Kyberbezpečnost, HP a vy. Se vzrůstající závislostí společnosti na informačních technologiích vzrůstá i riziko zneužívání těchto technologií nebo útoků na tyto technologie, které mají rozsáhlé dopady na činnost subjektů, které s nimi pracují, a které mohou potencionálně mohou vést ke značným škodám. Důvodová zpráva k zákonu o kybernetické bezpečnosti, NBÚ, 2011
It's now clear cyber threat is one of the most serious economic and national security challenges we face as a nation. It's also clear that we're not as prepared as we should be, as a government or as a country. Barack Obama, May 29, 2009 REMARKS BY THE PRESIDENT ON SECURING NATION'S CYBER INFRASTRUCTURE
HP Solutions #2
V minulém čísle nás Honza Kameníček provedl pohledem HP na bezpečnost IT, nastínil navrhovaný zákon o kybernetické bezpečnosti a představil portfolio produktů, které HP nabízí zákazníkům pro řešení problémů s počítačovou bezpečností. Dnes bychom vám rádi představili český tým, který se bezpečností zabývá denně do posledního detailu.
1/13
Aby čtenář lépe nahlédnul, dovolíme si citaci:
Pokud bychom to řekli laicky, tak forenzní analýza IT prvků analyzuje jakákoliv digitální data s cílem určit, co se stalo, kdy se to stalo, jak se to stalo a koho se to týká. Metodologicky je to podobné, jako když se vyšetřuje jiný incident ve fyzickém světě – například vražda nebo loupež. Odkaz: http://www.root.cz/clanky/forenzni-analyza-1/
Rozhovor Co vlastně forenzní laboratoř dělá, kde se nachází a kdo je členem? Projekt forenzní laboratoře (dále již jen FLAB) spadá pod CESNET-CERTS*. Naše činnost v oblasti bezpečnosti není prakticky nijak omezena, v praxi se jedná o průzkum elektronických stop z napadených počítačů, síťové komunikace atp., jejich analýzu a interpretaci. Dlouhodobým cílem je poskytnout našim zákazníkům komplexní služby v oblasti správy a řešení bezpečnostních incidentů. Naše schopnosti a zkušenosti mimo jiné prezentujeme na bezpečnostních konferencích typu Europen.CZ, IDET, Sans.org a dalších. Přesná poloha pracoviště je přísně utajována, pracujeme zde s citlivými daty našich zákazníků a nemáme rádi nečekané návštěvy.Členy FLAB jsou v současné době Aleš Padrta, Karel Nykles a Radoslav Bodó. Jaký je váš IT background? Radoslav: Můj první počítač byl Didaktik Gamma, správou internetových služeb se zabývám od roku 2000, jsem absolventem Fakulty aplikovaných věd ZČU obor Distribuované systémy. Základní zkušenosti s bezpečností IT jsem získal díky svému působení v Centru informatizace a výpočetní techniky při ZČU v Plzni (CIV), zbytek přišel v průběhu let rozličnou povečerní praxí... Aleš: Původním povoláním jsem kybernetik a jak říkají prarodiče „umělý inteligent“. Což má k IT velmi blízko a k bezpečnostním aspektům je pak jen krůček. Na ZČU jsme v roce 2006 s kolegou R. Bodó založili tým pro řešení bezpečnostních incidentů (dnes by se už označoval jako CSIRT*), pak přišla spolupráce s CESNET-CERTS* a aktuálně projekt FLAB. Cestou jsem posbíral nějaké certifikáty z IT školení, ale není nad zkušenosti získané na bitevním poli. Jste stále na straně WhiteHat?
Aleš Padrta
Radoslav Bodó
Operations security officer ZCU
Aleš má za sebou osmiletou praxi v IT, přičemž zkušenosti získal při svém působení na Západočeské univerzitě v Plzni a ve sdružení CESNET, z.s.p.o.
Radoslav Bodó má za sebou více než desetiletou praxi v oblasti správy internetových služeb a serverů. Své zkušenosti získal převážně na akademické půdě působením v různých institucích v ČR, zejména pak v Centru informatizace a výpočetní techniky při Západočeské univerzitě v Plzni, Cesnetu z.s.p.o. a Metacentrum.cz.
Pracovní náplní Aleš Padrty je řešení bezpečnostních incidentů a jejich předcházení. Kromě technických opatření se také věnuje vzdělávání (nejen) uživatelů a ve volném čase se zabývá sociálním inženýrstvím. E-mail:
[email protected] LinkedIn: http://cz.linkedin.com/pub/ale%C5%A1-padrta/2/823/642
HP Solutions #2
E-mail:
[email protected] LinkedIn: http://www.linkedin.com/profile/ Publikace: http://bodik.nawebu.info/ cv.php
Ve své pozici je odpovědný za provoz a bezpečnost svěřených a projektovaných systémů a jako bezpečnostní konzultant i za incident handling a incident response v přidělených případech. Radoslav je absolventem ŽCU a v současné době žije se svou rodinou v západních Čechách.
