Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Popis zraniteľností a škodlivého kódu

Špecializovaný útvar CSIRT.SK denne spracováva množstvo bezpečnostných udalostí. Naši zahraniční partneri nám nahlasujú možný výskyt zraniteľností na zariadeniach v IP adresnom priestore Slovenskej republiky.

Nasledujúci prehľad Vám pomôže zorientovať sa v nami zasielaných upozorneniach.

Hlásenie Kategória Závažnosť
B46* Detail Formát     malware     vysoká
B54* Detail Formát     citadel     vysoká
B58* Detail Formát     malware     vysoká
B68* Detail Formát     bots     vysoká
B85* Detail Formát     malware     vysoká
B106* Detail Formát     malware     vysoká
B157* Detail Formát     zeus     vysoká
botnet_chost Detail Formát     C&C     vysoká
botnet_proxy Detail Formát     proxy     stredná
bots Detail Formát     bots     vysoká
cc_ip Detail Formát     C&C     vysoká
citadel-b54 Detail Formát     citadel     vysoká
compromised_website Detail Formát     malware     vysoká
Conficker Detail Formát     bots     vysoká
cwsandbox_url Detail Formát     malware     vysoká
ddosreport Detail Formát     ddosreport     vysoká
defacement Detail Formát     defacement     nízka
Exploit-Pack Detail Formát     malware     vysoká
netis_router Detail Formát     scanners     stredná
phishing Detail Formát     phishing     vysoká
proxy Detail Formát     proxy     nízka
Rustock Detail Formát     bots     vysoká
sandbox_url Detail Formát     malware     vysoká
scan_chargen Detail Formát     scanners     nízka
scan_elasticsearch Detail Formát     scanners     stredná
scan_ipmi Detail Formát     scanners     stredná
scan_memcached Detail Formát     scanners     nízka
scan_mongodb Detail Formát     scanners     stredná
scan_mssql Detail Formát     scanners     nízka
scan_nat_pmp Detail Formát     scanners     nízka
scan_netbios Detail Formát     scanners     stredná
scan_ntp Detail Formát     scanners     vysoká
scan_portmapper Detail Formát     scanners     stredná
scan_qotd Detail Formát     scanners     nízka
scan_redis Detail Formát     scanners     stredná
scan_snmp Detail Formát     scanners     stredná
scan_ssdp Detail Formát     scanners     vysoká
scan_ssl_freak Detail Formát     scanners     stredná
scan_ssl_poodle Detail Formát     scanners     stredná
sinkhole Detail Formát     bots     vysoká
sinkhole_http_drone Detail Formát     bots     vysoká
spam_url Detail Formát     spam     nízka
virut Detail Formát     virut     vysoká
Waledac Detail Formát     bots     stredná
zbot Detail Formát     zeus     vysoká

Hlásenia o možnom výskyte bota - bots

Hlásenia o pravdepodobnom výskyte bota na IP adrese sú založené na zistení komunikácie so SinkHole serverom, ktorý slúži na odhaľovanie komunikácie v rámci botnetov. Infikované zariadenie spravidla slúži na vykonávanie rôznej škodlivej aktivity ako napríklad  podieľanie sa na útokoch DDoS, rozosielanie nevyžadanej pošty a i.

sinkhole* – z nahlásenej IP adresy bolo zaznamenané pripojenie na sinkhole server, ktorý monitoruje prevádzku niektorého botnetu. Zariadenie je pravdepodobne infikované botom alebo sa infikovalo prostredníctvom škodlivého odkazu.
Bližšie informácie o sinkhole serveroch sa nachádzajú napr. na:
http://resources.infosecinstitute.com/dns-sinkhole/

bots – zariadenie je pravdepodobne infikované botom a slúži ako „zombie“ v niektorom botnete. Táto informácia je väčšinou získaná pomocou monitorovania C&C serverov, “spam relays” a pod.

