Systém N6 sítě CESNET2

Bezpečnostní tým CERT Polska, Computer Emergency Response Team Polska, pomáhá uživatelům polského Internetu zavádět proaktivní opatření k omezení rizik bezpečnostních incidentů i reagovat na zjištěné problémy, a řeší i incidenty vzniklé v polských sítích.

CERT Polska provozuje systém N6, Network Security Incident eXchange, který zpracovává informace o bezpečnostních incidentech v polských i zahraničních sítích a poskytuje je kvalifikovaným zájemcům. Bezpečnostní tým CESNET-CERTS získal přístup k informacím systému N6 o síti CESNET2 a pravidelně je distribuuje příslušným správcům všech sítí, které jsou součástí jeho autonomního systému.

K tomu slouží systém CESNET N6, který je v provozu od července 2012.

N6 uvádí, že dokáže detekovat mnoho druhů bezpečnostních incidentů. CESNET-CERTS od něho zatím dostal 30 druhů hlášení o síti CESNET2:

  • Andromeda - informace o strojích v síti CESNET2, které komunikovaly s řídícími centry (C&C) botnetu Andromeda
  • Arakis - hlášení o podezřelém síťovém provozu v síti CESNET2
  • Bots - informace o strojích v síti CESNET2, které komunikovaly s řídícími centry (C&C) botnetů
  • Bots Zeus P2P - informace o strojích v síti CESNET2, které komunikovaly v rámci sítě P2P trojského koně Zeus
  • Citadel - informace o strojích v síti CESNET2 infikovaných malwarem Citadel
  • Cutwail - informace o strojích v síti CESNET2 infikovaných malwarem Cutwail
  • CERT Polska Sinkhole - informace o komunikaci strojů v síti CESNET2 vyvolané několika typy malwaru, např. Citadel a Virut.
  • Citadel Sinkhole - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Citadel
  • Cloudflare DDoS - informace o otevřených DNS resolverech v síti CESNET2, které se účastnily útoku DDoS a jež detekovala síť Cloudflare
  • Compromised CMS - informace o zkompromitovaných Systémech pro správu obsahu (Content Management Systems) v síti CESNET2
  • Compromised Routers - informace o zkompromitovaných routerech a zákaznických zařízeních v síti CESNET2
  • DarkHotel - informace o strojích v síti CESNET2 infikovaných malwarem Darkhotel
  • Dorkbot - informace o strojích v síti CESNET2 infikovaných malwarem Dorkbot
  • Energetic Bear - informace o strojích v síti CESNET2 infikovaných malwarem Energetic Bear
  • Geodo Trojan - informace o strojích v síti CESNET2 infikovaných bankovním trojským koněm Geodo
  • Heartbleed - informace o strojích v síti CESNET2, na kterých je nainstalováno zranitelné OpenSSL
  • Kelihos - Informace o strojích v síti CESNET2, které jsou součástí botnetu Kelihos
  • Malurl - informace o URL obsahujících malware
  • Moure - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Moure
  • Open NTP - informace o NTP serverech v síti CESNET2, které se dají zneužít k útokům DDoS
  • Pushdo - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Pushdo
  • Rovnix - informace o strojích v síti CESNET2 infikovaných bankovním malwarem Rovnix
  • Shell Accounts - informace o zkompromitovaných počítačích a URL v síti CESNET2, na nichž mají externí uživatelé (crackeři) dostupný Shell Account
  • Tinba - informace o strojích v síti CESNET2 infikovaných bankovním malwarem Tinba (Tiny Banker)
  • Victim Zeus - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Zeus.
  • Virut - informace o strojích v síti CESNET2 infikovaných malwarem Virut
  • Zeroaccess - informace o provozu botnetu Zeroaccess, která se týká strojů v síti CESNET2.
  • Zeus - informace o provozu P2P sítě trojského koně Zeus, která se týká strojů v síti CESNET2.
  • Zeus Gameover - informace o provozu P2P sítě trojského koně Zeus Gameover, která se týká strojů v síti CESNET2.
  • Power Zeus - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Power Zeus.

Hlášení, která rozesílá CESNET N6, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. Časové pásmo (u všech typů incidentů kromě 'b', 'G' a 'x') = GMT. Typ incidentu, o který se jedná, hlásí kód uvedený jako poslední znak na řádce takto:

a - Andromeda Report

Význam polí záznamu:

IP adresa infikovaného stroje | čas instalace botnetu | čas poslední komunikace s C&C | kód=a

Příklad: 

192.0.2.4 | 2014-10-30_23:44:56 | 2014-10-31_08:12:50 | a

A - Arakis Report

Význam polí záznamu:

Zdroj.IP adresa | zdroj.port → Cíl.IP adresa | Cíl.port (protokol) | čas | počet útoků | kód=A

Příklad: 

192.0.2.9 | 7123 -> 198.51.100.12 | 445 (TCP) 2013-04-04_17:26:55 | 63 | A

b - Bots Report

Význam polí záznamu:

Zdroj. IP adresa ↔ cílový stroj | RequestURI (verse metoda) čas | kód=b

Příklad: 

192.0.2.19 -> hack.org | /image.php (HTTP/1.0 POST) 2012-12-10_07:32:59 | b

Pozn.: Časové pásmo incidentů typu b zatím není definováno.

