Botnet. Stručná charakteristika



Podobné dokumenty
Informační a komunikační technologie. 1.5 Malware

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) / Mac OS X 10.5, 10.6 / Linux (RPM, DEB) Stručná příručka

PB169 Operační systémy a sítě

Obrana sítě - základní principy

Výukový materiál zpracovaný v rámci projektu CZ.1.07/1.4.00/ , Modernizace výuky

PRO MAC. Rychlá uživatelská příručka. Klikněte sem pro stažení nejnovější verze příručky

F-Secure Anti-Virus for Mac 2015

Základní zabezpečení. Ing. Radomír Orkáč , Opava.

ESET CYBER SECURITY pro Mac Rychlá příručka. Pro stáhnutí nejnovější verze dokumentu klikněte zde

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Stručná příručka

Bezpečnost počítače tače e a dat

ESET NOD32 ANTIVIRUS 7

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Základní zabezpečení. Ing. Radomír Orkáč , Ostrava.

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

CZ.1.07/1.5.00/

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Bezpečnostní rizika chytrých spotřebičů a Internetu věcí

TRANSPORTY výbušnin (TranV)

ESET NOD32 ANTIVIRUS 6

Zabezpečení v síti IP

Audit bezpečnosti počítačové sítě

ESET NOD32 ANTIVIRUS 8

InBiz VŠECHNO, CO JE MOŽNÉ

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

ESET SMART SECURITY 7

Základní bezpečnost. Ing. Radomír Orkáč VŠB-TUO, CIT , Ostrava.

Škodlivý kód, útok na aplikace. Ing. Miloslav Hub, Ph.D. 5. prosince 2007

Internet Security Suite with Cloud Security. Instalační manuál

Kapitola 1: Začínáme...3

Instalace programu ProGEO


Next-Generation Firewalls a reference

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

CISCO CCNA I. 8. Rizika síťového narušení

Desktop systémy Microsoft Windows

Práce s ovými schránkami v síti Selfnet

Systémové požadavky Xesar

DNS provoz 150k přípojek Česká republika a Slovensko Různé typy připojení uživatelů

Chyby v prohlížečích, které v nich byly klidně deset let. Jiří Nápravník

Systémové nástroje ve Windows XP výběr nejdůležitějšího

Bezpečnost v ICT Anotace V souboru typu pdf uzpůsobenému k promítání jsou uvedeny informace o. Jazyk Autor. Firewall, záloha dat, antivir, zcizení dat

Malware. počítačové viry, počítačové červy, trojské koně, spyware, adware

ESET NOD32 ANTIVIRUS 9

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Komunikace s automaty MICROPEL. správa systému lokální a vzdálený přístup do systému vizualizace, umístění souborů vizualizace

Střední odborná škola a Střední odborné učiliště, Hořovice

Proč prevence jako ochrana nestačí? Luboš Lunter

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Bezpečnostní rizika chytrých spotřebičů a Internetu věcí

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Zabezpečení kolejní sítě

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Turris Omnia: jak lovit hackery

Technická specifikace

Pohledem managementu firmy.

Desktop systémy Microsoft Windows

Napadnutelná místa v komunikaci

Vzdálené připojení do sítě UP pomocí VPN

VAKCÍNA PROTI RANSOMWARE & ŘEŠENÍ PROTI ANTIVIROVÝM BOUŘÍM. René Pospíšil IS4 Technologies Country Partner CZ/SK

VY_32_INOVACE_IKTO2_1960 PCH

ESET SMART SECURITY 6

ESET SMART SECURITY 9

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

2. Nízké systémové nároky

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě Systém pro přenos souborů protokol FTP

