)
II Trend Micro ServerProtect: exploit (2)
II Trend Micro ServerProtect: exploit (3) 6.09.2007: publikacja exploita w serwisie milw0rm
II Trend Micro ServerProtect: exploit (4)
II Trend Micro ServerProtect: exploit (5)
II wykrywanie nowych ataków 3 losowe bajty - inny przykład pomyślnego użycia
III ataki aktualne robak PHP (1) Forum MyBB 1.2.10 16.01.2008: BugTraq: SQL-injection, XSS i ShellCommand Execution m.in. w forumdisplay.php i search.php
III ataki aktualne robak PHP (2) Forum MyBB 1.2.10
III ataki aktualne robak PHP (3) cback: analiza VT: RST.B (Linux backdoor)
III ataki aktualne robak PHP (4) Confixx Pro (połowa 2007)
III ataki aktualne robak PHP (5) cmd.gif PHP webshell/backdor
III ataki aktualne robak PHP (6)
III ataki aktualne robak PHP (7)
IV open proxy znajdź i wykorzystaj (1) najczęściej wyszukiwane i wykorzystywane: open web proxy szeroki zakres portów: od 1/TCP do 56770/TCP cel: rzadko legalne użycie jako pośrednik (anonimizacja) w przeglądaniu pornografii, wysyłaniu spamu, dalszych ataków na różne serwery
IV open proxy znajdź i wykorzystaj (2) metody: GET, POST, CONNECT
IV open proxy znajdź i wykorzystaj (3) studium przypadku (początek listopada 2007) 1) skanowanie w poszukiwaniu proxy (głównie port 6588/TCP) 2) wykorzystanie
IV open proxy znajdź i wykorzystaj (4)
V atak na routery Linksys (1) studium przypadku port 8080/TCP (GET) podobny do poszukiwania open proxy atak właściwy poprzedzony skanowaniem portu z portu 6000
V atak na routery Linksys (2) studium przypadku c.d. z losowego źródłowego portu: GET /manager/html Referer wskazuje na stronę główną Web-GUI atakowanego routera Host wskazuje na adres IP routera Authorization : domyślna nazwa użytkownika i hasło (base64) YWRtaW46YWRtaW46 admin:admin
VI echa ataków z innych rejonów Internetu studium przypadku (maj/czerwiec 2008) atak DDoS TCP SYN flood spoofing IP należących do sond ARAKIS (przynajmniej część) połączenia ze źródłowego portu 80/TCP z flagami SYN+ACK połączenia na szeroki zakres portów docelowych (629-60.000) pakiety tylko z dwóch IP chińskie serwery WWW
VI echa ataków z innych rejonów Internetu studium przypadku c.d. (2) darknet źródłowy port 80/TCP
VI echa ataków z innych rejonów Internetu studium przypadku c.d. (3) honeynet docelowy port od 629 do ponad 60.000
VI echa ataków z innych rejonów Internetu
VI echa ataków z innych rejonów Internetu studium przypadku c.d. (5)
VII atak na różne usługi MS Windows cel ataku: serwer pracujący pod kontrolą Windows, świadczący jednocześnie wiele usług sieciowych sposób: robak wykorzystujący na raz wiele luk w różnych usługach metoda: ping połączenie WINS (42/TCP) atak na IIS (5.0): Indexed Directory Disclosure kolejny (+ IIS 4.0?): Chunked Encoding Transfer Heap Overflow pobranie EXE (Padobot/Poxdar): atak na WINS: Association Context Data Remote Memory Corruption
VII atak na różne usługi MS Windows Ataki skierowane na sieciowe usługi MS WIndows stanowią większość (szkodliwego) ruchu widzianego w ARAKISie
VIII Podsumowanie ARAKIS potwierdzenie funkcjonalności w: Wykrywaniu, badaniu i monitorowaniu nowych zagrożeń sieciowych, które propagują się w sposób aktywny Obserwacji i analizie istniejących, ciągle powszechnych zagrożeń nie będących nowymi Jako świadek ataków występujących w innych rejonach Internetu Jako dodatkowe zabezpieczenie (obok standardowych mechanizmów: firewall, IDS/IPS, itp.) podsieci podmiotów, które goszczą sondy Dostarczaniu cennych informacji dla naukowców i specjalistów zajmujących się bezpieczeństwem sieciowym
VIII Podsumowanie
Dziękuję za uwagę. Pytania?