2/13
Radoslav: No to rozhodopádně! Aleš: Copak to je za otázku? Forenzní analytik přeci musí být nestranný, zajímají ho pouze fakta. Jaké prostředky SW/HW používáte Radoslav: Největší část pracovního času trávím na platformě x86 s OS Linux. Základem jsou samozřejmě coreutils, BackTrack, FTK, IDA Pro*, různé virtualizační a cloudové platformy... Většinou se jedná o nástroje pro simulaci chování operačních systémů, nástroje pro získávání elektronických stop ze zkoumaných dat, internetové zdroje informací apod. Aleš: Zpravidla zpracováváme obrazy disků napadených počítačů, takže ohledně HW si vystačíme s běžnými prostředky. V oblasti forenzního zkoumání specializovaného HW nebo mobilních zařízení jsme od našich zákazníků zatím žádné požadavky neobdrželi. Ale vzhledem k vývoji IT se na tyto oblasti potichu připravujeme. Jaká je vaše nejběžnější práce? Radoslav: Přesvědčovat lidi, že zavirovaný počítač musí opravdu přeinstalovat ;) Ne vážně... Nejčastější práce je průzkum dodaných obrazů napadených počítačů a zodpovězení na otázky typu Jak se tam ten uličník dostal? Aleš: ...a v ostatních případech za námi chodí uživatelé a kladou nám rozličné a zvídavé otázky, nad kterými sami nechtějí trávit čas nebo by nalezení odpovědi sami nezvládli. Nejběžnější prací je tedy samostudium a hledání odpovědí. Někdy je potřeba provádět i experimentální ověření hypotéz. Jak probíhá spolupráce s FLAB? Při prvním kontaktu je třeba se alespoň lehce seznámit, protože není možné konzultovat otázky bezpečnosti s úplně cizí entitou. Nejlépe prostřednictvím existujících kontaktů nebo Trusted Introducer* (https://www.trusted-introducer.org). Následuje dodání vstupních dat, typicky obraz disku, záznamy o síťovém provozu, průvodní list, popis prostředí a hlavně otázky k zodpovězení. Pak už se pustíme do vlastní analýzy, rozboru a zpracování případu. Někdy jde o iterativní proces, kdy si občas vyžádáme i doplňující materiály. Na závěr je vždy sepsána tzv. závěrečná zpráva, která je přehledná a čitelná pro běžného smrtelníka a jejíž součástí jsou i přílohy s technickými detaily a zdůvodněním pro příslušné pracovníky na straně zadavatele. Co zajímavého jste řešili v poslední době Zajímavá byla určitě reverzní analýza ransomware Policie ČR (detaily viz Příloha 1). Spolupracovali jsme také na analýze DDoS* útoků na společnosti v ČR (detaily viz Příloha 2). Náš poslední projekt se týkal zkoumání SSD* s ohledem na uchování smazaných dat. Co dělat, aby se k vám můj počítač nedostal? Radoslav: Je potřeba chovat se a vyvíjet či provozovat služby bezpečně. Existuje řada pouček, analogických a k tomu, že se rozhlížíte dříve, než vstoupíte do vozovky… Používat legální OS a SW, firewall a antivir. Zběsile neklika na všechno co vidíte na obrazovce a to ani na tlačítka typu „Zavřít“. Aleš: Nikdy neposílat svůj mozek na dovolenou. Drtivou většinu problému si totiž uživatelé způsobují sami svým… řekněme neuváženým chováním. Co dělat z pohledu IT infrastruktury, abyste se jí nemuseli ve FLAB zabývat? Bezpečnost je jednak proces, jednak aspekt, tj. nelze si ji koupit a číhá všude. V praxi to pak znamená mít v IT oddělení pracovníky vyhrazené pro vykonávání bezpečnostních úkolů, konzultovat s tímto týmem veškeré úkony v infrastruktuře spojené, a to i v případech, kdy se jedná o maličkost. Mít firewally (paketové filtry vytvářející síťové perimetry) je nutná, nikoli postačující podmínka. IDS/IPS/ WAF/Honeypoty* jsou velmi dobré nástroje, ale někdo musí zpracovávat jejich výstup. Osobně se nám velmi osvědčila automatizace některých úkonů spojených s řešením bezpečnosti IT, HP Solutions #2
3/13
mám na mysli hlavně automatickou izolaci (odpojení nebo odposlech) podezřelých uzlů v síti v rozlehlé infrastruktuře to šetří čas a vylepšuje reakční dobu na nastalé incidenty - nejdřív střílím a potom se ptám. Čtenáři HP Solutions jsou i nejvyšší manageři organizací, dovedete jim popsat, na co zaměřit investice, aby se s vámi nemuseli setkávat? Radoslav: Nejlépe do vlastních lidí, školení a úpravě procesů. Mít nejnovější černou skříňku, která to či ono řeší, je hezké, proměnit zaměstnance na bezpečnostní senzory je lepší. Není to z mé hlavy, ale zato je to pravda. Aleš: Tak to už je třetí otázka za sebou na téma, jak se nám vyhnout :) Jistě, setkání s námi znamená, že potřebujete analyzovat nějaký závažný problém. Na druhou stranu, pokud už problém (bezpečnostní incident) nastal, pouze podrobná analýza poskytne dostatek informací o tom, co se stalo, jak k tomu došlo, a z toho pak vyplývá, jak zařídit, aby se to nemohlo opakovat. My jsme na stejné straně barikády, a není tedy třeba se nám vyhýbat. Závěrem Radoslav: Pokud máte podezření, anebo dokonce jistotu, že nastal bezpečnostní incident, první, co byste měli udělat, je odejít na deset minut od klávesnice a uklidnit se, v zápalu prvních reakcí je často zničeno nebo opomenuto mnoho důležitých věcí - Leif Nixon
Slovníček pojmů CESNET-CERTS CESNET: Sdružení CESNET založily vysoké školy a Akademie věd České republiky. Jeho cílem je výzkum a vývoj informačních a komunikačních technologií, budování a rozvoj e-infrastruktury určené pro výzkum a vzdělávání. (Zkratka CESNET znamená Czech Education and Scientific NETwork.) CESNET-CERTS (CERT – Computer Emergency Response Team – organizace, která se stará o řízení bezpečnostních incidentů) – Část organizace CESNET, která se stará o řešení IT bezpečnostních incidentů. https://csirt.cesnet.cz/ CSIRT Podobně jako CERT se Computer Security Incident Response Team stará o řešení incidentů v IT. CERT je registrovaná značka Carnegie Mellon University WhiteHat Označení „hodných“ bezpečnostních odborníků, hodných hackerů. coreutils, BackTrack, FTK, IDA Pro Utility, které se používají při běžné forenzní analýze.
