www.arakis.pl PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)



Podobne dokumenty
Tomasz Grudziecki CERT Polska / NASK tomasz.grudziecki@cert.pl

Robaki sieciowe. + systemy IDS/IPS

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

Router programowy z firewallem oparty o iptables

Ana li za in cy den tów na ru sza ją cych bez pie czeń stwo te le in for ma tycz ne zgła sza nych do ze społu CERT Pol ska w roku 2008

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Spis treści. Wskazówki prawne Art Art Art. 268a Art Art. 269a Art. 269b... 23

Najbardziej popularne metody włamań

Metody ataków sieciowych

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Zarządzanie bezpieczeństwem w sieciach

Podstawy bezpieczeństwa

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

MBUM #2 MikroTik Beer User Meeting

Omijanie firewalli w systemach Windows

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Raport o stanie bezpieczeństwa cyberprzestrzeni RP w 2015 roku

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Skanowanie portów. Autorzy: Jakub Sorys, Dorota Szczpanik IVFDS

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Przełączanie i Trasowanie w Sieciach Komputerowych

Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych

Audytowane obszary IT

Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

MASKI SIECIOWE W IPv4

Rozwiązanie Trend Micro Worry-Free Business Security 8.0 Porady i wskazówki dotyczące konfiguracji początkowej

WSPÓŁCZESNE ZAGROŻENIA W SIECI INTERNET ORAZ SPOSOBY WALKI Z NIMI PRZY POMOCY SYSTEMÓW-PUŁAPEK

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Monitorowanie aplikacji i rozwiązywanie problemów

Marek Krauze

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Jak blada twarz psuje serwer HTTP? Kamil Porembiński thecamels.org

Wprowadzenie do zagadnień związanych z firewallingiem

Wyciąg z ogólnej analizy ataków na witryny administracji państwowej RP w okresie stycznia 2012r.

Monitoring stanu zagrożeń dla bezpieczeństwa teleinformatycznego Polski

Bezpieczeństwo usług na przykładzie VoIP

Monitoring ruchu sieciowego w nk.pl w oparciu o protokół netflow oraz rozwiązania opensource

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów

Raport kwartalny CERT.GOV.PL lipiec wrzesień 2010

IP Spoofing is still alive... Adam Zabrocki ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com)

ARP Address Resolution Protocol (RFC 826)

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Zdobywanie fortecy bez wyważania drzwi.

n6: otwarta wymiana danych

Ataki sieciowe Materiały pomocnicze do wykładu

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Adresy w sieciach komputerowych

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

CERT POLSKA. Raport Przypadki naruszające bezpieczeństwo teleinformatyczne

S Z K O Ł A H A K E R Ó W

dr Beata Zbarachewicz

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Funkcjonalność ochrony przed intruzami w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń IPS

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Network Forensic Co mówią złapane pakiety?

z testów penetracyjnych

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Spis treúci. Księgarnia PWN: Michał Piotrowski - Królicza nora. O książce Wstęp, czyli potrzeba komunikacji Część I. Pułapka...

Marek Pyka,PhD. Paulina Januszkiewicz

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Bazy Danych i Usługi Sieciowe

Wyszczególnienie tytułu opłaty. Instalacja Łącza, na którym świadczona będzie usługa dostęp do Internetu DSL tp 2.

Monitorowanie zdarzeń w sieci bankowej w odniesieniu do Rekomendacji D. Bartłomiej Kilanowicz, ASCOMP

Axence nvision Nowe możliwości w zarządzaniu sieciami

Projekt LAN. Temat: Skaner bezpieczeństwa LAN w warstwie 2. Prowadzący: dr inż. Krzysztof Szczypiorski Studenci: Kończyński Marcin Szaga Paweł

Filtr Połączeń. nie. tak odrzucenie

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Sieci komputerowe. Wstęp

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Firewall bez adresu IP

Zarządzanie systemami informatycznymi. Zagrożenia w sieci

Lp. Atak (dane wg Kaspersky Lab za 2008r) Liczba. Intrusion.Win.NETAPI.bufferoverflow.exploit ,469

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Test. Administrowanie sieciowymi systemami operacyjnymi

Przecinanie kabla atak TCP Reset

Ataki na serwery Domain Name System (DNS Cache Poisoning)

Spis treści. Wstęp Rozdział 1. Zasady pracy z komputerem Rozdział 2. Budowa komputera... 20

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Internetowe BD P.Skrobanek 1. INTERNETOWE BAZY DANYCH materiały pomocnicze - wykład IV. Paweł Skrobanek PLAN NA DZIŚ :

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Technologia Automatyczne zapobieganie exploitom

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Transkrypt:

PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

agenda I. opis systemu II. wykrywanie nowych ataków III. ataki aktualne robak PHP IV. open proxy znajdź i wykorzystaj V. atak na routery Linksys VI. echa ataków z innych rejonów Internetu VII. masowy atak na wiele podatnych usług Windows VIII. podsumowanie i wnioski

I opis systemu ARAKIS: AgRegacja Analiza i Klasyfikacja Incydentów Sieciowych Wykrywanie i opisywanie zagrożeń występujących w sieci i propagujących się w sposób aktywny Projekt zespołu CERT Polska / NASK Dział Rozwoju Oprogramowwania / NASK Dział Naukowy / NASK ARAKIS-GOV: implementacja projektu ARAKIS dla administracji publicznej (CERT GOV PL / DBTI ABW)

