Situationsbillede af sikkerhedstilstanden på internettet. April Center for Cybersikkerhed

Transkript

1 Situationsbillede af sikkerhedstilstanden på internettet April 2013 Center for Cybersikkerhed Situationsbillede af sikkerhedstilstanden på internettet Indledning Situationsbillede for den danske del af internettet DDoS-angreb i Danmark Brobot et eksempel på DDoS SSHD rootkit Målrettede angreb Danmark som angrebsplatform...7 1/8

2 1. Indledning Dette situationsbillede fra GovCERT ved Center for Cybersikkerhed (CFCS) er primært henvendt til it- og sikkerhedsansvarlige, og formuleringerne forudsætter derfor en vis teknisk viden hos læseren. Situationsbilledet kan bruges til at danne et overblik over aktuelle cybertrusler. Det er på den baggrund muligt for systemejerne at vurdere, om det sikkerhedsniveau, der er implementeret, er passende i forhold til CFCS observationer i den forløbne periode. 2. Situationsbillede for den danske del af internettet CFCS udarbejder efter behov et situationsbillede for det, som man kan kalde den danske del af internettet, dvs. informationer om hændelser på de forbindelser, som en række danske virksomheder og myndigheder har til internettet. Disse informationer sammenholdes med informationer fra andre kilder, både fra indland og udland, med henblik på at skabe et afbalanceret, verificerbart situationsbillede. Der sker til stadighed angreb på informationssystemer, der er tilsluttet internettet. Angrebene kan for eksempel være: Simpel rekognoscering Rekognoscering som forberedelse til APT angreb Målrettede angreb, der er i stand til at omgå opdaterede antivirus-programmer Denial of service angreb (DDoS) CFCS' situationsbillede beskriver de angrebstyper, som siden udsendelsen af seneste situationsbillede i januar 2013 har været dominerende. 3. DDoS-angreb i Danmark I løbet af første kvartal 2013 har CFCS observeret en stigning i antallet af DDoS-angreb mod hjemmesider i Danmark. I den forbindelse har CFCS i samarbejde med relevante danske partnere analyseret de nærmere omstændigheder omkring angrebene, bl.a. for at klarlægge, om der er en sammenhæng f.eks. på IP-adresser, metoder, tidspunkter osv. DDoS-angrebene er konstateret mod flere mediehuse samt andre private og offentlige virksomheder. CFCS har været i kontakt med nogle af de angrebne virksomheder. I den indledende undersøgelse har CFCS også rettet henvendelse til andre virksomheder for at høre, om de har observeret/oplevet noget tilsvarende, men ingen af dem har detekteret DDoS-angreb. CFCS er interesseret i at høre fra virksomheder og institutioner, der har været udsat for DDoS- angreb, men som ikke tidligere har orienteret CFCS herom. 2/8

3 Observationer i forbindelse med angrebene På baggrund af de hidtil modtagne oplysninger har CFCS observeret følgende: Typisk har et angreb haft en varighed på ca. 2 timer, fordelt på forskellige tidspunkter af døgnet, men oftest uden for normal arbejdstid i Danmark, typisk sen aften eller tidlig morgen. Kapaciteten af angrebene har været ca. 3 Gbit/s. Angrebene er både startet og stoppet meget brat. Et andet kendetegn er, at der er tale om et meget stort antal SYN-pakker, hvilket betyder at angrebet ikke har optaget særlig meget båndbredde. Konsekvensen har været, at de bagvedliggende hjemmesider ikke har været væsentligt påvirket under angrebet. Nedenstående figur viser, hvordan belastningen har været under et angreb. Det er et karakteristisk billede fra flere af de angrebne virksomheder. Den grønne kurve viser den fulde trafik før filtrering af angrebstrafikken (den violette er efter filtrering). På baggrund af de logdata, som CFCS har modtaget fra en virksomhed, har det været muligt at vise følgende typiske eksempel på et DDoS-angreb af ca. 2 timers varighed: 3/8