HP Solutions #2
Trusted Introducer (https://www.trusted-introducer. org/) Adresář akreditovaných organizací, které se starají o provoz a řízení bezpečnostních incidentů v jednotlivých zemích. Ransomware Typ škodlivého kódu, který se po infekci počítače snaží z uživatele získat finanční prostředky například pomocí anonymních plateb DoS, DDoS (Distributed ) Denial of Service – (Distribuované) útoky k zahlcení služby, kdy jsou na službu (Web server nebo jiné části IT infrastruktury) jsou vedeny masivní počty požadavků s cílem zahltit, odstavit službu. IDS/IPS Intrusion Detection/Prevention System – systém pro detekci/zadržení útoků WAF Specializovaný firewall pro zastavení útoků na webové služby Honeypot Doslova „hrnec medu“, na který se mohou „lepit“ útočníci, a bezpečnostní odborníci tak mohou studovat chování útočníků nebo škodlivého kódu.
4/13
Follow UP (outro): HP disponuje v současnosti jedním z největších a nejkvalifikovanějších týmů pro řešení v oblasti informační bezpečnosti poskytujícím zlepšování řízení bezpečnosti, omezování informačních rizik, udržování souladu s předpisy, ochranu dat, dostupnost služeb a zvyšování provozní efektivity IT. Bezpečnostní řešení HP jsou vždy postavena na těch technologiích, které přinášejí zákazníkovi ten největší přínos. Mohou tak být postavena jak na vlastních produktech HP ArcSight, HP Tipping Point, HP Fortify a podobně, tak na komerčních produktech jiných výrobců představujících špičku trhu, ale také na kvalitním volně šiřitelném softwaru.
Bezpečnostní řešení HP jsou vždy postavena na těch technologiích, která přinášejí zákazníkovi ten největší přínos.
HP vnímá posun v kybernetické legislativě EU i České republiky – konzultanti firmy HP aktivně připomínkovali návrh zákona o kybernetické bezpečnosti. Mnoha organizací se dotkne účinnost připravovaného zákona o kybernetické bezpečnosti a mnoho z nich netuší, jestli budou v souladu s tímto zákonem, popřípadě co je třeba změnit a naplánovat. Pro usnadnění orientace v požadavcích a dopadech nového zákona o kybernetické bezpečnosti HP Česká republika připravila jednoduchou a rychle proveditelnou službu, nazvanou HP Cyber Security Assessment (Příloha 3). Provedením assessmentu získá organizace kompletní přehled o připravenosti technické infrastruktury a organizačních procesů na působnost nového zákona o kybernetické bezpečnosti.
Vizitka autora
Jakub Urbanec Information Systems Architect CZ, Technology Services Jakub má za sebou více než patnáctiletou praxi v IT, převážně v pozicích souvisejících s bezpečností IT. Zkušenosti sbíral na Západočeské univerzitě v Plzni a v německé firmě GK Software AG. Nyní působí jako konzultant IT bezpečnosti v části Technology Services, HP.
Ve své práci je Jakub zodpovědný za bezpečný vývoj, ochranu IT prostředků a také dokumentační a standardizační projekty IT bezpečnosti u velkých i malých zákazníků. Jakub je absolventem Západočeské univerzity oboru Distribuované systémy a počítačová sítě, žije za Plzní s rodinou, psem a kočkou. Svůj volný čas dělí mezi rodinu, fotografování a sporadické sportovní výkony.
E-mail:
[email protected] Web: http://ph.t1.cz LinkedIn: http://www.linkedin.com/in/ urbanec
Příloha 1.
Ransomware – „policejní virus“ na pitevním stole Tvůrci malwaru kvůli zisku neúnavně vymýšlejí stále nové finty. Jednou z nich je opustit komplikované obchodní modely s prodejem ukradených informací a získat od uživatelů peníze přímo. A pěkně automaticky, ať s tím není mnoho práce. Podívejme se do útrob jednoho konkrétního vyděračského malware.