Conficker – botnet Conficker, ktorý je najznámejším červom a boli ním nakazené milióny PC v domácom, vládnom aj firemnom sektore. Vykonáva rôzne typy škodlivej aktivity podľa pokynov C&C servera (útočníka).
Ďalšie informácie sú uvedené napr. na:
https://www.sans.org/security-resources/malwarefaq/conficker-worm.php

Rustock – botnet Rustock. Tento škodlivý kód slúži najmä na rozosielanie SPAM správ, ale tiež ako rootkit.
Ďalšie informácie sú uvedené napr. na:
http://www.trendmicro.com/vinfo/us/threat-encyclopedi/amalware/rustock

B68-* – botnet Sirefef/Zero Access slúži na podvody s reklamami typu "pay per click" a manipuluje s výsledkami vyhľadávačov. Okrem toho poskytuje na infikovanom stroji backdoor pre útočníkov a môže sťahovať ďalší malvér.
Ďalšie informácie sú uvedené napr. na:
http://www.symantec.com/security_response/writeup.jsp?docid=2011-071314-0410-99

Waledac – botnet Waledac, prípadne Waled/Waledpak. Hlavným cieľom je rozosielanie SPAM správ. Je schopný tiež odchytávania prihlasovacích údajov.
Ďalšie informácie sú uvedené napr. na:
https://www.f-secure.com/v-descs/email-worm_w32_waledac_a.shtml

Hlásenia o možnom výskyte škodlivého kódu - malvéru

Naši zahraniční partneri nám tiež nahlasujú možný výskyt škodlivého kódu (malvéru) na zariadeniach  v IP adresnom priestore Slovenskej republiky. Tieto podozrenia na výskyt škodlivého kódu sú spracúvané na základe zistenia komunikácie zariadenia s IP adresou zo SR na SinkHole server(y), ktoré monitorujú prístup infikovaných zariadení k C&C severom botnetov.

B106-* – malvér rodiny B106. Tieto malvéry často slúžia na kradnutie citlivých údajov a informácií od používateľa, ale tiež umožňujú neoprávnený prístup k PC a inú škodlivú aktivitu.

B58-* – malvér Bamital. Tento malvér je schopný meniť dáta zobrazované vo webových prehliadačoch a výsledky vyhľadávačov. Taktiež môže presmerovávať používateľov na škodlivé webové stránky a vykonávať ďalšiu škodlivú aktivitu.
Ďalšie informácie sú uvedené napr. na:
https://www.microsoft.com/security/portal/threat/encyclopedi/aentry.aspx?Name=Win32%2fBamital

B93-* – malvér Caphaw. Caphaw je trójsky kôň, ktorý poskytuje útočníkom prístup a kontrolu nad infikovaným PC. Často sa šíri prostredníctvom služieb ako Facebook, Youtube a Skype.
Ďalšie informácie sú uvedené napr. na:
https://www.microsoft.com/security/portal/threat/encyclopedi/aentry.aspx?Name=Win32/Caphaw

B85-* - Malvér Dorkbot. Dorkbot sa zameriava na kradnutie prihlasovacích údajov online bankovníctva a tiež umožňuje zneužitie infikovaného zariadenia na útoky DDoS.
Ďalšie informácie sú uvedené napr. na:
https://www.us-cert.gov/ncas/alerts/TA15-337A

citadel-b54 / B54-* - Infekcia malvérom Citadel. Malvér sa zameriava na kradnutie prihlasovacích údajov do Internet bankingu a vykonáva nebezpečný útok "Man  in the Browser".
Ďalšie informácie sú uvedené napr. na:
https://blog.malwarebytes.org/intelligence/2012/11/citadel-a-cyber-criminals-ultimate-weapon

B46-* – malvér rodiny B46. Častým cieľom týchto malvérov je získanie prístupu k infikovanému zariadeniu pomocou backdoor-u a vykonávanie ďalšej škodlivej aktivity.