4 Flere af de ramte virksomheder har anmeldt hændelserne til politiet. CFCS opfordrer til, at virksomheder og myndigheder, der rammes af DDoS-angreb, konsekvent foretager politianmeldelse. DDOS-angreb som led i en protest I april måned blev KL s og visse politiske partiers hjemmesider udsat for DDoS-angreb som led i den igangværende arbejdsmarkedskonflikt. Angrebene viser, at virksomheder og myndigheder generelt må påregne, at den internetvendte it-infrastruktur udsættes for DDoS-angreb som led i en politisk protest. I april måned blev en server relateret til NemID's infrastruktur også udsat for et DDoS-angreb af en gruppe, der kalder sig DanishLulzTeam, angiveligt for at demonstrere, at NemID's tilgængelighed kan påvirkes af denne type angreb. Angrebet er anmeldt til politiet. Forespørgsel til ISP er i Danmark Der har også været rettet henvendelse til danske ISP er for at afklare, om ISP erne har oplevet unormal trafik omkring de perioder, hvor rapporterne om DDoS-angrebene har fundet sted. De tilbagemeldinger, som CFCS har modtaget, lyder alle på, at der ikke er observeret noget ud over det sædvanlige. Dette skyldes primært, at kapaciteten i backbone netværkerne og trafikudvekslingspunkterne er så stor, at et DDoSangreb af denne størrelse drukner i trafikken. Det er hos kunderne, at effekten mærkes. Det er muligt for kunder at tilkøbe et DDoS-værn hos mange ISP'er og dermed inden for visse begrænsninger imødegå effekten af denne form for angreb. 4. Brobot et eksempel på DDoS I efteråret 2012 blev flere amerikanske finansielle institutioner udsat for DDoS-angreb. Det var planlagte og fokuserede angreb, der blev annonceret før gennemførelsen. Mange kompromitterede PHP web-applikationer blev brugt som bots i angrebene. Derudover blev mange WordPress sites, ofte gennem forældede TimThumb plugins, kompromitteret, ligesom mange Joomla og andre PHP-baserede applikationer også blev kompromitteret. Webservere, som ikke er vedligeholdt eller 4/8

5 som anvender software, som ikke er opdateret, er lette mål. Angriberne benyttede sig ofte af dem og uploadede forskellige PHP webshells, som derefter blev anvendt til yderligere at implementere andre angrebsværktøjer. Angriberne etablerede enten direkte forbindelse til kompromitterede webservere eller gennem mellemliggende servere, proxies eller scripts. Det mest anvendte værktøj var "Brobot", som også er blevet kaldt "itsoknoproblembro". Angrebsteknikken var en blanding af angreb på HTTP, HTTPS og DNS med en bred vifte af TCP, UDP, ICMP og andre IP-protokoller. Lidt usædvanligt blev der anvendt samtidige angreb med høj båndbredde mod flere virksomheder. Disse angreb har vist, hvorfor DDoS fortsætter med at være en så populær og effektiv angrebsvektor. Nogle af angrebene var på 60 Gbit/s. Det, der gør disse angreb så bemærkelsesværdige, er ikke deres størrelse, men det faktum, at angrebene er meget fokuserede og angriber flere mål samtidig, fra netværksinfrastrukturenheder til webapplikationer. Som CFCS beskrev i sit situationsbillede i januar 2013, har også danske hjemmesider leveret ufrivillig angrebskapacitet, og dette foregår stadig. CFCS anmoder løbende danske webhostingleverandører om at fjerne inficerede hjemmesider, og institutioner, virksomheder og private anbefales generelt at holde hjemmesider opdateret. Erfaringer DDoS er relativt lette at iværksætte, og imødegåelse af DDoS kræver forberedelse hos virksomheder og myndigheder. Det typiske perimeter-forsvar med firewalls og IPS er ikke effektivt, når det drejer sig om DDoS-angreb, fordi hver eneste enhed foran målet er en potentiel flaskehals. Disse enheder kan være en vigtig del af en forsvarsstrategi i dybden, men de blev designet med andre formål end at håndtere nutidens komplekse DDoS-trussel. For at kunne forsvare netværket i dag har virksomhederne behov for at implementere DDoS-sikkerhed i flere lag, fra netværksperimeteren til ISP ens backbone. Virksomheder bør i relation til DDoS-angreb som i forhold til andre cybertrusler indledningsvist foretage en risikovurdering og herunder overveje konsekvenserne ved en manglende adgang til hjemmesiden eller andre dele af IT-infrastrukturen i en periode. Der er ISP'ere i Danmark, der tilbyder DDoS-værn, og har man hjemmesider eller tjenester, der understøtter kritiske systemer, eller som af andre årsager har brug for en forstærket robusthed, bør denne mulighed overvejes. 5. SSHD rootkit CFCS observerer for tiden et særlig skadeligt SSHD rootkit på danske servere, som hovedsageligt rammer RPM-baserede Linux-distributioner. Rootkittet er skjult i et standardbibliotek, libkeyutils.so, som er blevet modificeret med en trojaner. Det kompromitterede bibliotek styrer en række funktioner, som anvendes til autentifikation i Linux. Herved kan rootkittet ændre SSHD dette sker i user-mode, da det ikke påvirker kernen. 5/8

