CERT Polska vs nety SECURE 2013, Warszawa, 9 października 2013 Piotr Kijewski
Agenda Botnet, czyli co? Botnety w Polsce Co dalej?
Botnety Botnet, czyli co?
Przydatne pojęcia Komputer Zombie (lub "")- komputer zainfekowany złośliwym oprogramowaniem, które pozwala na wykonywanie operacji bez wiedzy i zgody użytkownika oraz może służyć do wykradania jego poufnych danych. Serwer C&C (lub " master")- maszyna w sieci Internet (np. ircgalaxy.pl), z którą komunikują się komputery Zombie. Jej celem jest wydawanie rozkazów zainfekowanym komputerom oraz gromadzenie wykradzionych danych.
Przydatne pojęcia IRC (ang. Internet Relay Chat) - usługa w sieci Internet umożliwiająca prowadzenie grupowych oraz prywatnych rozmów na kanałach tematycznych. Niestety, jest także jedną z częściej wykorzystywanych metod zarządzania sieciami net. HTTP (HyperText Transfer Protocol) - Protokół sieci WWW. Może być wykorzystany do przekazywania dowolnych danych i dowolnie modyfikowany. Zarządzanie sieciami net najczęściej odbywa się za jego pośrednictwem (trudniej jest rozróżnić rodzaj ruchu, wpuszczany jest wszędzie itp)
Przydatne pojęcia P2P (ang. peer-to-peer) - technika komunikacji, w której dwa komputery (stacje robocze) wymieniają dane bez pośrednictwa serwera w sieci Internet. Jest wykorzystywana jako alternatywna metoda utrzymywania i kontroli najnowszych netów.
Przydatne pojęcia Botnet sieć zbudowana z przejętych komputerów (zombie, ów), której celem jest wykonywanie rozkazów pochodzących z serwera C&C ( mastera). Botnety stanowią jedno z najpoważniejszych zagrożeń współczesnej sieci Internet.
Botnety Drogi infekcji
Drogi infekcji Tak naprawdę w dzisiejszym świecie przeciętny użytkownik nie ma szans w starciu z cyberprzestępcami: zainfekować się można z łatwością, podczas codziennego korzystania z komputera.
Źródło: niebezpiecznik.pl Źródło: TIME
Drogi infekcji Złośliwa strona WWW - odpowiednio spreparowana strona WWW, której celem jest wykorzystanie luki w przeglądarce użytkownika. Udany atak skutkuje instalacją złośliwego oprogramowania.
Drogi infekcji Koń trojański - popularnie zwane "trojanem" złośliwe oprogramowanie, które podszywa się pod aplikacje użytkowe, w rzeczywistości instalując na komputerze szereg niepożądanych i groźnych aplikacji.
Drogi infekcji Złośliwy dokument - spreparowany plik PDF lub dokument pakietu biurowego, który zawiera w sobie kod mający na celu instalację złośliwego oprogramowania.
Drogi infekcji Złośliwy odnośnik - link (adres URL) do złośliwego oprogramowania rozpowszechniany poprzez komunikatory internetowe, serwisy społecznościowe lub fora. Po jego kliknięciu użytkownik może być zaatakowany jedną z wcześniej przedstawionych metod.
Botnety Struktura
Struktura Gwiazda C&C
Struktura Multi-serwer C&C C&C C&C
Struktura Hierarchiczna C&C
Struktura Hybrydowy P2P C&C C&C
Struktura P2P
Struktura C&C Serwer C&C Spełnia rolę zarządzającą netem, bez którego sieć jest bezczynna. Boty łączą się do C&C, odbierają nowe rozkazy, a następnie je wykonują. Przejęcie kontroli nad C&C lub usunięcie go z sieci prowadzi do zniszczenia netu.
Struktura Serwer C&C Działa w Internecie pod nazwą domenową, podobnie jak serwery WWW, np. zief.pl, co pozwala w łatwy sposób komputerom Zombie na odbiór nowych rozkazów. Bardzo często wykorzystuje wiele nazw domenowych zlokalizowanych w różnych krajach, aby utrudnić zniszczenie netu.
Botnety Ekonomia podziemia
Ekonomia podziemia Botnet to współczesna cyfrowa armia całkowicie poddanych najemników. Typowe nety różnią się wielkością między sobą, która waha się od kilkudziesięciu tysięcy ów do nawet setek tysięcy. Największe zaobserwowane sieci liczyły po kilka milionów komputerów. Tę armię można kupić! lub wynająć...
Ekonomia podziemia Ataki z wykorzystaniem netów są jednymi z najtrudniejszych do powstrzymania, ze względu na skalę działania oraz rozproszenie geograficzne ów. Najczęściej nety wykorzystuje się do: o ataków DDoS, czyli zablokowaniu dostępu do usług w sieci Internet poprzez generowanie sztucznego ruchu, o rozsyłania niechcianej poczty email - SPAM o kradzieży poufnych danych, o wyprowadzania środków z kont bankowości elektronicznej, o wstrzykiwania reklam na strony WWW odwiedzane przez użytkownika.