Setkání s ransomware O tomto malware, který se zaštiťoval Policií ČR, lze najít pěkný popis například v edukativním varování od CSIRT-MU a pozornost si mimo jiné zasloužil i na webech Bezpecne-online.cz, Windroid. cz nebo Technet.cz. Ve zkratce, napadený počítač po zapnutí zobrazí přes celou obrazovku výzvu Policie ČR, která uživatele informuje, že se dopustil trestného činu, a proto byl jeho počítač zablokován. Samozřejmě mu hrozí vysoký trest, ale pokud do 48 hodin zaplatí dva tisíce korun pomocí kuponu Ukash nebo PaySafeCard, bude to považováno za vyřízené. Uživatel nevidí svou plochu, nemůže vyvolat správce úloh a začne přemýšlet, co teď bude dělat. Zaplatit? Zajít na policejní služebnu? Zkusit to obejít? Nechme uživatele řešit své dilema a podívejme se raději na technické pozadí, jak mohl dospět do této nezáviděníhodné pozice.
Způsob analýzy Analýza malware proběhla na základě zajištěných stop – obrazu disku napadeného počítače, obrazu operační paměti napadeného počítače s aktivním malwarem a odchyceného síťového provozu zachycujícího průběh zadání platebního kódu. Všechna tato data byla dodána zákazníkem forenzní laboratoře. Zásadní informace byly získány reverzní analýzou malware, který bylo nejprve třeba dekódovat, protože byl použit packer Morphine. Vlastní analýza probíhala s pomocí specializovaných nástrojů pro reverzní inženýrství OllyDbg a IDA Pro. Druhý zmiňovaný nástroj je schopen instrukce a jejich návaznosti zobrazovat v grafické podobě, což zásadně ulehčuje práci. Navíc díky modulu FLIRT (Fast Library Identification and Recognition Technology) umí rozpoznat standardní knihovní funkce běžných kompilerů a urychlit analýzu. Bylo zjištěno, že malware se skládá ze dvou nezávislých částí. První částí je klient botnetu, který napadený počítač zapojí do příslušné sítě a očekává pokyny z C&C serveru. Druhou částí je pak vlastní aplikace, kterou uživatel vidí a která po něm vyžaduje platbu.
HP Solutions #2
6/13
Příloha 1.
Zapojení do botnetu V první fázi dojde k nakažení systému malwarem, který počítač přemění v zombie a připojí jej do botnetu. Takto napadený počítač pak lze využít ke spuštění ransomwarové aplikace, ale teoreticky i k čemukoliv jinému.
Nakažení systému Mechanismus infekce může být obecně různý, od viru v závadné příloze e-mailu nebo na výměnném médiu, přes síťové červy a napadené webové stránky zneužívající zranitelností systému či aplikací, až po sociální inženýrství. Často jde o kombinaci uvedeného. Analyzovaný ransomware má poměrně dobře fungující infekční mechanismus. Nejprve jsou ovládnuty vytipované stránky – typicky s obsahem pro dospělé s nestandardním zaměřením –, které pak slouží jako vstupní bod. Při prvním přístupu z daného počítače (identifikace na základě cookies) dojde k přesměrování na jinou stránku obsahující exploit(y), umožňující následné získání přístupu do systému. Přičemž aktuálnost byla pravděpodobně zajištěna používáním „komerční“ sady exploitů. Při analýze byly identifikovány tři různé druhy: zavirovaný PDF soubor, zneužití zranitelnosti prohlížeče Internet Explorer při používání externích fontů a zranitelnost JVM. Výsledkem je pak zahnízdění malware v systému, jeho připojení k botnetu a vyčkávání na další pokyny. Už výběrem stránek sloužících jako vstupní body prokazuje útočník pokročilé znalosti sociálního inženýrství, protože jde o další aspekt, jak uživatele přimět raději k zaplacení než přivolání odborné pomoci. Jistě by při tom totiž vyšlo najevo, co na internetu dělal a jaké stránky navštěvoval. Což u některých typů stránek není uživateli úplně příjemné. Ačkoli infekce ransomwarem převažovala na stránkách s obsahem „pro náročné“, možnost infekce hrozila i v případě stránek s běžným obsahem. V takovém případě postačí kompromitovat poskytovatele reklamy a k banneru připojit exploit.
Mechanismy persistence Slabým místem každého malware je nutnost zajistit své spuštění po restartu systému. V poslední době lze pozorovat trend převážně user-space virů, jež se primárně nesnaží ovládnout celý systém, ale kterým postačí přístup v kontextu práv daného uživatele. Dále uvedeme příklady nejčastějších mechanismů, jimiž si malware zajišťuje přežití restartu. Při každém startu systému jsou spouštěny aplikace uvedené v příslušných registrových klíčích, které se mohou nacházet jak v uživatelské, tak v systémové části registru. Méně známé, avšak používané jsou také hodnoty Shell a Userinit v registrovém klíči HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon. Kromě registrů existuje také složka „Po spuštění“, přičemž systém a každý uživatel má svůj vlastní adresář obsahující odkazy na spouštěné aplikace a jejich parametry. Spuštění lze zajistit i s pomocí plánovače úloh, který obsahuje množství aktivačních událostí, nejen přihlášení uživatele do systému. Každá úloha má svůj vlastní XML soubor v příslušném adresáři. Kromě výše uvedených standardních možností může malware disponující administrátorskými právy také vytvořit novou službu, driver nebo hook do kernelu. Tyto varianty lze analyzovat obtížněji.
