Tomasz Sałaciński (CERT Orange Polska)

W końcówce 2016 roku w zakresie cyberbezpieczeństwa najwięcej mówiło się robaku Mirai. Ten odkryty w sierpniu 2016 roku malware atakuje urządzenia Internetu Rzeczy (Internet of Things, IoT), jak kamery,czy routery. Jego propagacja opiera się na zgadywaniu domyślnych haseł w tych urządzeniach i – po poprawnym zalogowaniu i infekcji – skanowaniu sieci w poszukiwaniu kolejnych potencjalnych ofiar. Stał się „gwiazdą”, gdy w pod koniec roku przy jego użyciu przeprowadzono jedne z największych ataków DDoS w historii, m.in. na bezpieczniackiego blogera Briana Krebsa oraz firmę Dyn. Przepustowości rzędu 1 Tbps (1 terabit na sekundę), wcześniej nieosiągalne, nie są jednak szczytem możliwości botnetów opartych na Mirai.

Hajime natomiast to robak, który również został zaprojektowany w celu infekowania podłączonych do internetu urządzeń IoT, aczkolwiek jego dokładnie przeznaczenie nie jest do tej pory znane. Aktualnie najbardziej popularna z dotyczących go teorii sugeruje, iż jest on niejako… antagonistą Mirai, bowiem ogranicza aktywność opisanego wyżej botnetu, przejmując zainfekowane nim maszyny. Nie posiada on złośliwych funkcji (np. możliwości przeprowadzenia ataku DDoS), jednak przestępcy mogą zaktualizować złośliwe oprogramowanie na przejętych komputerach o dowolne moduły.

Oczywiście CERT Orange Polska nieprzerwanie działa w celu ograniczenia ryzyk związanych z malwarem, również z rosnącą liczbą zainfekowanych urządzeń IoT. Dlatego też, w celu ograniczenia skali infekcji klientami botnetów Mirai i Hajime, wprowadziliśmy blokadę komunikacji na port 7547, wykorzystywany do ich dalszego rozsyłania. Jednocześnie CERT Orange Polska zdecydowanie rekomenduje, by właściciele urządzeń Internetu Rzeczy zapoznali się z ich instrukcjami i w miarę możliwości zmienili w nich domyślne dane uwierzytelniające.

Michał Rosiak

Koledzy z CERT Orange Polska w ostatnich dniach zaobserwowali znaczny wzrost infekcji koniem trojańskim „The Moon”. To specyficzny rodzaj złośliwego oprogramowania, nie usiłuje on bowiem włamać się na nasz komputer, lecz na urządzenia sieciowe. Za ich pomocą może przechwytywać nasze dane ze znacznie mniejszym ryzykiem wykrycia, a także wykorzystywać podłączone do sieci urządzenia jako elementy botnetu.

The Moon to kolejna hybryda rodziny złośliwego oprogramowania, zidentyfikowanej już kilka lat temu. Wykorzystuje ono podatności w urządzeniach z systemem Linux, ze szczególnym naciskiem na używane w domach routery, za pomocą których łączymy się z internetem. Malware umożliwia przejęcie zdalnej kontroli nad urządzeniem przy pominięciu autentykacji z wykorzystaniem protokołu NHAP (Challenge Handshake Authentication Protocol). Infekcja może nastąpić m.in. w wyniku kliknięcia przez użytkownika w złośliwy link z maila phishingowego, bądź uruchomienie fałszywego komunikatu, czy reklamy podczas przeglądania witryny internetowej. Powoduje to wykonanie exploita, a kolejne pobierane pliki .nttpd umożliwiają zestawienie komunikacji z listą serwerów zdalnego zarządzania (C&C) w celu pozyskania dodatkowych instrukcji lub plików wykonywalnych.

Co robić? Przede wszystkim upewnijcie się raz jeszcze, że zmieniliście domyślne hasło dostępu do Waszych routerów i nie są one dostępne z internetu. W przypadku urządzeń z sieci sprzedaży Orange dostęp z internetu jest domyślnie wyłączony. Dodatkowo, jeśli czytając ten tekst jesteście zalogowani, wpiszcie w przeglądarce adres https://cert.orange.pl/modemscan/index.py/scan/, bądź – jeśli mi ufacie 🙂 – po prostu kliknijcie link.