6 På nuværende tidspunkt (medio april 2013) er det endnu ukendt, hvad den oprindelige angrebsvektor er. Det er uvist, hvordan angriberne får den root-adgang på de kompromitterede servere, som er nødvendig for at ændre det legitime libkeyutils-bibliotek til et bibliotek, som indeholder en trojaner. Internet Storm Center (ISC) har analyseret malwaren, og skriver i en udførlig analyse, at rootkittets primære funktion er at indsamle oplysninger om autentifikation af brugere på systemet og kan således stjæle både brugernavne og de tilhørende passwords. Samtidig forhindres logning hvilket giver angriberen mulighed for at holde så lav profil som muligt. Hvis angriberen bruger den hardcodede bagdør til at administrere rootkittet, vil der ikke blive genereret logs. Den nuværende version af rootkittet understøtter tre kommandoer: Xver, Xcat og Xbnd. Den første kommando udskriver blot rootkittets version, Xcat kommandoen afleverer de indsamlede brugernavne/passwords til angriberen, mens Xbnd kommandoen gør det muligt for hackeren at opsætte en listener. Desuden kan rootkittet automatisk sende indsamlede oplysninger til angriberen. Dette gøres ved at skabe uskyldigt udseende domænenavne i.biz,.info og.net domæner (i nævnte rækkefølge). Rootkittet vil derefter sende en DNS-pakke, der indeholder de indsamlede oplysninger, til den angivne IP-adresse, hvis domænet er blevet registreret af angriberen. Hvis domænet ikke er blevet registreret, sendes DNS-pakken til den hard-codede IP-adresse, der i alle kendte versioner er Rootkittet ligner meget Ebury trojanen, der blev opdaget i Angiveligt er en stor del af koden blevet direkte kopieret, men Ebury trojaneren ændrede hele SSHD og krævede derfor, at angriberen ændrede selve SSHD. Det var derfor nemmere at opdage og overskrive ved en opdatering af SSHD. libkeyutils biblioteket, som er en del af keyutils-libs pakken, bliver ikke ændret så ofte, så risikoen for, at det bliver overskrevet automatisk, er meget lav. Angiveligt er det kompromitterede bibliotek blevet installeret med versionsnummeret 1.9, som ikke findes i den officielle version, der er lavere, f.eks 1.4. Såfremt version 1.9 er på systemet, må det derfor antages, at systemet er inficeret og skal renses. Dette kan ændre sig i fremtiden. SSHD rootkit har indtil videre især været brugt i forbindelse med udsendelse af spam. Imidlertid kan det forventes, at servere, der er kompromitterede med rootkittet, også vil blive anvendt til andre formål, f.eks. som angrebsplatform for andre typer angreb. Det vil derfor være vigtigt at få identificeret eventuelle kompromitterede servere og få dem renset for malwaren. 6. Målrettede angreb I midten af februar offentliggjorde det amerikanske konsulenthus Mandiant rapporten APT1, Exposing One of China s Cyber Espionage Units. I rapporten analyserer Mandiant avancerede, vedholdende angreb (Advanced Persistent Threats, APT). De har analyseret hundredvis af tilfælde og er overbevist om, at de grupper, der udfører disse aktiviteter, primært er baseret i Kina, og at den kinesiske regering bør være vidende om dem. I rapporten koncentrerer Mandiant sig om en af de mest aktive grupper, som de kalder "APT1", og som siges at være en ud af mere end 20 APT-grupper med oprindelse i Kina. 6/8