HP Solutions #2
7/13
Příloha 1. Konkrétní analyzovaný vzorek využíval registrové klíče, jmenovitě byl spouštěn zástupce, který pomocí komponenty rundll32.exe aktivoval vstupní bod v knihovně malware wlsidten.dll. Novější verze malware kromě registrů využívají také složku „Po spuštění“.
Mechanismy ochrany proti odstranění Dalším zájmem malware je zůstat v systému co nejdéle a současně zkomplikovat své odstranění. Prvním soupeřem jsou automatické prostředky, typicky antivirový software (AV). Nepoznány mohou zůstat jen viry, pro který AV ještě nemá definice, tj. viry zcela nové nebo v čase se měnící. Další možností ochrany je AV vypnout nebo dokonce odinstalovat – přeci jde jen o software, byť specifický. Poměrně jednoduchou leč účinnou ochranou je také úprava práv souborového systému NTFS, kdy pak AV nemá práva virus smazat. Druhým soupeřem je pak samotný člověk, tedy ten s patřičnými znalostmi. Zde se může virus snažit uživateli blokovat spouštění diagnostických nástrojů, blokovat spouštění nových procesů, případně skrýt plochu apod. Analyzovaný vzorek malware měl v arzenálu schopnost blokovat správce úloh – každých 500 ms bylo zkontrolováno, zda je příslušné okno zobrazeno, a pokud ano, správce ukončil. Dále byl každých 500 ms obnoven zápis v registrových klíčích jako ochrana proti smazání. Ochrana proti běžnému antivirovému skenu je realizována zakódováním knihovny malware uložené na disku.
Komunikace Botnet klient potřebuje komunikovat s řídicími centry a zároveň by tato komunikace neměla aktivovat ochranné prostředky nebo být nápadná. Analyzovaný botnet klient to řeší vložením vlastního kódu (DLL injection) do samostatně spuštěné instance webového prohlížeče. Výsledkem je běžící proces internetového prohlížeče (podle kódu malware umí použít Internet Explorer, Mozillu Firefox, Google Chrome a Operu), který provádí komunikaci na portu 80, takže při kontrole činnosti procesů nejde o nic podezřelého. Za zmínku stojí využití pokročilé funkce virtuálních ploch, které uživateli Windows nejsou zatím dostupné (Linux je v tomto pohledu dále), kdy byl internetový prohlížeč spuštěn v nezobrazované ploše. Komunikační proces je zcela samostatný a synchronizace s ostatními součástmi (malware) je prováděna pomocí odkládacího souboru, u konkrétního analyzovaného vzorku šlo o soubor %allusersprofile%/Data aplikaci/netdislw.pad. Ostatní součásti sem umisťují informace určené k odeslání C&C a současně odsud přebírají zaslaná data a pokyny. Malware má v sobě napevno zakódovánu jednu IP adresu C&C serveru a jedno doménové jméno zaručující flexibilitu díky možné změně v DNS. Dále pak byly v odkládacím souboru nalezeny další tři IP adresy. Při komunikaci je dávána přednost aktuálním IP adresám z odkládacího souboru, v případě neúspěchu následuje pokus s pevně zakódovanou IP adresou a nakonec zkouší použít doménové jméno.
Aplikace ransomware Vlastní vyděračská obrazovka, kterou uživatel vidí, je samostatná aplikace, vytvořená v Borland Delphi. Na počítač je stažena klientem botnetu a následně uložena do odkládacího souboru. Případná aktualizace zmíněné aplikace je tak velmi snadná. Malware je spouštěn klientem botnetu, tj. při každém spuštění HP Solutions #2
8/13
Příloha 1. operačního systému, kdy je ransomware již stažen do počítače. Aplikace je spuštěna v celoobrazovkovém režimu a má nastavenu vlastnost „vždy navrchu“ (always-on-top). Vezmeme-li v potaz také ukrývání správce úloh, které má na svědomí ochranná vrstva klienta botnetu, běžný uživatel nemá žádnou možnost tuto aplikaci ukončit. Následující obrázek ukazuje hlavní komponenty identifikované při podrobné analýze dialogu. Časovače zajišťují vytvoření okna pro webkameru, snímání obrázků z webové kamery a generování šumu pro případ, že webová kamera není přítomna. V popiscích je uvedena IP adresa napadeného počítače, odpovídající hostname a také geolokační údaje načítané z odkládacího souboru. Zadávací pole slouží k zadání platebního kódu služby Ukash nebo PaySafeCard a odpovídající tlačítka, resp. obrázky s funkcí tlačítka, spouštějí validaci a odesílání zadaného kódu. Malware lokálně testuje validitu formátu zadaných kódů. Pro Ukash je validní kód dlouhý 19 znaků, obsahuje pouze číslice a vždy začíná „633718“. Kód PaySafeCard má délku 10 číslic a počáteční znak „0“. Získaná čísla jsou následně odeslána pomocí botnet klienta, přičemž jejich platnost je později ještě znovu ověřena, tentokrát přímo dotazem na poskytovatele služby.