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

Windows 2008 R2 - úvod. Lumír Návrat

Administrace služby - GTS Network Storage

Aktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě

Léta devadesátá 11 Za všechno může Internet 12 Historie se opakuje 13

KLASICKÝ MAN-IN-THE-MIDDLE

ESET INTERNET SECURITY 10

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

ESET SMART SECURITY PREMIUM 10. Microsoft Windows 10 / 8.1 / 8 / 7 / Vista

Stručný návod pro nastavení routeru COMPEX NP15-C

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Platební systém XPAY [

Jen technická ochrana nestačí. Ing. Jindřich Hlaváč, CISA DCIT, a.s.,

Vývoj Internetových Aplikací

MANUÁL K PROGRAMU EKV verze 1.4

ESET NOD32 Antivirus. pro Kerio. Instalace

Postup stažení a instalace elektronického certifikátu ke službě ČP INVEST online plus pro Mozilla Firefox

Monitorování datových sítí: Dnes

Uživatel počítačové sítě

SSL Secure Sockets Layer

Firewall. DMZ Server

F-Secure Mobile Security for Windows Mobile

PC detektiv Instalace AWEDBA Archivace Obnova z archivace AWEDBA

Inovace výuky prostřednictvím šablon pro SŠ

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Bezpečnostní rizika spojená s platebními službami

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, SDM600 Stručný popis a reference.

SMĚRNICE Bezpečnost počítačové sítě a ochrana osobních údajů

ESET SMART SECURITY 10

F-Secure Mobile Security for S60

Příklad druhý, Politika používání mobilních PC (mpc)

Transkript:

Chtěli bychom Vás informovat jako osobu odpovědnou za informační bezpečnost o pravděpodobně infikovaných strojích ve Vaší kompetenci. Důvodem proč Vás kontaktujeme je komunikace IP adres(y) se sinkhole serverem, který zaznamená přístup k C&C. Uvedené domény, které byly kontaktovány jsou/byly spojovány s botnetem Dorkbot. Proto vzniklo podezření na možnou infekci tímto malwarem. Stručná charakteristika Patří do skupiny škodlivých kódů, které zprostředkují útočníkovi přístup a kontrolu nad napadeným strojem. Mezi základní funkce patří krádež hesel (Facebook, Twitter, ), sběr informací a distribuce dalšího malware na již kompromitovaném stroji. Dorkbot se může šířit pomocí sociálních sítí, SPAMu, vyměnitelných médií a exploit kitů. Jakmile je nainstalován brání v činnosti bezpečnostnímu software, blokováním přístupu k aktualizacím. Zároveň se připojí na IRC server a očekává další instrukce. Jednou z hlavních schopností tohoto malware je distribuce dalšího malware na již nakažený stroj. Může se jednat o malware umožňující provádění DDoS útoků nebo rozesílání SPAMu Botnet Základní struktura Botnetu se skládá ze dvou částí. Řídící servery (Command & Control) a koncové uzly. Koncový uzel je zpravidla infikován nějakým druhem malwaru. Zároveň se snaží v pravidelných intervalech kontaktovat C&C server(y). Botnet může sloužit k ro-zesílání SPAMu, rozšiřová-ní virů, DDoS útokům a jiným druhům počítačové kriminality. Více informací o jednotlivých variantách tohoto botnetu naleznete na konci tohoto dokumentu. 1

Pro odstranění možné nákazy můžete použít například nástroj MSRT (Malicious Software Removal Tool), který je ke stažení zde: http://www.microsoft.com/security/pc-security/malware-families.aspx. Nástroj je dostupný na platformě Windows (Windows 2000, Windows XP, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 a Windows Server 2012). Pomáhá odstranit malware a jiné nalezené infekce, jmenujme například: Bamital, Caphaw, Conficker, Kelihos, Nitol, Rustock, Simda, Waledac, Zbot a další. Eventuálně doporučujeme úplnou kontrolu stroje antivirovým SW s nejnovější virovou databází. Doporučujeme vždy aktualizovat operační systém, tj.: zapnutý Windows Update, personální firewall a také aktuální verzi antivirového software s aktuální virovou databází. Nezapomeňte také pravidelně aktualizovat veškerý software nainstalovaný na počítači. V případě jakýchkoli otázek nebo nejasností nás neváhejte kontaktovat na adrese: cert.incident@nbu.cz. Zároveň bychom Vás chtěli požádat o informace jak jste postupovali při identifikaci, odstranění a prevenci případné budoucí nákazy. Prosíme o zaslání informací i v případě, že uvedené stroje nebyly nákaze vystaveny. 2