Ekonomia podziemia Motywacją dla światka przestępczego są jak zawsze zyski: o o net DNSChanger w ciągu 5 lat działania (wstrzykiwanie reklam) zbudował sieć liczącą ponad 4 mln ów i przyniósł dochód rzędu 14 mln $ net Storm rozsyłał SPAM, a każdego roku swego działania przynosił dochód rzędu ok. 3.5 mln $; jego wielkość szacowano na ok. 5 mln ów
Ekonomia podziemia Niebezpieczeństwo związane z wykorzystaniem netów znacznie rośnie, gdy weźmie się pod uwagę niski koszt zakupu lub wynajęcia takiej sieci: o całodniowy atak DDoS: $30 - $70 o email SPAM: $10/1 mln wiadomości o zakup 2000 ów: $200 o zakup netu zdolnego wykonać efektywny atak DDoS: $700 o zakup 1000 odwiedzin na stronie WWW: $7 - $15
Botnety Sytuacja w Polsce
Botnety w Polsce - 2012
Botnety w Polsce W 2012 roku, CERT Polska zidentyfikował 137 domen.pl wykorzystywanych do C&C Do 20 maja 2013 roku domen.pl wykryto 123 domeny.pl wykorzystywane w celach C&C (z czego 116 jest wyłącznie w tym celu, reszta w wyniku włamań)
Głośne przypadki C&C w Polsce 2012 nagły wzrost! Robak Sality (korzystał z domeny Interii) RunForestRun (korzysta z losowych domen w waw.pl) Skype Dork Botnety ZeuSowe/Citadelowe (wykradające dane bankowe użytkowników) regularnie korzystają z domen.pl Virut!!! (działał od 2006 roku!)
cctld.ru w Rosji od listopada 2011 roku
Głośne przypadki C&C w Polsce problem.pl.ru przodowało w infrastrukturze C&C, ale problem przenosi się do Polski A few days ago Jindrich Kubec (Avast) pinged me that the RunForestRun malware changed the domain generating algorithm (DGA) and now uses waw.pl subdomains (instead of.ru) in malicious URLs. http://blog.unmaskparasites.com/2012/07/26/runforestrun-now-encrypts-legitimate-js-files/
Botnety Virut
Sprawa Viruta Pierwsze wzmianki odnotowano w 2006 roku. Wykorzystuje domeny.pl do: o dystrybucji złośliwego oprogramowania o zarządzania (serwery C&C) Od początku istnienia zarządzany za pośrednictwem domen ircgalaxy.pl i zief.pl
Co robi Virut? Złośliwa działalność: o kradzież danych dostępowych, o ataki DDoS np. na serwis ogłoszeń nieruchomości domiporta.pl czy internetowy bank e-gold.com, o rozsyłanie spamu, o czerpanie korzyści majątkowej, z wykorzystaniem maszyn ofiar, np. w wyniku otwierania płatnych reklam, o komputery ofiar są łączone w mniejsze podgrupy i odsprzedawane czasowo innym grupom przestępczym.
Virut 2012 - Kaspersky
Virut w zgłoszeniach do CERT Polska (10/11 2012)
Virut w Polsce w zgłoszeniach do CERT 14000 12000 Virut in Poland 10000 8000 6000 4000 2000 0
Virut jaki przyniósł przychód? Nie wiadomo, ale porównując jego skalę (jeden z największych netów) i okres działania (6-7 lat) można zaryzykować i mówić o podobnym przychodzie co wcześniej sygnalizowane przypadki DNSChangera i Storm Worm ~ 5 10 mln USD
Virut likwidacja Styczeń/luty 2013 NASK we współpracy z wieloma partnerami (także z rejestrami.ru,.at i.org) działając na podstawie danych CERT Polska, Virustotal i Spamhaus przejął kontrolę na wszystkimi znanymi domenami Viruta Przejęto 82 domeny 43.pl, 30.ru, 8.at i 1.org Ustanowiono sinkhole: sinkhole.cert.pl
Sinkholing ANALIZA PRZEJĘCIE domenanetowa.pl domenanetowa.pl
Virut liczba połączeń dziennie
Virut rozkład geograficzny
Virut rozkład geograficzny Liczba zainfekowanych IP w sinkhole u 19 styczeń 5 luty 2013
Botnety Citadel plitfi
Citadel co to jest? Bot stworzy na bazie kodu ZeuSa Sprzedawany w modelu Crimeware as a Service Główny cel: kradzież środków pieniężnych użytkowników bankowych systemów transakcyjnych Atak MitB (Man-in-the-Browser)
Citadel MitB
Citadel sposób ataku
Citadel plitfi rozbicie netu Pod koniec lutego przejęcie przez CERT Polska/NASK 3 domen Citadel plifti znajdujących się w.pl i przekierowanie na sinkhole Dzienna wielkość netu to nieco ponad 10k komputerów z czego prawie 80% to zainfekowani użytkownicy z Polski
Domain Silver, Inc Spółka zarejestrowana na Seshelach, aktywna od czerwca 2012 Q4 2012: wzrost liczby rejestrowanych domen za pośrednictwem tego Rejestratora, głównie w celach C&C Słaba reakcja na zgłoszenia o Powolne zawieszenie domen, tak, aby dać czas netowi na przeskoczenie na inną domenę C&C Pomimo wielu próśb, złośliwe rejestracje trwały nadal
Domain Silver, Inc Q1-Q2 2013: przejęcia około setki złośliwych domen, służących do C&C Formalna prośba o zaprzestanie dalszych złośliwych rejestracji Domain Silver twierdził, że się dostosuje, ale złośliwe rejestracje trwały nadal 30 lipca 2013: NASK wypowiada umowę Domain Silver, Inc.