B - Bots Zeus P2P Report

Význam polí záznamu:

Zdroj. IP adresa | UDP zdroj. port | čas | kód=B

Příklad: 

192.0.2.29 | 22255 | 2014-01-03_07:32:59 | B

C - Citadel Report

Význam polí záznamu:

Zdroj. IP adresa ↔ cílový stroj | RequestURI (verse metoda) čas | kód=C

Příklad: 

192.0.2.39 -> evil.org | /c/hluz.php (HTTP/1.1 POST) 2012-11-29_11:03:50 | C

d - Darkhotel Report

Význam polí záznamů:

IP adresa zkompromitovaného stroje | čas | kód=d

Příklad: 

192.0.2.44 | 2014-11-19_10:31:23 | d

D - Dorkbot Report

Význam polí záznamu:

IP adresa bota → cílový stroj (trvání relace) anonymisované jméno bota | čas | kód=D

Příklad: 

192.0.2.49 -> 198.51.100.23 (2:29:14) {CZ|W7u}inpvqeu!~inpvqeu@will.not.show.it | 2012-12-12_18:42:49 | D

e - Energetic Bear

Význam polí záznamu:

IP adresa zkompromitovaného stroje | čas | kód=e

Příklad: 

192.0.2.59 | 2014-07-22_14:15:31 | e

E - CERT PL Sinkhole Report

Význam polí záznamu:

Zdroj.IP adresa | zdroj.port → Cíl.IP adresa | Cíl.port | Typ malwaru | čas | kód=E

Příklad: 

192.0.2.69 | 3213 -> 198.51.100.55 | 80 | botnet:virut | 2013-09-19_10:06:19 | E

F - Cloudflare DDoS Open DNS Resolver Report

Význam polí záznamu:

IP adresa otevřeného DNS resolveru | kód=F

Příklad: 

192.0.2.79 | F

Poznámka: Tento report neobsahuje informaci o čase.

g - Victim List Gameover Zeus Report

Význam polí záznamu:

IP adresa infik.stroje | Port ↔ IP adresa C&C | Port | čas | kód=g

Příklad: 

192.0.2.84 | 2973 <-> 198.51.100.68 | 7132 | 2014-09-04_16:42:56 | g

G - Zeus Gameover Report

Význam polí záznamu:

Zdrojová IP adresa | Zdrojový port (protokol) | Typ události | čas | kód=G

Příklad: 

192.0.2.88 | 9073 (UDP) | known on p2p network | 2013-11-07_17:41:37 | G

192.0.2.89 | 9073 (UDP) | direct communication | 2013-11-07_18:44:12 | G

Pozn.: Časové pásmo incidentů typu G zatím není definováno.

H - Heartbleed Report

Význam polí záznamů:

IP adresa serveru se zranitelným OpenSSL | čas | kód=H

Příklad: 

192.0.2.99 | 2014-04-11_16:13:47 | H

I - Citadel Sinkhole Report

Význam polí záznamů:

Zdroj. IP adresa | zdroj.port → cílový stroj | cíl.port | čas | kód=I

Zdroj. IP adresa | metoda host Request URI | kód = II

Příklad: 

192.0.2.109 | 60741 -> 198.51.100.71 | 80 | 2013-08-08_21:01:05 | I

192.0.2.109 | POST infocyber.zz /citdl/newmixplfit/cfgp.php | II

K - Kelihos Report

Význam polí záznamu:

IP adresa infikovaného stroje | čas | kód=K

Příklad: 

192.0.2.119 | 2014-01-06_15:32:27 | K

M - Malurl Report

Význam polí záznamu:

IP adresa infikovaného stroje | URL | kód=M

Příklad: 

192.0.2.129 | hXXp://www.example.net/index.php?text=1234 | M

Poznámka: Tento report neobsahuje informaci o čase.

