Wykrywanie cyberzagrożeń typu Drive-by Download Piotr Bisialski Security and Data Center Product Manager WIEDZA I TECHNOLOGIA Hosting Meeting Wrocław 26 stycznia 2012
Zagrożenia w Internecie Tytuł Atak na stacje prezentacji robocze Atak na łącze Atak na zdalny serwer INTERNET Wykorzystanie niezałatanej luki malware Sniffing Spoofing Wykorzystanie niezałatanej luki kradzież hasła dostępowego Skutek: Dostęp do wrażliwych informacji Przejęcie kontroli na komputerem Skutek: Dostęp do wrażliwych informacji Modyfikacja przesyłanych danych Skutek: kradzież/modyfikacja lub usunięcie danych Umieszczenie fałszywych/szkodliwych informacji
DRIVE BY DOWNLOAD Teoria Drive by Download Zagrożenie typy Drive by Download polega na ściągnięciu malware u bez żadnej wiedzy oraz interakcji z użytkownikiem z zainfekowanej strony WWW. Malware pobierany jest i wykonywany w wyniku wykorzystania luk w przeglądarce internetowej lub jednej z jej wtyczek.
DRIVE BY DOWNLOAD Proces infekcji Drive by Download Źródło: http://www.honeynet.org 1 2 3 4 Zainfekowana legalna strona Uruchomienie skryptu/ przekierowanie Exploit Plik wykonywalny z malware
DRIVE BY DOWNLOAD Trend w atakach internetowych: Coraz większa liczba exploitów na przeglądarki WWW Masowe infekcje stron www (wstrzykiwanie kodu) Wykorzystywanie do ataków coraz bardziej skomplikowanych technik, takich jak zaciemnianie kodu Java i VB Script, wielokrotne warunkowe przekierowania, zainfekowane pdf y. Kraje w których najczęściej znajdowałay się złosliwe strony WWW (wg.liczby zgłoszeń) 1. USA 34% 2. CHINY 20% 3. Koreańska Republika Ludowo Demokratyczna 7% 4. NIEMCY 6% 5. ROSJA 6% 6. UKRAINA 4% 10. POLSKA 2% Źródło: Cert Polska
DRIVE BY DOWNLOAD Tytuł Atak na prezentacji sklepy internetowe Masowa infekcja stron internetowych Pracujących na popularnym frameworku oscommerce. Ilość infekcji szacuje się na ponad 300.000 (w domenie.pl: 19.000). Hakerzy na atakowanych witrynach wstrzykują zapisy przekierowujące przeglądarkę na strony z exploitami. Jeśli przeglądarka i system użytkownika jest podatna na któryś z exploitów, dochodzi do infekcji jego komputera. W systemie operacyjnym tworzone są nowe procesy, które pobierają z Internetu resztę złośliwego oprogramowania boty spamujące. W efekcie komputer użytkownika zamienia się w rozsyłającą spam maszynę zombie. Źródło: Cert Polska
HSN HoneySpider Network co to? Projekt od 2005 r. opracowywany wspólnie przez Cert Polska oraz Holenderski GOVCERT.NL wersja 2.0 System opierający się na elastycznym frameworku oraz wtyczkach pełniących rolę analizatorów Wkrywanie, identyfikowanie i opisywanie ataków wykorzystujących podatności w przeglądarkach internetowych.
HSN Cele projektu Honey Spider Network Stworzenie stabilnego systemu mogącego przetwarzać duże ilości adresów URL. Znajdowanie i rozpoznawanie stron, które serwują malware. Wykrywanie, rozpoznawanie i opisywanie zagrożeń, które infekują komputer wykorzystując mechanizm Drive by Download np.: exploity (0 day) na przeglądarki, ich dodatki i wtyczki malware wgrywany podczas ataku drive by download
HSN Korzyści z zastosowania Honey Spider Network Proaktywna informacja o podejrzanych lub zainfekowanych stronach poprzez cykliczne monitorowanie wskazanych adresów URL przez system HSN. Ograniczenie ryzyka zakażenia odwiedzających stronę Klientów (bezpieczne e comercy) Ograniczenie ryzyka trafienia na Blackliste (np.: Google Safe Browsing) strony Klienta sklasyfikowanej przez HSN jako niebezpieczna
HSN Architektura systemu Architektura oparta na dwóch modułach: System Framwork u koordynującego analizy wykonywane przez wtyczki Zestaw analizatorów (wtyczek) pdf, flash, zip, java sript, pliki office Źródło: Cert Polska
HSN Proces obsługi systemu Honey Spider Network Adres www URL Centrum skanowania HSN NASK Wynik skanowania Raport Klient Operator NASK
DZIĘKUJE ZA UWAGE