Celkové schéma spojení obou částí – klienta botnetu a vyděračské aplikace
Obchodní model Nutno uznat, že z psychologické stránky je na uživatele působeno vpravdě profesionálně. Vidí své geolokační údaje (odvozené z IP adresy), vidí svůj obrázek (má-li webkameru), vidí logo Policie ČR, vidí, jak o něm policie všechno ví… a vidí se za mřížemi. V takovou chvíli se pokuta ve výši dva tisíce korun jeví jako velmi malé zlo. Rozhodnutí zaplatit je na spadnutí. Vlastní platba je realizována pomocí platebních kuponů služeb Ukash nebo PaySafeCard, které uživatel může zakoupit například na čerpacích stanicích. Zadáním unikátního čísla (platebního kódu) uvedeného na kuponu je transakce realizována, protože na základě znalosti tohoto kódu pak centrála dané služby vyplatí odpovídající finanční částku. Platné kupony pak lze využít například v kasinech, přes která dochází ke špatně kontrolovatelnému přesunu prostředků a následně k jejich výběru.
HP Solutions #2
9/13
Příloha 1.
Odstranění malware Likvidace malware sestává obecně ze tří kroků. Nejprve je nutné eliminovat obranné funkce malware, poté lokalizovat jeho perzistenci spolu s používanými binárními soubory a následně provést jejich odstranění. Na standardní instalaci Windows 7 je malware z pohledu běžného uživatele nezastavitelný. Malware infikuje primárně profil aktuálního uživatele, proto lze na víceuživatelském systému využít magického trojhmatu CTRL+ALT+DEL, přihlásit se jako jiný uživatel, ukončit relaci předchozího uživatele a pokračovat dále. Pokud není další uživatelský účet v PC aktivován, nebo je předchozí krok příliš komplikovaný, je doporučen tvrdý restart a vstup do nouzového režimu. Pokud malware nastartuje i v nouzovém režimu, lze použít LiveCD nebo disk připojit k jinému počítači. Následně lze projít registry, složky po spuštění, plánovač úloh, seznam služeb a hledat odkazy na podezřelé binární soubory. Pod pojmem podezřelé se rozumí typicky explorer.exe v uživatelském profilu (a podobné umístění), odkaz na DLL knihovnu, neznámá služba (i služba má ve vlastnostech cestu), odkaz vede do dočasného adresáře (temp), binární soubor má podivný název (např. s87d654hs67dghs87d.exe). Po nalezení prvních podezřelých souborů a persistence (může být vícenásobná!) lze dle času jejich modifikace dohledat další soubory, vytvořené činností malware. Dále je třeba v registrech a na disku vyhledat veškeré reference na nalezené podezřelé soubory. Poté už lze odstranit všechny odkazy v registru na tyto soubory i samotné binární soubory. Na závěr zbývá vymazat všechny dočasné složky a internetovou cache. V případě úspěchu bude po restartu a přihlášení normálně dostupná pracovní plocha a počítač se bude opět chovat normálně. V případě, že se malware nacházel výhradně v uživatelském profilu a uživateli přístupných složkách, lze postupovat následovně: vytvořit nového uživatele, přesunout uživatelská data a smazat původního uživatele. Následně by měla proběhnout hloubková kontrola PC antivirovým programem, nejlépe na jiném počítači, ke kterému je disk z napadeného počítače dočasně připojen. Pokud by však malware infikoval systémovou část, je bezpečnější zálohovat data pomocí LiveCD na jiný disk a systém reinstalovat. Reinstalace je samozřejmě doporučovaná „best practice“, protože nikdy není na první pohled zcela zřejmé, co všechno mohl malware v počítači změnit. Samozřejmostí jsou i další návazné kroky, jako je například změna všech hesel, které používali uživatelé daného počítače, ale to není předmětem tohoto článku.
HP Solutions #2
10/13
Závěr Z analýzy malware, který je médii označován jako „policejní virus“, vyplývá, že se jedná o kvalitně zpracovaný projekt. Počínaje nosnou myšlenkou, přes její precizní zpracování v psychologické rovině, až po technickou realizaci. Rozdělení technického řešení na klienta botnetu s mechanismem nákazy na jedné straně a vlastní aplikace na straně druhé umožňuje pružnější fungování. Zranitelnosti nutné k nákaze, případně rovnou hotové zombie lze „normálně“ nakoupit, takže se pak lze zabývat pouze vlastním ransomwarem a využitím získaných platebních kódů. Využití klienta botnetu také zajišťuje bezpečnou komunikaci a doručení požadovaných dat a současně také snadnou aktualizaci malware. Po technické stránce je zajímavé předávání dat přes odkládací soubor a relativní jednoduchost použitých metod vedoucích ke stavu, kdy uživatel nedokáže udělat nic jiného než zadat platební kód. Přestože již policie dopadla původní tvůrce, obchodní model dále přežívá a byl zřejmě předán nebo prodán dále, protože stále vznikají nové varianty. Liší se zejména vizuální podobou a neomezují se pouze na vydávání se za lokální policejní útvary, ale byly zachyceny varianty také s Interpolem a Europolem. V praxi se tak s „policejním virem“ budeme zřejmě setkávat i nadále. Autorem dokumentu je Aleš Padrta.