B157-* – malvér Gameover Zeus. Malvér GameOver Zeus je peer-to-peer variant bankového škodlivého kódu Zeus. Zameriava sa najmä na získavanie informácií a prihlasovacích údajov pre elektronické bankovníctvo.
Ďalšie informácie sú uvedené napr. na:
http://www.us-cert.gov/gameoverzeus

Exploit-Pack – na nahlásenej URL je podozrenie na umiestnenie škodlivého toolkitu (známe ako Exploit Pack alebo Exploit Kit) zameraného na zneužívanie zraniteľností systémov. Cieľom je kompromitácia zariadení používateľov, ktorí pristupujú na danú webovú stránku, a šírenie malvéru.
Ďalšie informácie sú uvedené napr. na:
http://www.trendmicro.com/vinfo/us/security/definition/Exploit-Kit

zbot – malvér Zbot/Zeus. Zeus je bankový Trojan, ktorý kradne bankové informácie z webových prehliadačov. Taktiež dokáže odchytávať stlačené klávesy a údaje z webových formulárov.
Ďalšie informácie sú uvedené napr. na:
http://www.symantec.com/security_response/writeup.jsp?docid=2010-011016-3514-99

virut – malvér Virut. Rodina škodlivých kódov „Virut“ slúži najčastejšie ako backdoor na otvorenie vzialeného prístupu a ovládanie infikovaného zariadenia.
Ďalšie informácie sú uvedené napr. na:
https://www.symantec.com/security_response/writeup.jsp?docid=2007-041117-2623-99

Odporúčania
V prípade výskytu škodlivého kódu odporúčame preskenovať potenciálne infikované zariadenia aktualizovaným antivírusovým riešením.
Na odstránenie infekcie je možné použiť niektorý z voľne dostupných nástrojov ako napríklad:
https://www.microsoft.com/security/pc-security/malware-removal.aspx
http://www.eset.com/us/support/download/tools-and-utilities/

Tiež je možné systém reinštalovať alebo obnoviť zo zálohy vytvorenej skôr ako bol systém infikovaný. Blokovanie komunikácie s IP adresou SinkHole servera prostredníctvom firewall-u nie je riešením a nezabráni škodlivému kódu v komunikácii s inými (skutočnými) C&C servermi.

Hlásenia o možnom výskyte C&C servera  - C&C

CSIRT.SK ďalej prijíma hlásenia o zariadeniach, o ktorých sa predpokladá, že fungujú ako riadiace a kontrolné servery botnetu (C&C). C&C servery sú ovládané útočníkmi a slúžia na riadenie infikovaných zariadení (botov), prípadne zber ukradnutých dát.

botnet_chost – Zariadenie komunikujúce prostredníctvom tejto IP adresy pravdepodobne vykonáva funkciu C&C servera pre botnet.

botnet_ccip – Zariadenie komunikujúce prostredníctvom tejto IP adresy pravdepodobne vykonáva funkciu C&C servera pre botnet. Spravidla sa jedná o C&C, ktoré na komunikáciu používajú protocol IRC.

Hlásenia o možnom výskyte zraniteľnosti - scanners

CSIRT.SK prijíma hlásenia o možnom výskyte zraniteľností na zariadeniach (IP adresách) v Slovenskej republike. Často sa jedná o služby, ktoré sú voľne dostupné z Internetu a môžu byť zneužité pri útokoch typu DDoS, prípadne sa jedná o dostupné manažovacie rozhrania.

scan_chargen – na zariadení bola zistená zraniteľnosť Chargen - umožňuje zneužitie zariadenia na DDoS útoky, kvôli voľne dostupnej službe CHARGEN na porte 19/UDP.
Ďalšie informácie o zraniteľnosti sú uvedené na:
https://kb.iweb.com/entries/51154726-Guide-to-Chargen-Amplification-Issues

scan_ipmi – na zariadení bola zistená zraniteľnosť IPMI - voľne dostupné manažment rozhranie IPMI (HP iLO, DELL iDRAC, ...).
Niektoré zraniteľné rozhrania je možné zneužiť na získanie kontroly nad daným zariadením. Pre overenie dostupnosti rozhrania je možné použiť príkaz „ipmitool –I lanplus –C 0 –H [ip] –U Administrator –P anypassword user list“ prípadne „ipmitool –I lan –v –A NONE –H [ip] –U Administrator –P anypassword user list“.
Ďalšie informácie o zraniteľnosti:
https://www.us-cert.gov/ncas/alerts/TA13-207A

scan_mssql – na zariadení bola zistená zraniteľnosť MSSQL - voľne dostupná služba MS-SQL Server Resolution Service, ktorá môže byť zneužitá na DDoS útok a tiež umožňuje získať informácie o systéme, na ktorom beží.

