====== Systém N6 sítě CESNET2 ======

Bezpečnostní tým [[http://www.cert.pl/| CERT Polska]], Computer Emergency Response Team Polska, pomáhá uživatelům polského Internetu zavádět proaktivní opatření k omezení rizik bezpečnostních incidentů i reagovat na zjištěné problémy, a řeší i incidenty vzniklé v polských sítích.

CERT Polska provozuje systém [[http://www.cert.pl/news/5350/langswitch_lang/en#more-5350/| N6]], Network Security Incident eXchange, který zpracovává informace o bezpečnostních incidentech v polských i zahraničních sítích a poskytuje je kvalifikovaným zájemcům. Bezpečnostní tým [[http://csirt.cesnet.cz/| CESNET-CERTS]] získal přístup k informacím systému N6 o síti CESNET2 a pravidelně je distribuuje příslušným správcům všech sítí, které jsou součástí jeho autonomního systému.

K tomu slouží systém CESNET N6, který je v provozu od července 2012.

N6 uvádí, že dokáže detekovat mnoho druhů bezpečnostních incidentů. CESNET-CERTS od něho zatím dostal 30 druhů hlášení o síti CESNET2:

  * **[[http://blog.fortinet.com/tag/andromeda-botnet/| Andromeda]]** - informace o strojích v síti CESNET2, které komunikovaly s řídícími centry (C&C) botnetu Andromeda

  * **[[http://www.arakis.pl/| Arakis]]** - hlášení o podezřelém síťovém provozu v síti CESNET2

  * **[[http://www.cert.pl/news/5350/langswitch_lang/en/#more-5350/| Bots]]** - informace o strojích v síti CESNET2, které komunikovaly s řídícími centry (C&C) botnetů

  * **[[http://en.wikipedia.org/wiki/Zeus_botnet| Bots Zeus P2P]]** - informace o strojích v síti CESNET2, které komunikovaly v rámci sítě P2P trojského koně Zeus

  * **[[http://www.cert.pl/news/6142/langswitch_lang/en/#more-6142/| Citadel]]** - informace o strojích v síti CESNET2 infikovaných malwarem Citadel

  * **[[http://en.wikipedia.org/wiki/Cutwail_botnet|Cutwail]]** - informace o strojích v síti CESNET2 infikovaných malwarem Cutwail

  * **CERT Polska Sinkhole** - informace o komunikaci strojů v síti CESNET2 vyvolané několika typy malwaru, např. Citadel a Virut.

  * **[[http://www.cert.pl/news/6142/langswitch_lang/en/#more-6142/|Citadel Sinkhole]]** - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Citadel

  * **[[http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack|Cloudflare DDoS]]** - informace o otevřených DNS resolverech v síti CESNET2, které se účastnily útoku DDoS a jež detekovala síť Cloudflare

  * **Compromised CMS** - informace o zkompromitovaných Systémech pro správu obsahu (Content Management Systems) v síti CESNET2

  * **Compromised Routers** - informace o zkompromitovaných routerech a zákaznických zařízeních v síti CESNET2

  * **[[http://en.wikipedia.org/wiki/DarkHotel|DarkHotel]]** - informace o strojích v síti CESNET2 infikovaných malwarem Darkhotel

  * **[[http://www.cert.pl/news/6434/langswitch_lang/en/#more-6434/| Dorkbot]]** - informace o strojích v síti CESNET2 infikovaných malwarem Dorkbot

  * **[[http://www.symantec.com/connect/blogs/emerging-threat-dragonfly-energetic-bear-apt-group | Energetic Bear]]** - informace o strojích v síti CESNET2 infikovaných malwarem Energetic Bear

  * **[[http://securityaffairs.co/wordpress/26291/cyber-crime/geodo-banking-trojan.html | Geodo Trojan]]** - informace o strojích v síti CESNET2 infikovaných bankovním trojským koněm Geodo

  * **[[http://heartbleed.com/|Heartbleed]]** - informace o strojích v síti CESNET2, na kterých je nainstalováno zranitelné OpenSSL

  * **[[http://en.wikipedia.org/wiki/Kelihos_botnet|Kelihos]]** - Informace o strojích v síti CESNET2, které jsou součástí botnetu Kelihos