HP Solutions #2
11/13
Příloha 2.
Rekapitulace série (D)DOS útoků ze dnů 4. 3. – 7. 3. 2013 Tento dokument obsahuje náhled na situaci z období 4. 3. až 7. 3. 2013, kdy byla provedena série (D)DOS útoků na www služby provozované v České republice, z pohledu sdružení CZ.NIC a CSIRT.CZ (Národní CSIRT České republiky).
Popis událostí V pondělí 4. března 2013 začala série (D)DOS útoků na webové servery provozované v České republice. Útoky probíhaly obvykle ve dvou vlnách – dopoledne mezi 9-11 h a odpoledne mezi 14-16 h. Každý den byl útok veden vůči jiné skupině cílových serverů. Pondělí 4. 3. – útoky jsou vedeny proti webovým serverům Novinky.cz, iDNES.cz, IHNED.cz, Lidovky. cz, Denik.cz, Csfd.cz, okolo poledne byly nedostupné weby E15.cz, Živě.cz, Mobilmania.cz. Úterý 5. 3. – okolo 10 h jsou nedostupné služby společnosti Seznam.cz. Seznam.cz o situaci informuje na svém facebookovém profilu. Okolo 11:30 je Seznam.cz opět funkční. Kolem 13:30 se útok opakuje, jsou pozorovány chvilkové nedostupnosti serverů. Středa 6. 3. – od cca 9:30 do 11:00 jsou nedostupné webové servery bank – České spořitelny, Komerční banky, FIO banky, ČSOB, Raiffeisenbank a České národní banky (www.cnb.cz). V důsledku útoků došlo u České spořitelny i k výpadku e-commerce a k ochromení některých platebních terminálů. Ve 14 h došlo ke druhé vlně útoků na weby České spořitelny. Čtvrtek 7. 3. – od cca 9:30 probíhá útok na servery dvou mobilních operátorů – Telefónica O2 a T-Mobile. Telefónica útok eliminuje okolo 10:00, T-Mobile okolo 11:00. Během útoku byly chvílemi nedostupné další služby, jako např. registr vozidel či web dpp.cz. Bylo hlášeno, že v době probíhajících útoků nebylo nějaký čas možné nakupovat SMS jízdenky MHD. Okolo 20 h je zjištěna nedostupnost webů České televize, podle posledních informací však jejich problémy s útokem nesouvisely. V pátek 8. 3. již nebyl pozorován ani hlášen žádný (D)DOS útok takového typu, že by znepřístupnil některý z často navštěvovaných a viditelných webů. Situace se pomalu uklidňovala jak na straně provozovatelů sítí, tak ve světě médií.
Charakteristiky útoků V průběhu útoků se obecně hovořilo o útocích typu DDOS (Distributed Denial of Service). V současné chvíli, kdy máme soustředěno velké množství informací a souvisejících dat, není zcela jasné, jestli útok byl opravdu typu DDOS nebo DOS. Většina útoků byla soustředěna na www služby. Většina toku při útocích přišla přes síť RETN (http://www.retn.net/en/). Ačkoliv napadené strany, ISP i CSIRT.CZ zkoušeli kontaktovat provozovatele této sítě, nepodařilo se nikomu získat relevantní pomoc HP Solutions #2
12/13
Příloha 2. (data, zablokování útočníků). Je přitom pravděpodobné, že RETN disponuje daty, která by mohla pomoci blíže specifikovat útočníka (MRTG grafy provozu, poměr odeslaných paketů vs. tok atd.) Při útocích byly použity mechanismy tzv. SYN Flood v kombinaci s podvrženou adresou (IP spoofing). Cílem takového útoku je zahltit stroj, na který je útok veden, nebo jeho síťovou infrastrukturu (např. firewall na předřazeném zařízení) a vyčerpat jejich systémové zdroje. Další použitá verze útoku spočívala v přidání techniky „odražení“ (bounce traffic). Celý (D)DOS útok pak vypadal tak, že útočící stroje emitovaly velké množství paketů s podvrženou zdrojovou adresou. Jako zdrojová adresa byla použita IP adresa stroje, na který byl veden útok. Pakety byly poslány na jiné stroje, které ale komunikaci vracely na podvrženou zdrojovou adresu. Tato technika založená na emitaci velkého množství paketů s podvrženými zdrojovými adresami a za využití techniky odražení útok ještě více zesílí.