scan_netbios – na zariadení bola zistená zraniteľnosť NetBios, ktorá umožňuje zneužitie zariadenia na DDoS útoky,a to na základe voľne dostupnej služby NetBios. Pre overenie prítomnosti tejto zraniteľnosti je možné použiť príkaz "nbtstat -A [ip]".
Ďalšie informácie o zraniteľnosti sú uvedené na:
https://www.us-cert.gov/ncas/alerts/TA14-017A

scan_nat_pmp – na zariadení bola zistená zraniteľnosť NAT-PMP - voľne dostupná služba NAT Port Mapping Protocol.
Ďalšie informácie o zraniteľnosti sú uvedené na:
http://www.kb.cert.org/vuls/id/184540

scan_ntp – na zariadení bola zistená zraniteľnosť NTP, ktorá umožňuje zneužitie NTP servera na DDoS útoky.
Ďalšie informácie o zraniteľnosti sú uvedené na:
https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=84

scan_ssl_poodle – na zariadení bola zistená zraniteľnosť Poodle v SSL, ktorá umožňuje potenciálnemu útočníkovi dešifrovať časť komunikácie a ukradnuť reláciu.
Ďalšie informácie o zraniteľnosti sú uvedené na:
https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=123

scan_ssl_freak – na zariadení bola zistená zraniteľnosť Freak v SSL, ktorá umožňuje potenciálnemu útočníkovi dešifrovať komunikáciu pomocou použitia zraniteľných šifrovacích sád.
Ďalšie informácie o zraniteľnosti sú uvedené na:
https://freakattack.com

scan_snmp – na zariadení bola zistená zraniteľnosť SNMPv2, ktorá umožňuje zneužitie zariadenia na DDoS útoky, kvôli voľne dostupnej službe SNMP odpovedajúcej na community string "public".
Ďalšie informácie o zraniteľnosti sú uvedené na:
https://isc.sans.edu/forums/diary/SNMP+The+next+big+thing+in+DDoS+Attacks/18089/

scan_ssdp – na zariadení bola zistená zraniteľnosť SSDP, ktorá umožňuje zneužitie zariadenia na DDoS útoky, kvôli voľne dostupnej službe SSDP na porte 1900/UDP.
Ďalšie informácie o zraniteľnosti sú uvedené na:
https://www.stateoftheinternet.com/resources-web-security-threat-advisories-2014-ssdp-reflection-ddos-attacks-cybersecurity.html

scan_redis – na zariadení bola zistená zraniteľnosť Redis- voľne dostupné rozhranie služby Redis z Internetu. Služba môže byť potenciálne zneužitá na získanie prístupu na server.
Ďalšie informácie o zraniteľnosti sú uvedené na:
http://redis.io/topics/security

scan_mongodb – na zariadení bola zistená zraniteľnosť MongoDB - z Internetu voľne dostupná MongoDB NoSQL databáza.
Ďalšie informácie o zraniteľnosti sú uvedené na:
http://www.mongodb.org

scan_qotd – na zariadení bola zistená zraniteľnosť  QOTD – z Internetu voľne dostupná služba Quote of the Day (QOTD), ktorá umožňuje zneužitie zariadenia na DDoS útoky.

Ďalšie informácie o zraniteľnosti sú uvedené na:
https://kb.iweb.com/entries/78137966-Guide-to-QOTD-Amplification-Issues

netis_router – na zariadení bola zistená zraniteľná služba Netis Router-a na porte 53413/UDP voľne dostupná z prostredia Internetu.
Ďalšie informácie o zraniteľnosti sú uvedené na:
http://blog.trendmicro.com/trendlabs-security-intelligence/netis-routers-leave-wide-open-backdoor/

scan_elasticsearch – na zariadení bola zistená zraniteľnosť Elasticsearch – voľne dostupná služba Elasticsearch, ktorá nepodporuje autentifikáciu, umožňuje prístup do úložiska.
Ďalšie informácie o službe sú uvedené na:
https://www.elastic.co/products/elasticsearch

scan_memcached – na zariadení bola zistená zraniteľnosť Memcached – voľne dostupná služba Memcached „key-value“ úložiska z Internetu bez nutnosti autentifikácie.
Bližšie informácie o službe sú uvedené na:
http://memcached.org/

scan_portmapper -na zariadení bola zistená zraniteľnosť služby Portmapper, ktorá umožňuje zneužitie na DDoS útoky a tiež získavanie informácií o systéme, na ktorom beží. Pre overenie je možné použiť príkaz  „rpcinfo –T udp –p [ip]”.