  * **Malurl** - informace o URL obsahujících malware

  * **[[http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanDownloader%3AWin32%2FMoure.B| Moure]]** - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Moure

  * **[[http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks|Open NTP]]** - informace o NTP serverech v síti CESNET2, které se dají zneužít k útokům DDoS

  * **[[http://en.wikipedia.org/wiki/Pushdo| Pushdo]]** - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Pushdo

  * **[[http://www.theregister.co.uk/2014/11/06/rovnix_trojan_outbreak| Rovnix]]** - informace o strojích v síti CESNET2 infikovaných bankovním malwarem Rovnix

  * **Shell Accounts** - informace o zkompromitovaných počítačích a URL v síti CESNET2, na nichž mají externí uživatelé (crackeři) dostupný Shell Account

  * **[[http://blog.avast.com/tag/tinba-trojan/ | Tinba]]** - informace o strojích v síti CESNET2 infikovaných bankovním malwarem Tinba (Tiny Banker)

  * **[[http://en.wikipedia.org/wiki/Zeus_(Trojan_horse) | Victim Zeus]]** - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Zeus.

  * **[[http://www.cert.pl/news/6666/langswitch_lang/en| Virut]]** - informace o strojích v síti CESNET2 infikovaných malwarem Virut

  * **[[http://en.wikipedia.org/wiki/ZeroAccess_botnet| Zeroaccess]]** - informace o provozu botnetu Zeroaccess, která se týká strojů v síti CESNET2.

  * **[[http://www.cert.pl/news/4711/langswitch_lang/en#more-4711/| Zeus]]** - informace o provozu P2P sítě trojského koně Zeus, která se týká strojů v síti CESNET2.

  * **[[https://www.us-cert.gov/ncas/alerts/TA14-150A| Zeus Gameover]]** - informace o provozu P2P sítě trojského koně Zeus Gameover, která se týká strojů v síti CESNET2.

  * **[[http://www.cert.pl/news/7649/| Power Zeus]]** - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Power Zeus.

Hlášení, která rozesílá CESNET N6, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. Časové pásmo (u všech typů incidentů kromě 'b', 'G' a 'x') = GMT. Typ incidentu, o který se jedná, hlásí kód uvedený jako poslední znak na řádce takto:

==== a - Andromeda Report ====

Význam polí záznamu:

IP adresa infikovaného stroje | čas instalace botnetu | čas poslední komunikace s C&C | kód=a

Příklad:

  192.0.2.4 | 2014-10-30_23:44:56 | 2014-10-31_08:12:50 | a

==== A - Arakis Report ====

Význam polí záznamu:

Zdroj.IP adresa | zdroj.port -> Cíl.IP adresa | Cíl.port (protokol) | čas | počet útoků | kód=A

Příklad:

  192.0.2.9 | 7123 -> 198.51.100.12 | 445 (TCP) 2013-04-04_17:26:55 | 63 | A

==== b - Bots Report ====

Význam polí záznamu:

Zdroj. IP adresa <-> cílový stroj | RequestURI (verse metoda) čas | kód=b

Příklad:

  192.0.2.19 -> hack.org | /image.php (HTTP/1.0 POST) 2012-12-10_07:32:59 | b

Pozn.: Časové pásmo incidentů typu b zatím není definováno.

==== B - Bots Zeus P2P Report ====

Význam polí záznamu:

Zdroj. IP adresa | UDP zdroj. port | čas | kód=B

Příklad:

  192.0.2.29 | 22255 | 2014-01-03_07:32:59 | B

==== C - Citadel Report ====

Význam polí záznamu:

Zdroj. IP adresa <-> cílový stroj | RequestURI (verse metoda) čas | kód=C

Příklad:

  192.0.2.39 -> evil.org | /c/hluz.php (HTTP/1.1 POST) 2012-11-29_11:03:50 | C

==== d - Darkhotel Report ====

Význam polí záznamů:

IP adresa zkompromitovaného stroje | čas | kód=d

Příklad:

  192.0.2.44 | 2014-11-19_10:31:23 | d

==== D - Dorkbot Report ====

Význam polí záznamu:

IP adresa bota -> cílový stroj (trvání relace) anonymisované jméno bota | čas | kód=D