7 APT1 er en organisation, der angiveligt har udført cyberspionage mod en bred vifte af mål i hvert fald siden Mandiant vurderer ud fra mængden af stjålne oplysninger, at det er en af de mest aktive grupper. Mandiant mener, at de kun har en lille brøkdel af den cyberspionage, som APT1 har udført. Mandiant konkluderer på baggrund af analysen, at APT1 sandsynligvis er statsstøttet og en af Kinas mest vedholdende cyberaktører. CFCS er i denne forbindelse blevet opmærksom på nogle få danske IP-adresser, som er fundet i forbindelse med mulige APT1-aktiviteter. Efterfølgende analyser har vist spor efter malwareaktivitet, herunder bagdøre og værktøjer. Der er indikationer på, at danske computere har været anvendt til at sprede malware i form af pdf-filer samt som midlertidigt opbevaringsdepot for stjålne data. Aktiviteterne ser ud til at være rettet mod udenlandske mål og har været gennemført over en længere periode og med stor vedholdenhed. CFCS kan hverken be- eller afkræfte, at den af Mandiant nævnte APT1-gruppe stod bag aktiviterne. 7. Danmark som angrebsplatform En række internationale virksomheder publicerer rapporter om sikkerhedstilstanden på internettet. Ofte sker dette årligt som en del af virksomhedernes salgsfremstød. Cisco's Annual Security Report (ASR) 2013 Cisco publicerede den 31. januar 2013 deres årlige sikkerhedsrapport. Den 26. februar 2013 blev rapporten omtalt i Børsen under overskriften "Ond it-virus strømmer ud af Danmark". I artiklen i Børsen er hovedbudskabet, at "et ud af ti stykker ondsindet software kommer fra en server, der befinder sig i Danmark". Den tekniske chef for Cisco i Danmark forklarer, at Danmark er det trediehøjst rangerende land, når det gælder hosting af servere, der distribuerer malware. Dog understreges det, at malwaren ikke nødvendigvis har sin oprindelse i Danmark. Han formoder, at årsagen til, at Danmark nu indtager en tredieplads blandt de lande, som huser mest malware, er den generelt gode udbredelse af bredbåndsforbindelser. Rapporten redegør ikke for opgørelses- eller beregningsmetoden, og CFCS har derfor rettet henvendelse til Cisco med henblik på at få belyst grundlaget for rapportens konklusioner. Microsoft Security Intelligence Report vol. 13: January-June 2012 Microsofts rapport dækker sikkerhedsforhold bredt, både på klienter og servere. Microsoft indsamler sine informationer gennem sine produkter, herunder især sikkerhedsprodukterne og søgemaskinen Bing. Microsoft ser også på den internationale forekomst af webservere, hvor der forekommer ondsindet software. Microsoft angiver ikke nøjagtige tal, men nøjes med et verdenskort over phishing-sites. Heraf fremgår det, at Danmark ligger i den høje ende sammen med USA og Rusland med flere end 6 inficerede internet-hosts pr Kortet peger i samme retning som Cisco's rapport. Der synes at være en tendens til, at websites hosted i Danmark er mere inficerede end i mange af de lande i EU, vi normalt sammenligner os med. Microsoft forholder sig ikke til de mulige årsager; rapporten er blot en fremstilling af de tal, Microsoft har indsamlet. 7/8

8 McAfee Threats Report: Fourth Quarter 2012 I McAfee s rapport er der en analyse af "servers hosting malicious content". Analysen er opdelt regioner, men når man ser på Europa, er der en anden fordeling af lande, hvor der er hosted ondsindet indhold, end i de to foregående rapporter. Der er ikke angivet tal, men blot et lagkagediagram. Heraf fremgår det, at Tyskland har ca. 20%, Holland og Schweiz omkring 15% og UK og Rusland omkring 10% af de webservere, der hoster ondsindet software. Danmark optræder ikke på listen. Websense 2013 Threat Report Websense angiver en liste over de 10 mest fremtrædende "Countries Hosting Malware, uden angivelser af andel. Danmark optræder ikke på listen. Det er ikke angivet, hvordan data er opsamlet. Konklusion på de fire rapporter Det er et meget spredt billede, der viser sig ved gennemgang af disse rapporter. Det er meget vanskeligt at konkludere endeligt, hvorvidt Danmark er vært for uforholdsmæssigt mange servere, der spreder malware. Opgørelsesmetoderne er i mange tilfælde ikke beskrevet, og det er derfor umuligt at foretage sammenlignende vurderinger af rapporternes udsagn. Det må dog konstateres, at datagrundlaget for de forskellige rapporter er meget forskelligt. Generelt må det konkluderes, at dansk it-infrastruktur bliver anvendt til at gennemføre cyberangreb, og at der derfor er brug for en øget opmærksomhed hos systemejerne omkring at holde it-infrastrukturen opdateret med nyeste softwareversioner og gerne også logning og monitorering af internettrafikken til og fra et system. Manglende opdatering og vedligehold forøger risikoen for, at ens it-infrastruktur udnyttes til kriminel og skadelig aktivitet, og fravær af logning eller monitorering gør det vanskeligt at opdage, om infrastrukturen bliver anvendt ondsindet. CFCS, april /8