I opis systemu architektura LAN2 LAN1 sensor Internet LAN3 darknet serwer www analiza zbieranych danych

I opis systemu źródła danych (1) Honeynet Zwykły host (produkcyjny) Udawany host (honeypot) LAN sensor

I opis systemu źródła danych (2) Firewall Firewall Internet LAN sensor

I opis systemu źródła danych (3) System antywirusowy Serwer pocztowy z AV LAN sensor

I opis systemu źródła danych (4) Darknet Internet Internet sensor Internet darknet

II wykrywanie nowych ataków Trend Micro ServerProtect:

II Trend Micro ServerProtect:

II Trend Micro ServerProtect: timeline ARAKIS

II Trend Micro ServerProtect: sygnatura snort ARAKISowa sygnatura (23.08.2007) Sygnatura Bleeding Edge Threats (29.08.2007)

II Trend Micro ServerProtect: masowy atak (1)

II Trend Micro ServerProtect: masowy atak (2)

II Trend Micro ServerProtect: masowy atak (3)

II Trend Micro ServerProtect: exploit (1)

II Trend Micro ServerProtect: exploit (2)

II Trend Micro ServerProtect: exploit (3) 6.09.2007: publikacja exploita w serwisie milw0rm

II Trend Micro ServerProtect: exploit (4)

II Trend Micro ServerProtect: exploit (5)

II wykrywanie nowych ataków 3 losowe bajty - inny przykład pomyślnego użycia

III ataki aktualne robak PHP (1) Forum MyBB 1.2.10 16.01.2008: BugTraq: SQL-injection, XSS i ShellCommand Execution m.in. w forumdisplay.php i search.php

III ataki aktualne robak PHP (2) Forum MyBB 1.2.10

III ataki aktualne robak PHP (3) cback: analiza VT: RST.B (Linux backdoor)

III ataki aktualne robak PHP (4) Confixx Pro (połowa 2007)

III ataki aktualne robak PHP (5) cmd.gif PHP webshell/backdor

III ataki aktualne robak PHP (6)

III ataki aktualne robak PHP (7)

IV open proxy znajdź i wykorzystaj (1) najczęściej wyszukiwane i wykorzystywane: open web proxy szeroki zakres portów: od 1/TCP do 56770/TCP cel: rzadko legalne użycie jako pośrednik (anonimizacja) w przeglądaniu pornografii, wysyłaniu spamu, dalszych ataków na różne serwery

IV open proxy znajdź i wykorzystaj (2) metody: GET, POST, CONNECT

IV open proxy znajdź i wykorzystaj (3) studium przypadku (początek listopada 2007) 1) skanowanie w poszukiwaniu proxy (głównie port 6588/TCP) 2) wykorzystanie

IV open proxy znajdź i wykorzystaj (4)

V atak na routery Linksys (1) studium przypadku port 8080/TCP (GET) podobny do poszukiwania open proxy atak właściwy poprzedzony skanowaniem portu z portu 6000

V atak na routery Linksys (2) studium przypadku c.d. z losowego źródłowego portu: GET /manager/html Referer wskazuje na stronę główną Web-GUI atakowanego routera Host wskazuje na adres IP routera Authorization : domyślna nazwa użytkownika i hasło (base64) YWRtaW46YWRtaW46 admin:admin

VI echa ataków z innych rejonów Internetu studium przypadku (maj/czerwiec 2008) atak DDoS TCP SYN flood spoofing IP należących do sond ARAKIS (przynajmniej część) połączenia ze źródłowego portu 80/TCP z flagami SYN+ACK połączenia na szeroki zakres portów docelowych (629-60.000) pakiety tylko z dwóch IP chińskie serwery WWW

VI echa ataków z innych rejonów Internetu studium przypadku c.d. (2) darknet źródłowy port 80/TCP

VI echa ataków z innych rejonów Internetu studium przypadku c.d. (3) honeynet docelowy port od 629 do ponad 60.000

VI echa ataków z innych rejonów Internetu

VI echa ataków z innych rejonów Internetu studium przypadku c.d. (5)

VII atak na różne usługi MS Windows cel ataku: serwer pracujący pod kontrolą Windows, świadczący jednocześnie wiele usług sieciowych sposób: robak wykorzystujący na raz wiele luk w różnych usługach metoda: ping połączenie WINS (42/TCP) atak na IIS (5.0): Indexed Directory Disclosure kolejny (+ IIS 4.0?): Chunked Encoding Transfer Heap Overflow pobranie EXE (Padobot/Poxdar): atak na WINS: Association Context Data Remote Memory Corruption

VII atak na różne usługi MS Windows Ataki skierowane na sieciowe usługi MS WIndows stanowią większość (szkodliwego) ruchu widzianego w ARAKISie

VIII Podsumowanie ARAKIS potwierdzenie funkcjonalności w: Wykrywaniu, badaniu i monitorowaniu nowych zagrożeń sieciowych, które propagują się w sposób aktywny Obserwacji i analizie istniejących, ciągle powszechnych zagrożeń nie będących nowymi Jako świadek ataków występujących w innych rejonach Internetu Jako dodatkowe zabezpieczenie (obok standardowych mechanizmów: firewall, IDS/IPS, itp.) podsieci podmiotów, które goszczą sondy Dostarczaniu cennych informacji dla naukowców i specjalistów zajmujących się bezpieczeństwem sieciowym

VIII Podsumowanie

Dziękuję za uwagę. Pytania?