Příklad:

  192.0.2.49 -> 198.51.100.23 (2:29:14) {CZ|W7u}inpvqeu!~inpvqeu@will.not.show.it | 2012-12-12_18:42:49 | D

==== e - Energetic Bear ====

Význam polí záznamu:

IP adresa zkompromitovaného stroje | čas | kód=e

Příklad:

  192.0.2.59 | 2014-07-22_14:15:31 | e

==== E - CERT PL Sinkhole Report ====

Význam polí záznamu:

Zdroj.IP adresa | zdroj.port -> Cíl.IP adresa | Cíl.port | Typ malwaru | čas | kód=E

Příklad:

  192.0.2.69 | 3213 -> 198.51.100.55 | 80 | botnet:virut | 2013-09-19_10:06:19 | E

==== F - Cloudflare DDoS Open DNS Resolver Report ====

Význam polí záznamu:

IP adresa otevřeného DNS resolveru | kód=F

Příklad:
<code>
192.0.2.79 | F

Poznámka: Tento report neobsahuje informaci o čase.
</code>

==== g - Victim List Gameover Zeus Report ====

Význam polí záznamu:

IP adresa infik.stroje | Port <-> IP adresa C&C | Port | čas | kód=g

Příklad:

  192.0.2.84 | 2973 <-> 198.51.100.68 | 7132 | 2014-09-04_16:42:56 | g

==== G - Zeus Gameover Report ====

Význam polí záznamu:

Zdrojová IP adresa | Zdrojový port (protokol) | Typ události | čas | kód=G

Příklad:

<code>
192.0.2.88 | 9073 (UDP) | known on p2p network | 2013-11-07_17:41:37 | G

192.0.2.89 | 9073 (UDP) | direct communication | 2013-11-07_18:44:12 | G

Pozn.: Časové pásmo incidentů typu G zatím není definováno.
</code>

==== H - Heartbleed Report ====

Význam polí záznamů:

IP adresa serveru se zranitelným OpenSSL | čas | kód=H

Příklad:

  192.0.2.99 | 2014-04-11_16:13:47 | H

==== I - Citadel Sinkhole Report ====

Význam polí záznamů:

Zdroj. IP adresa | zdroj.port -> cílový stroj | cíl.port | čas | kód=I

Zdroj. IP adresa | metoda host Request URI | kód = II

Příklad:
<code>
192.0.2.109 | 60741 -> 198.51.100.71 | 80 | 2013-08-08_21:01:05 | I

192.0.2.109 | POST infocyber.zz /citdl/newmixplfit/cfgp.php | II
</code>

==== K - Kelihos Report ====

Význam polí záznamu:

IP adresa infikovaného stroje | čas | kód=K

Příklad:

  192.0.2.119 | 2014-01-06_15:32:27 | K

==== M - Malurl Report ====

Význam polí záznamu:

IP adresa infikovaného stroje | URL | kód=M

Příklad:
<code>
192.0.2.129 | hXXp://www.example.net/index.php?text=1234 | M

Poznámka: Tento report neobsahuje informaci o čase.
</code>

==== N - Open NTP Report ====

Význam polí záznamu:

IP adresa otevřeného NTP serveru | čas | kód=N

Příklad:

  192.0.2.139 | 2014-02-19_11:28:39 | N

==== n - Botnet Infection Report ====

Význam polí záznamu:

IP adresa infikovaného stroje | botnet | čas | kód=n

Příklad:

<code>
192.0.2.134 | ramdo | 2014-12-05_13:31:06 | n

192.0.2.135 | rovnix_papras_ursnif_patriot | 2014-12-05_13:37:57 | n
</code>

==== o - Zeroaccess Report ====

Význam polí záznamu:

Zdroj. IP adresa (čas první detekce) čas poslední detekce | kód=o

Příklad:

  192.0.2.149 (2013-08-18_12:51:31) 2013-11-14_17:59:42 | o

==== O - Bots Zeroaccess Report ====

Význam polí záznamu:

IP adresa infikovaného stroje | čas | kód=O

Příklad:

  192.0.2.159 | 2014-01-06_15:47:12 | O

==== P - Pushdo Report ====

Význam polí záznamu:

Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=P

Příklad:

