PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach w 2016 oczami CERT Polska
1. Zagrożenia w (głównie) polskich
sieciach oczami CERT Polska
PRZEMEK JAROSZEWSKI
CERT POLSKA / NASK
PLNOG18, WARSZAWA, 6 MARCA 2017
2. Czym jest CERT Polska?
Od 1996 pomagamy polskim użytkownikom Internetu i
użytkownikom polskiego Internetu
Prowadzimy działalność badawczą w zakresie metod wykrywania
incydentów, analizy złośliwego oprogramowania i systemów
wymiany informacji o zagrożeniach
Aktywnie współpracujemy z innymi zespołami CSIRT w kraju i
zagranicą, pełniąc rolę de facto CSIRT krajowego, a od 2017
reprezentując Polskę w CSIRT Network
Część instytutu badawczego NASK (rejestr domeny .pl)
Od połowy 2016 roku część pionu NC Cyber
3. Czym jest NC Cyber?
Pion w NASK, w skład którego wchodzą m.in. CERT Polska, dyżurnet.pl,
Dział Rozwoju, Polityk i Standardów
Działanie w trybie 24/7
Współpraca z partnerami na podstawie trójstronnych porozumień z MC
i NASK oraz umów szczegółowych
Gotowość do przyjęcia zadań związanych z analizą i koordynowaniem
incydentów – przede wszystkim o charakterze międzysektorowym i
międzynarodowym
Gotowość do tworzenia obrazu sytuacyjnego i wkładu do analizy
ryzyka dla organów państwa odpowiedzialnych za reagowanie
kryzysowe
4. Co ciekawego w 2016?
root:xc3511
root:vizxv
root:admin
admin:admin
root:888888
root:xmhdipc
root:default
root:juantech
root:123456
root:54321
support:suport
root:
admin:password
root:root
root:12345
5. Mirai
Bot napisany w C pod Linux/BusyBox + C&C w Go
Skanuje internet w poszukiwaniu urządzeń z domyślnymi danymi
dostępowymi (telnet, porty tcp 23, 2323, 23231, …)
Główne cele: kamery, rejestratory wideo, routery
Wykorzystywany do DDoS (w tym „as a service”)
potwierdzone wolumeny 600-1000 Gbps
nietypowe rodzaje ataków (DNS Water Torture, GRE Flood, TCP STOMP)
wśród ofiar m.in. Brian Krebs, OVH, Dyn
Kod upubliczniony pod koniec września 2016
6. Miara
Liczba unikalnych adresów
IP dobowo
Mediana 6970
Maksimum 14054
Lp. ASN Nazwa operatora
Średnia liczba
botów dziennie
1 5617 Orange Polska S.A. 4141
2 12741 Netia S.A. 934
3 8374 Polkomtel sp. z o.o. 218
4 21021 Multimedia Polska S.A. 211
5 12912 T-MOBILE POLSKA S.A. 164
6 29314 VECTRA S.A. 110
7 43939 Internetia Sp.z o.o. 71
8 20960 TK Telekom sp. z o.o. 64
9 16342 Toya sp.z.o.o 48
10 35191 ASTA-NET S.A. 46
7. TR-064/TR-069
W listopadzie 2016 zmodyfikowany kod Mirai został wykorzystany do
stworzenia bota skanującego TR-064 w poszukiwaniu routerów
podatnych na nowo wykryte RCE
Podatne wiele modeli routerów, dystrybuowanych w wielu krajach
W samym tylko niemieckim T-Mobile potwierdzone 900 tysięcy
podatnych urządzeń klienckich (Zyxel)
8. Po co to wszystko?
Boty na przejętych routerach to świetne źródło anonimowości dla
przestępców!
trudne do wytropienia źródło spamu
SOCKS proxy wykorzystywane przy kradzieży pieniędzy (obejście
mechanizmów kontrolnych banków!)
wykorzystanie fast-flux i proxy do zarządzania infrastrukturą botnetu
9. Avalanche
Infrastruktura „bullet-proof” dla dostarczania treści i zarządzania
botnetami, działająca w technologii „double fast-flux”
Działająca co najmniej od 2009
Wykorzystywana przez ponad 20 rodzin złośliwego oprogramowania
do wysyłki spamu, obsługi ransomware, phishingu itp.
W jej skład wchodziło m.in. kilkaset tysięcy nazw domenowych w
ponad 60 rejestrach
Wiele algorytmów DGA
Dobrze zorganizowane sieci słupów
10. Avalanche
Infrastruktura „bullet-proof” dla dostarczania treści i zarządzania
botnetami, działająca w technologii „double fast-flux”
Działająca co najmniej od 2009
Wykorzystywana przez ponad 20 rodzin złośliwego oprogramowania
do wysyłki spamu, obsługi ransomware, phishingu itp.
W jej skład wchodziło m.in. kilkaset tysięcy nazw domenowych w
ponad 60 rejestrach
Wiele algorytmów DGA
Dobrze zorganizowane sieci słupów
11. Zamknięcie Avalanche
30 listopada 2016 w wyniku czteroletniego śledztwa, w które
zaangażowane były organy ścigania w 3 krajach, DoJ, FBI, Europol i
dziesiątki partnerów przeprowadzono skoordynowaną akcję, której
wynikiem było:
5 zatrzymań
37 przeszukań
39 zatrzymanych serwerów
221 serwerów wyłączonych przez dostawców
ponad 800 000 domen przejętych, zablokowanych lub sinkhole’owanych
14. Pravyi Sektor
@PolishClubBos Ukrainian nationalists broke into the major
TV and internet provider https://t.co/9snF5gwmIC
— Lemberg (@noskovfurs1994) July 7, 2016
20. Więcej danych w n6
Hurtownia danych z sinkhole’i, honeypotów, skanerów, blacklist i in.
Właściciele sieci dostają informacje o swoich sieciach
Dane udostępniane po HTTPS przez REST API w wielu formatach,
uwierzytelnienie certyfikatem klienckim
Warunkiem dołączenia jest własny AS lub sieć co najmniej /29
Więcej informacji: http://n6.cert.pl/