Zastanawialiście się kiedyś, jak wygląda administrowanie botnetem od środka? Dzięki jednemu z moich kolegów z CERT Orange Polska macie tę wyjątkową okazję. W ogóle to sprawa wyszła przypadkiem, podczas analizy kodu źródłowego jednego z popularnych, nieco zmodyfikowanych backdoor’ów, znanego pod nazwą Kaiten.c. W efekcie ekspert trafił na kanał serwera IRCd (kto pamięta co to było? ja się czuję dinozaurem 🙂 ), administrujący botnetem wykorzystującym przejęte routery do ataku na telekomunikacyjnego giganta w USA, Comcast, a tam spotkał cyber-przestępcę we własnej cyber-osobie. Panowie porozmawiali sobie w swoim niezrozumiałym dla normalnych ludzi języku :), zły człowiek puszył się i machał ogonem, by po rozmowie z moim kolegą… pozamykać prawie wszystkie porty w komunikacji z serwerem Command&Control (C&C, serwer kontrolujący botnet), poczynając od 443 za pomocą którego wydawał polecenia botom. Dokładnie rzecz biorąc, serwer wyglądał tak:

Chyba się przestraszył 🙂

Tym niemniej – poniżej poszczególne kroki, opisujące, co dzieje się z botnetem, opisane przez autora analizy (jeśli masz problem z odczytaniem treści grafiki, kliknij w nią).

terminal powitalny na serwerze C&C botnetu
fragment kodu, przekazujący nam wiele ciekawych rzeczy o konfiguracji botów: – CHAN „#LA” – nazwa kanału IRC, do którego łączą się zainfekowane urządzenia – PORT 443 – numer portu ircd – AdminUser1 do AdminUser5 – login kont uprawnionych do wydawania poleceń botom – char *servers[] = { „206.72.200.116” – zdefiniowany adres IP serwera C&C	BotMaster (przestępca zarządzajacy botnetem) wydaje na kanale #LA swojego serwera ircd polecenie aby wszystkie boty atakowały wybrany przez niego adres IP oraz port
Kontynuacja niecnych działań BotMastera
Boty ukończyły atak i zwracają informacje dla BotMastera	Fragment kodu źródłowego backdoora, autorstwa atakującego oraz komunikat od botów o gotowości do kolejnego ataku.
Bot zgłasza gotowość do kolejnego ataku	Fragment kodu źródłowego z opisanymi funkcjami ataku dla botów.
Sekcja kodu backdoora, weryfikująca uprawnienia administratora do wydania polecenia o ataku

Cukierek albo psikus. To zasada ataków DDos. Czy wiecie, że każdy może kupić sobie taki atak w Internecie już za niecałe 5 dolarów (za godzinę ataku)? A potem szybko i bez problemu zainstalować oprogramowanie i utrudnić skutecznie działalność np. pobliskiej sieci marketów, bo sprzedają za drogie orzeszki? Teraz może to zrobić nawet gimnazjalista. Co gorsze, ataków DDos będzie coraz więcej – zwiększa się ilość sieci botnet a jednocześnie jest coraz więcej motywów politycznych czy ekonomicznych takich ataków. My, zwykli użytkownicy Internetu, boleśnie odczuwamy ich skutki.  Zwykle – w postaci długotrwałego braku dostępu do określonego serwisu internetowego np. e-banku, w którym mamy swoje konto.  Poniżej garść ciekawostek na ten temat.

Jaka jest geneza ataków DDos? Początkowo narażone na nie były głównie sklepy internetowe i firmy oferujące e-rozrywkę np. hazard. Ci nieszczęśliwcy byli w stanie zapłacić hakerom niemały haracz, aby móc znowu funkcjonować. To się zmieniło… Teraz ataki DDos to z jednej strony „Hactivism”- są przeprowadzane przez hackerów-aktywistów. Z drugiej strony, to potężne wymuszenia w ramach wojny nieuczciwej konkurencji. Szczegółowe motywy ataków przedstawia Arbor Networks, który od 12-stu lat dogłębnie bada anomalie sieciowe i śledzi ewolucję problemów związanych z bezpieczeństwem:
• 35% to manifesty ideologiczne/polityczne,
• 31% – zwykły wandalizm,
• 29% to skutek używania gier online,
• 25% ataków przeprowadzanych jest przez kryminalistów, którzy w ten sposób demonstrują swoje możliwości,
• kolejne 25% pochodzi z portali społecznościowych,
• aż 24% przydarza się przypadkiem na skutek złej konfiguracji
• i kolejno po 19% : rywalizacja personalna, wojna konkurencji lub powody nieznane
• 18% to typowe wymuszenia

A ich skutki? Łatwe do przewidzenia, trudne do przeliczenia np. koncern Sony stracił w wyniku ataku DDos ok. 170 milionów dolarów… A teraz trochę z innej beczki, ale wciąż w temacie bezpieczeństwa IT. Dla szczególnie zainteresowanych relacja z konferencji Secure 2012, na której nasza ekspertka, Ewa Śniechowska przedstawiła 10 nowych zagrożeń bezpieczeństwa i opowiedziała, jak sobie z nimi radzić.

Boicie się zagrożeń? Jak myślicie, w jakim kierunku pójdą ataki DDos?

Happy Halloween!