  192.0.2.169 | /?Ctrlfunc_qgyF (HTTP/1.1 POST) 2013-08-08_11:03:50 | P

==== R - Moure Sinkhole Report ====

Význam polí záznamů:

Zdroj. IP adresa | zdroj.port -> cíl.stroj | cíl.port | čas | kód=R

Zdroj. IP adresa | Metoda Host RequestURI | kód = RR

Příklad:
<code>
192.0.2.179 | 1056 -> 198.51.100.71 | 80 | 2013-08-08_22:55:19 | R

192.0.2.179 | GET emigit.zz /9c6815ZcJl3an | RR
</code>

==== s - Compromised CMS Report ====

Význam polí záznamů:

IP adresa CMS | URL | název CMS | kód=s

Příklad:
<code>
192.0.2.189 | hXXp://g3.example.eu/wp-login.php:admin | Wordpress | S

Poznámka: Tento report neobsahuje informaci o čase.
</code>

==== S - Shell Account Report ====

Význam polí záznamů:

IP adresa zkompromitovaného stroje | URL | kód=S

Příklad:
<code>
192.0.2.199 | hXXp://pc.example.zz/wp-content/themes/./cache/deadbeef.php | S

Poznámka: Tento report neobsahuje informaci o čase.
</code>

==== t - Geodo Trojan Report ====

Význam polí záznamů:

IP adresa zkompromitovaného stroje | čas | kód=t

Příklad:

  192.0.2.204 | 2014-12-03_16:17:41 | t

==== T - Tinba Report ====

Význam polí záznamu:

IP adresa zkompromitovaného stroje | Metoda | Cílová doména | čas | kód=T

Příklad:

  192.0.2.209 | GET | zy37qwfad93.com | 2014-07-22_14:20:13 | T

==== u - Compromised Router Report ====

Význam polí záznamu:

IP adresa zkompromitovaného stroje | Port | čas | kód=u

Příklad:
<code>
192.0.2.214 | 23 | 2014-10-31_12:50:27 | u

Pozn.: Časové pásmo incidentů typu b = aktuální čas SEČ nebo SELČ.
</code>

==== V - Virut Report ====

Význam polí záznamu:

Zdroj.IP adresa | zdroj.port -> Cíl.IP adresa | Cíl.port | čas | kód=V

Příklad:

  192.0.2.219 | 1883 -> 198.51.100.111 | 80 | 2013-01-21_22:40:08 | V

==== v - Victim Zeus Report ====

Význam polí záznamu:

Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=v

Příklad:

  192.0.2.224 | /wp-admin/gate.php (HTTP/1.1 POST) 2014-07-24_12:30:21 | v

==== W - Cutwail Report ====

Význam polí záznamu:

IP adresa infikovaného stroje | kód=W

Příklad:
<code>
192.0.2.229 | W

Poznámka: Tento report neobsahuje informaci o čase.
</code>

==== x - Rovnix Report ====

Význam polí záznamu:

IP adresa infikovaného stroje | kód=x

Příklad:

192.0.2.234 | x

==== z - Zeus Report ====

Význam polí záznamu:

Zdrojová IP adresa | Zdrojový port (protokol) | čas | kód=z

Příklad:

  192.0.2.239 | 26147 (UDP) 2012-07-16_07:09:37 | z

==== Z - Power Zeus Report ====

Význam polí záznamu:

Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=Z

Příklad:

  192.0.2.249 | /dropfilms/data.php (HTTP/1.1 POST) 2013-10-22_18:59:21 | Z

----

CESNET-CERTS hodlá projekt N6 dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě na tuto adresu [[n6@cesnet.cz]]. Už nyní CESNET N6 nabízí tyto možnosti:
  * posílat vám nejen standardní dopis se všemi incidenty ve vaší síti, ale i dílčí kopie tohoto dopisu, z nichž každá obsahuje incidenty týkající se jediné IP adresy
  * úplně ignorovat jednotlivé IP adresy
  * úplně ignorovat celé sítě
  * v hlášeních Arakisu zobrazovat i příslušné pravidlo SNORTu
  * v hlášeních o trojském koni Zeus zobrazovat i 40znakový identifikátor p2p-node-id.

----

Všechny zprávy, které systém CESNET N6 rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.