N - Open NTP Report

Význam polí záznamu:

IP adresa otevřeného NTP serveru | čas | kód=N

Příklad: 

192.0.2.139 | 2014-02-19_11:28:39 | N

n - Botnet Infection Report

Význam polí záznamu:

IP adresa infikovaného stroje | botnet | čas | kód=n

Příklad: 

192.0.2.134 | ramdo | 2014-12-05_13:31:06 | n

192.0.2.135 | rovnix_papras_ursnif_patriot | 2014-12-05_13:37:57 | n

o - Zeroaccess Report

Význam polí záznamu:

Zdroj. IP adresa (čas první detekce) čas poslední detekce | kód=o

Příklad: 

192.0.2.149 (2013-08-18_12:51:31) 2013-11-14_17:59:42 | o

O - Bots Zeroaccess Report

Význam polí záznamu:

IP adresa infikovaného stroje | čas | kód=O

Příklad: 

192.0.2.159 | 2014-01-06_15:47:12 | O

P - Pushdo Report

Význam polí záznamu:

Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=P

Příklad: 

192.0.2.169 | /?Ctrlfunc_qgyF (HTTP/1.1 POST) 2013-08-08_11:03:50 | P

R - Moure Sinkhole Report

Význam polí záznamů:

Zdroj. IP adresa | zdroj.port → cíl.stroj | cíl.port | čas | kód=R

Zdroj. IP adresa | Metoda Host RequestURI | kód = RR

Příklad: 

192.0.2.179 | 1056 -> 198.51.100.71 | 80 | 2013-08-08_22:55:19 | R

192.0.2.179 | GET emigit.zz /9c6815ZcJl3an | RR

s - Compromised CMS Report

Význam polí záznamů:

IP adresa CMS | URL | název CMS | kód=s

Příklad: 

192.0.2.189 | hXXp://g3.example.eu/wp-login.php:admin | Wordpress | S

Poznámka: Tento report neobsahuje informaci o čase.

S - Shell Account Report

Význam polí záznamů:

IP adresa zkompromitovaného stroje | URL | kód=S

Příklad: 

192.0.2.199 | hXXp://pc.example.zz/wp-content/themes/./cache/deadbeef.php | S

Poznámka: Tento report neobsahuje informaci o čase.

t - Geodo Trojan Report

Význam polí záznamů:

IP adresa zkompromitovaného stroje | čas | kód=t

Příklad: 

192.0.2.204 | 2014-12-03_16:17:41 | t

T - Tinba Report

Význam polí záznamu:

IP adresa zkompromitovaného stroje | Metoda | Cílová doména | čas | kód=T

Příklad: 

192.0.2.209 | GET | zy37qwfad93.com | 2014-07-22_14:20:13 | T

u - Compromised Router Report

Význam polí záznamu:

IP adresa zkompromitovaného stroje | Port | čas | kód=u

Příklad: 

192.0.2.214 | 23 | 2014-10-31_12:50:27 | u

Pozn.: Časové pásmo incidentů typu b = aktuální čas SEČ nebo SELČ.

V - Virut Report

Význam polí záznamu:

Zdroj.IP adresa | zdroj.port → Cíl.IP adresa | Cíl.port | čas | kód=V

Příklad: 

192.0.2.219 | 1883 -> 198.51.100.111 | 80 | 2013-01-21_22:40:08 | V

v - Victim Zeus Report

Význam polí záznamu:

Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=v

Příklad: 

192.0.2.224 | /wp-admin/gate.php (HTTP/1.1 POST) 2014-07-24_12:30:21 | v

W - Cutwail Report

Význam polí záznamu:

IP adresa infikovaného stroje | kód=W

Příklad: 

192.0.2.229 | W

Poznámka: Tento report neobsahuje informaci o čase.

x - Rovnix Report

Význam polí záznamu:

IP adresa infikovaného stroje | kód=x

Příklad:

192.0.2.234 | x

z - Zeus Report

Význam polí záznamu:

Zdrojová IP adresa | Zdrojový port (protokol) | čas | kód=z

Příklad: 

192.0.2.239 | 26147 (UDP) 2012-07-16_07:09:37 | z

Z - Power Zeus Report

Význam polí záznamu:

Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=Z

Příklad: 

192.0.2.249 | /dropfilms/data.php (HTTP/1.1 POST) 2013-10-22_18:59:21 | Z

CESNET-CERTS hodlá projekt N6 dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě na tuto adresu n6@cesnet.cz. Už nyní CESNET N6 nabízí tyto možnosti:

  • posílat vám nejen standardní dopis se všemi incidenty ve vaší síti, ale i dílčí kopie tohoto dopisu, z nichž každá obsahuje incidenty týkající se jediné IP adresy
  • úplně ignorovat jednotlivé IP adresy
  • úplně ignorovat celé sítě
  • v hlášeních Arakisu zobrazovat i příslušné pravidlo SNORTu
  • v hlášeních o trojském koni Zeus zobrazovat i 40znakový identifikátor p2p-node-id.

Všechny zprávy, které systém CESNET N6 rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.