Průběh řešení situace Od pondělí 4. 3. odpoledne se na tým CSIRT.CZ začali obracet provozovatelé sítí a služeb, na které bylo útočeno, se žádostmi o pomoc, spolupráci a výměnu informací. Myslíme si, že správci v napadených sítích svou roli zvládali dobře, takže nedostupnosti jednotlivých webů byly v řádech jednotek hodin. Jako profesionální se nám jeví přístup ISP, přes které byly napadené weby připojeny. Poskytovali podporu napadeným sítím a byli schopni nasadit efektivní metody obrany. Zdá se pravděpodobné, že nedostupnost webů byla způsobena chybami v konfiguraci a nedostatečně dimenzovanými síťovými prvky a servery samotnými. Oceňujeme především schopnost a ochotu všech zainteresovaných subjektů komunikovat, sdílet zkušenosti, informace a doporučení. V průběhu nejsilnějších útoků proti České spořitelně ve středu 6. 3. byla zformována pracovní skupina složená z odborníků z organizací CZ.NIC (CSIRT.CZ), CESNET, GTS a České spořitelny a bylo zrealizováno ad-hoc videokonferenční setkání. Na tomto setkání skupina diskutovala aktuálně probíhající útoky, analyzovala provoz a hledala a testovala nejefektivnější způsob obrany. Tato pracovní skupina zůstala v pohotovosti i v průběhu čtvrtka a pátku. Další pracovní skupina byla zřízena přímo na půdě CZ.NIC a sestávala ze členů týmu CSIRT.CZ, správců sítě CZ.NIC a PR pracovníků. Ta obstarávala komunikaci (v rámci procesu incident handling) s provozovateli sítí a služeb, sběr a sdílení informací, dat a zkušeností, komunikaci s pracovní skupinou síťařů, NBÚ (Národním centrem kybernetické bezpečnosti), bezpečnostními složkami, zahraničím a komunikaci s médii. Ve čtvrtek se na CSIRT.CZ začali obracet pracovníci společností a organizací, které měly obavu, jestli nebudou dalším cílem útoku (např. PRE, ČEPS) a žádali o informace a spolupráci. Jim jsme předali základní informace o útocích a také jsme dohledávali jejich poskytovatele připojení a tranzitní operátory, aby jak oni, tak my byli připravení a věděli, na kterého ISP se případně obrátit.
Technická doporučení Metod a technologií pro obranu před (D)DOS útoky je celá řada, ale obvykle je potřeba jich zkombinovat několik, nelze se spolehnout pouze na jednu. Na úrovni síťové infrastruktury hovoříme o obraně pomocí RTBH (remotely triggered black hole filtering), použití tzv. Load Balancer zařízení, zařízení typu Scrubber
HP Solutions #2
13/13
Příloha 2. (čističky, kde se oddělí většina špatného provozu od dobrého), prefix-listy (omezení propagace AS), ratelimity, access listy na síťové vrstvě, firewall, IDS, IPS apod. Zajištění dostupnosti konkrétní služby může být dále zvýšeno posílením robustnosti celé architektury za použití technologie anycast, DNS round-robin, které zajistí rozklad zátěže mezi více strojů se shodným obsahem apod. Dalším krokem pak může být umístění serverů poskytujících jednu službu do více sítí. Jakékoliv rozhodování o architektuře služby a související síťové infrastruktury by ale vždy mělo jít ruku v ruce s rozvahou, do jaké míry se obrana vyplatí. Při tomto rozhodování hraje roli charakter služby a její kritičnost pro uživatele. V rámci bezpečnostního týmu CZ.NIC bylo v průběhu týdne útoků postaveno řešení, které je schopno vygenerovat tok o síle cca deseti miliónů packetů za vteřinu, tedy několikrát více, než kolik bylo emitováno v proběhlých útocích. V současné době je toto řešení používáno pro testování vlastní infrastruktury CZ.NIC. Zároveň bylo nabídnuto jako nástroj pro bezplatné otestování infrastruktury dalším zájemcům.
Pozorování a poučení (D)DOS útoky vedené v období 4. 3. až 7. 3. vůči cílům v ČR měly poměrně slabý charakter, minimálně z pohledu ISP, kteří s útokem měli problém pouze ve vztahu ke koncovým sítím. Útok svou silou nijak neohrožoval chod páteřních sítí providerů a jejich infrastrukturu. Podle dostupných informací hovoříme o datových tocích do 1 Gbps (maximální zaznamenaný tok 1,5 mil. paketů za sekundu). Útoky způsobily problémy až v koncových sítích. Podle informací, které máme k dispozici, se ve většině případů útok ani k cílovému serveru nedostal, ale přetížil systém před – obvykle firewall, load balancer nebo podobné zařízení. Zcela nepopiratelně útoky odhalily řadu slabých míst v síťové architektuře koncových sítí. Série útoků byla dobře připravena – zajímavě zvolené a dobře „viditelné“ cíle, jejichž nedostupnosti si všimnou jak uživatelé, tak média, byly použity různé techniky útoků a jejich kombinace. Znalost prostředí potvrzuje i distribuce útoků mezi jednotlivé cíle – zatímco pondělní útok se zaměřil na více cílů, úterní směřoval proti jedinému cíli, u něhož se dalo očekávat, že robustnost jeho řešení bude větší než u zpravodajských webů. Podobně byl potom ve čtvrtečním útoku „vynechán“ třetí z mobilních operátorů – opět se lze domnívat, že útočník se rozhodl koncentrovat síly na menší počet cílů. Je tedy pravděpodobné, že za útoky stojí někdo s dobrou znalostí českého internetu.
Závěr Události prvního březnového týdne potvrdily jednu základní věc – správci sítí a služeb jak na úrovni ISP, tak na úrovni koncových sítí jsou schopni a ochotni efektivně spolupracovat a vyměnit si zkušenosti a některé informace. Převzato ze zprávy CZ.NIC, z.s.p.o. www.csirt.cz HP Solutions #2
14/13