Domain Silver, Inc Domeny przeniesione do wirtualnego rejestratora, vinask Zmiany właściwości domen nie są już możliwe, ale dalej się rozwiązują Domeny systematycznie analizowane, i przenoszone do sinkhole a (głównie C&C) 12 września: pozostałe domeny przeniesione w stan HOLD, przestają się rozwiązywać
Domain Silver, Inc Stan w dniu 9 lipca: 641 zarejestrowanych domen (wraz z tymi uprzednio przejętymi) o tylko jedna aktywna domena, domainsilver.pl była niezłośliwa 404 domeny rozpoznano jako złośliwe, z czego 179 użyte jako C&C 179 domen wykorzystywanych do spamu i rekrutacji słupów Pozostałe domeny się nie rozwiązywały
Domain Silver, Inc Ogółem zidentyfikowano około 20 różnych netów, w tym: o Citadel o ZeuS ICE IX o Dork/NgrBot o Andromeda/Gamrue o RunForestRun Ransomware
Domain Silver, Inc infrastuktura proxy
Domain Silver, Inc unikalne IP/dzień (sinkhole)
DS rozkład geograficzny IP netów
Botnety w Polsce 1-8/2013 10 mln unikalnych ów (na bazie IP)
Botnety Co dalej?
Botnety jak je zwalczać? Użytkownicy ISP/CSP/hostownie Registrarzy Registry Zespoły CERT Firmy związane z branżą security Organy ścigania (krajowe i międzynarodowe) o różne systemy prawne
Komisja Europejska strategia dot. netów Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace (7 luty 2013 r.): o określa m. in. konieczność i ogólne zalecenia walki z netami i złośliwym oprogramowaniem
Komisja Europejska dyrektywa o atakach Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on attacks against information systems: This Directive aims, inter alia, to introduce criminal penalties for the creation of nets, namely, the act of establishing remote control over a significant number of computers by infecting them with malicious software through targeted cyber attacks.
ICANN stanowisko dot. złośliwych domen Registration Abuse Policies Working Group Final Report (maj 2010): m. in. o zalecenie dodania anti-abuse terms of service do porozumień na poziomie Registry-Registrar o practices for suspending domain names gtld Applicant Guidebook (version 2012-06-04) o oczekiwanie spełnienia abuse handling policies
Przykład SIDN (Holandia) General Terms and Conditions for.nl Registrants (marzec 2010): o pkt 12: Notice and Takedown SIDN może jednostronnie zawiesić domeny jeśli ich zdaniem służą do działań niezgodnych z prawem Procedura określona w Notice and Take Down Code for.nl domains (marzec 2010)
NASK stanowisko w sprawie złośliwych domen Troska o bezpieczeństwo Internautów, wizerunek.pl cctld i NASK Dostosowanie się do oczekiwań ICANN, UE i społeczności zajmującej się bezpieczeństwem Internetu Domeny których jedynym celem jest zarządzanie i/lub rozpowszechnianie złośliwego oprogramowania będą przejmowane przez cert.pl i NASK (przede wszystkim we współpracy z Registrarami)
NASK Jak zgłosić złośliwą domenę? Zgłosić domenę do Registrara z kopią do cert@cert.pl Do zgłoszenia najlepiej załączyć dowód: o kopia złośliwego oprogramowania o zrzut kopii ruchu do złośliwej domeny Jeżeli domena jest tylko w celu zarządzania C&C bądź dystrybucji złośliwego oprogramowania, zostanie przejęta w ciągu 1-3 dni* Jeżeli domena jest złośliwa w wyniku włamania to będziemy usiłować usunąć malware we współpraca z właścicielem/isp/hostownią * Mogą się zdarzyć wyjątki
DZIĘKUJĘ, CZY SĄ PYTANIA? www.cert.pl Facebook: facebook.com/cert.polska Twitter: @CERT_Polska_en @CERT_Polska Kontakt: piotr.kijewski@cert.pl Widzisz net? Zgłaszaj na cert@cert.pl!!!