Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach w 2016 oczami CERT Polska

55 views

Published on

YouTube: https://www.youtube.com/watch?v=Zp-5eeiGgRo&list=PLnKL6-WWWE_VNp6tUznu7Ca8hBF8yjKj2&index=41

Published in: Technology
  • Be the first to comment

  • Be the first to like this

PLNOG 18 - Przemysław Jaroszewski - Zagrożenia w (głównie) polskich sieciach w 2016 oczami CERT Polska

  1. 1. Zagrożenia w (głównie) polskich sieciach oczami CERT Polska PRZEMEK JAROSZEWSKI CERT POLSKA / NASK PLNOG18, WARSZAWA, 6 MARCA 2017
  2. 2. Czym jest CERT Polska?  Od 1996 pomagamy polskim użytkownikom Internetu i użytkownikom polskiego Internetu  Prowadzimy działalność badawczą w zakresie metod wykrywania incydentów, analizy złośliwego oprogramowania i systemów wymiany informacji o zagrożeniach  Aktywnie współpracujemy z innymi zespołami CSIRT w kraju i zagranicą, pełniąc rolę de facto CSIRT krajowego, a od 2017 reprezentując Polskę w CSIRT Network  Część instytutu badawczego NASK (rejestr domeny .pl)  Od połowy 2016 roku część pionu NC Cyber
  3. 3. Czym jest NC Cyber?  Pion w NASK, w skład którego wchodzą m.in. CERT Polska, dyżurnet.pl, Dział Rozwoju, Polityk i Standardów  Działanie w trybie 24/7  Współpraca z partnerami na podstawie trójstronnych porozumień z MC i NASK oraz umów szczegółowych  Gotowość do przyjęcia zadań związanych z analizą i koordynowaniem incydentów – przede wszystkim o charakterze międzysektorowym i międzynarodowym  Gotowość do tworzenia obrazu sytuacyjnego i wkładu do analizy ryzyka dla organów państwa odpowiedzialnych za reagowanie kryzysowe
  4. 4. Co ciekawego w 2016? root:xc3511 root:vizxv root:admin admin:admin root:888888 root:xmhdipc root:default root:juantech root:123456 root:54321 support:suport root: admin:password root:root root:12345
  5. 5. Mirai  Bot napisany w C pod Linux/BusyBox + C&C w Go  Skanuje internet w poszukiwaniu urządzeń z domyślnymi danymi dostępowymi (telnet, porty tcp 23, 2323, 23231, …)  Główne cele: kamery, rejestratory wideo, routery  Wykorzystywany do DDoS (w tym „as a service”)  potwierdzone wolumeny 600-1000 Gbps  nietypowe rodzaje ataków (DNS Water Torture, GRE Flood, TCP STOMP)  wśród ofiar m.in. Brian Krebs, OVH, Dyn  Kod upubliczniony pod koniec września 2016
  6. 6. Miara Liczba unikalnych adresów IP dobowo Mediana 6970 Maksimum 14054 Lp. ASN Nazwa operatora Średnia liczba botów dziennie 1 5617 Orange Polska S.A. 4141 2 12741 Netia S.A. 934 3 8374 Polkomtel sp. z o.o. 218 4 21021 Multimedia Polska S.A. 211 5 12912 T-MOBILE POLSKA S.A. 164 6 29314 VECTRA S.A. 110 7 43939 Internetia Sp.z o.o. 71 8 20960 TK Telekom sp. z o.o. 64 9 16342 Toya sp.z.o.o 48 10 35191 ASTA-NET S.A. 46
  7. 7. TR-064/TR-069  W listopadzie 2016 zmodyfikowany kod Mirai został wykorzystany do stworzenia bota skanującego TR-064 w poszukiwaniu routerów podatnych na nowo wykryte RCE  Podatne wiele modeli routerów, dystrybuowanych w wielu krajach  W samym tylko niemieckim T-Mobile potwierdzone 900 tysięcy podatnych urządzeń klienckich (Zyxel)
  8. 8. Po co to wszystko?  Boty na przejętych routerach to świetne źródło anonimowości dla przestępców!  trudne do wytropienia źródło spamu  SOCKS proxy wykorzystywane przy kradzieży pieniędzy (obejście mechanizmów kontrolnych banków!)  wykorzystanie fast-flux i proxy do zarządzania infrastrukturą botnetu
  9. 9. Avalanche  Infrastruktura „bullet-proof” dla dostarczania treści i zarządzania botnetami, działająca w technologii „double fast-flux”  Działająca co najmniej od 2009  Wykorzystywana przez ponad 20 rodzin złośliwego oprogramowania do wysyłki spamu, obsługi ransomware, phishingu itp.  W jej skład wchodziło m.in. kilkaset tysięcy nazw domenowych w ponad 60 rejestrach  Wiele algorytmów DGA  Dobrze zorganizowane sieci słupów
  10. 10. Avalanche  Infrastruktura „bullet-proof” dla dostarczania treści i zarządzania botnetami, działająca w technologii „double fast-flux”  Działająca co najmniej od 2009  Wykorzystywana przez ponad 20 rodzin złośliwego oprogramowania do wysyłki spamu, obsługi ransomware, phishingu itp.  W jej skład wchodziło m.in. kilkaset tysięcy nazw domenowych w ponad 60 rejestrach  Wiele algorytmów DGA  Dobrze zorganizowane sieci słupów
  11. 11. Zamknięcie Avalanche  30 listopada 2016 w wyniku czteroletniego śledztwa, w które zaangażowane były organy ścigania w 3 krajach, DoJ, FBI, Europol i dziesiątki partnerów przeprowadzono skoordynowaną akcję, której wynikiem było:  5 zatrzymań  37 przeszukań  39 zatrzymanych serwerów  221 serwerów wyłączonych przez dostawców  ponad 800 000 domen przejętych, zablokowanych lub sinkhole’owanych
  12. 12. Avalanche w PL Tinba XSWkit/Gootkit Bolek Goznym/ISFB Nymaim Rovnix Andromeda 19 718 9 633 8 939 7 820 7 276 6 550 2 210 Nick Youngson – http://nyphotographic.com
  13. 13. ISFB Źródło: zaufanatrzeciastrona.pl
  14. 14. Pravyi Sektor @PolishClubBos Ukrainian nationalists broke into the major TV and internet provider https://t.co/9snF5gwmIC — Lemberg (@noskovfurs1994) July 7, 2016
  15. 15. Wykradzione dane z PRISM
  16. 16. Sowy nie są tym, czym się wydają? „PRISM” ISFB
  17. 17. Trochę statystyk z PL
  18. 18. Otwarte rekursywne serwery DNS
  19. 19. Jeszcze trochę statystyk…
  20. 20. Więcej danych w n6  Hurtownia danych z sinkhole’i, honeypotów, skanerów, blacklist i in.  Właściciele sieci dostają informacje o swoich sieciach  Dane udostępniane po HTTPS przez REST API w wielu formatach, uwierzytelnienie certyfikatem klienckim  Warunkiem dołączenia jest własny AS lub sieć co najmniej /29  Więcej informacji: http://n6.cert.pl/
  21. 21. Zapraszamy do kontaktu  web: www.cert.pl, n6.cert.pl  mail: info@cert.pl  twitter: @CERT_Polska, @CERT_Polska_en  facebook: fb.com/CERT.Polska  youtube: CERTPolska  Przemek.Jaroszewski@cert.pl

×