Soubory jsou ve formátu CSV. Soubor ip.csv obsahuje základní údaje pro každý infikovaný počítač a má následující strukturu: Pole Jméno Popis 0 Id Identifikátor 1 Ip_address IP adresa 2 Threat Jméno botnetu 3 Latitude Zeměpisná šířka 4 Longtitude Zeměpisná délka 5 Constituency Organizace, pod kterou spadá IP 6 State Označení státu 7 Whois name Jméno uvedené v WHOIS DB 8 Whois descr Popis uvedený v WHOIS DB 3

Soubor raw.csv obsahuje veškeré pokusy o připojení infikovaného počítače k C&C a má následující strukturu: Pole Jméno Popis 0 Id Identifikátor 1 SourcedFrom Informace SinkHole 2 FileTimeUtc Časová známka zprávy odpovídá lokální časové zóně 3 Botnet Jméno botnetu 4 SourceIp Zdrojová IP adresa 5 SourcePort Zdrojový port 6 SourceIpAsnNr Číslo ASN pod které spadá IP adresa 7 TargetIp Cílová IP adresa 8 TargetPort Cílový port 9 Payload Obsah zprávy 10 SourceIpCountryCode Označení státu 11 SourceIpRegion Označení regionu 12 SourceIpCity Označení města 13 SourceIpPostalCode Směrovací číslo 14 SourceIpLatitude Zeměpisná šířka 15 SourceIpLongitude Zeměpisná délka 16 SourceIpMetroCode Další informace o zdrojové IP 17 SourceIpAreaCode Další informace o zdrojové IP 18 HttpRequest Požadovaná HTTP adresa 19 HttpReferrer HTTP hlavička 20 HttpUserAgent Použitý prohlížeč 21 HttpMethod HTTP metoda 22 HttpVersion HTTP verze 23 HttpHost HTTP host hlavička 24 Custom Field 1 R2: příkaz password, který předcházel druhému pakeku poslaným stejným klientem. 25 Custom Field 2 R2: msg v hex (max. 50 bytes) 26 Custom Field 3 R2S: tři pole (SSL session ID, velikost paketu 1, velikost paketu 2); R2V: dva pakety (velikost paketu 1, velikost paketu 2) 27 Custom Field 4 R1: heslo; R2: nickname 28 Custom Field 5 R1: msg v hex; R2: msg v hex 29 Threat Confidence High / Medium / Low / Informational / None Hodnota pole Ip_address odpovídá hodnotě v poli SourceIp. Stejně tak si odpovídají pole Threat. 4

Označení B85-R1V B85-R1S B85-R2V B85-R2S Popis Záchyt první zprávy nešifrovaná komunikace. Čtyř písmena, zpravidla PASS následované mezerou a unikátním heslem botnetu. Záchyt první zprávy šifrovaná komunikace. Čtyř písmena, zpravidla PASS následované mezerou a unikátním heslem botnetu. Záchyt druhé zprávy nešifrovaná komunikace. Může obsahovat některé informace: a) nickname příkaz (NICK nebo KCIK nebo SSRR) např. NICK steve nebo KCIK joe b) identifikaci OS (např. XPa, W7a, ) c) unikátní 7 znakový řetězec generovaný infikovanou stanicí Záchyt druhé zprávy šifrovaná komunikace. Může obsahovat některé informace: a) nickname příkaz (NICK nebo KCIK nebo SSRR) např. NICK steve nebo KCIK joe b) identifikaci OS (např. XPa, W7a, ) c) unikátní 7 znakový řetězec generovaný infikovanou stanicí 5