Hlásenia o pravdepodobnom zneužití zariadenia na DDoS útok - ddosreport

Nahlasovaná IP adresa bola zneužitá pri útoku DDoS. Do týchto typov útokov sú najčastejšie zapojené zariadenia, ktoré poskytujú voľný prístup z Internetu k službám založeným na protokole UDP (DNS, NTP a pod.). Prípadne sa môže jednať o infekciu škodlivým kódom. Vtedy je útok vykonaný na základe príkazov útočníka kontrolujúceho daný botnet.

Hlásenia o zmene vizuálnej podoby webovej stránky - defacement

Tieto hlásenia obsahujú URL adresy web stránok, pri ktorých bola externými systémami zistená nežiaduca zmena vizuálnej podoby webu v dôsledku útoku typu defacement. Útočníci zvyčajne nahradia pôvodný obsah ich vlastným. Tento spôsob je obľúbený u  hacktivistov, prípadne iných politicky motivovaných skupín. Pri kompromitácii sú často zneužívané zraniteľnosti redakčných systémov alebo ich pluginov.

Hlásenia o pravdepodobne škodlivých webových stránkach

Prijímané hlásenia obsahujú informácie o webových stránkach, ktoré vo svojom kóde obsahujú podozrivé časti, ktoré môžu byť škodlivé. Môže sa jednať o kompromitáciu s cieľom umiestnenia škodlivého kódu (malvéru), prípadne o vykonávanie inej škodlivej aktivity. "Zdravie" stránky si môžete overiť pomocou online služieb ako napríklad www.virustotal.com alebo https://csi.websense.com/.

compromised_website – kompromitácia webovej stránky, ktorá môže byť použitá na vykonávanie rôznej škodlivej aktivity ako napríklad presmerovanie používateľov na Exploit-kity, rozosielanie SPAM správ. Taktiež je možné, že systém obsahuje aj ďalšie infekcie, ktoré nie sú zahrnuté v hlásení.

sandbox_url / cwsandbox_url – hlásenie URL odkazu, ktorý bol identifikovaný počas analýzy škodlivých spustiteľných súborov v rôznych sandbox systémoch našich partnerov.

Hlásenia o podvodných stránkach – phishing

Na nahlasovaných URL odkazoch sú pravdepodobne umiestnené podvodné stránky s cieľom získavať od používateľov prihlasovacie údaje do elektronických služieb ako napr. webmail, internetové bankovníctvo a iné.

Hlásenia o voľne dostupných proxy serveroch

Prijaté hlásenia sa týkajú zariadení s voľne prístupnou službou proxy, ktorá umožňuje potenciálnemu útočníkovi maskovanie škodlivej aktivity za IP adresu proxy servera. V prípade, že takúto službu vo Vašej sieti potrebujete, je odporúčané zabezpečiť ju pomocou prihlasovania menom a heslom.

proxy – nahlasované zariadenia pravdepodobne funguje ako proxy server voľne dostupný z Internetu.

botnet_proxy – častým spôsobom využitia botnetu je nainštalovanie a využívanie služby proxy na infikovaných zariadeniach. 

Hlásenia o rozosielaní nevyžiadanej pošty – spam

Tieto hlásenia obsahujú adresy a URL odkazy spojené s rozosielaním nevyžiadaných správ (SPAM).

spam_url – pri analýze SPAM správ bol nájdený odkaz smerujúci na nahlasovanú IP adresu, resp. odkaz. Vzhľadom na to, že odkazy nie sú žiadnym spôsobom filtrované, môžu sa tu nachádzať false-positive hlásenia.