Bezpečnostní tým CERT Polska, Computer Emergency Response Team Polska, pomáhá uživatelům polského Internetu zavádět proaktivní opatření k omezení rizik bezpečnostních incidentů i reagovat na zjištěné problémy, a řeší i incidenty vzniklé v polských sítích.

CERT Polska provozuje systém N6, Network Security Incident eXchange, který zpracovává informace o bezpečnostních incidentech v polských i zahraničních sítích a poskytuje je kvalifikovaným zájemcům. Bezpečnostní tým CESNET-CERTS získal přístup k informacím systému N6 o síti CESNET2 a pravidelně je distribuuje příslušným správcům všech sítí, které jsou součástí jeho autonomního systému.

K tomu slouží systém CESNET N6, který je v provozu od července 2012.

N6 uvádí, že dokáže detekovat mnoho druhů bezpečnostních incidentů. CESNET-CERTS od něho zatím dostal 30 druhů hlášení o síti CESNET2:

• Andromeda - informace o strojích v síti CESNET2, které komunikovaly s řídícími centry (C&C) botnetu Andromeda

• Arakis - hlášení o podezřelém síťovém provozu v síti CESNET2

• Bots - informace o strojích v síti CESNET2, které komunikovaly s řídícími centry (C&C) botnetů

• Bots Zeus P2P - informace o strojích v síti CESNET2, které komunikovaly v rámci sítě P2P trojského koně Zeus

• Citadel - informace o strojích v síti CESNET2 infikovaných malwarem Citadel

• Cutwail - informace o strojích v síti CESNET2 infikovaných malwarem Cutwail

• CERT Polska Sinkhole - informace o komunikaci strojů v síti CESNET2 vyvolané několika typy malwaru, např. Citadel a Virut.

• Citadel Sinkhole - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Citadel

• Cloudflare DDoS - informace o otevřených DNS resolverech v síti CESNET2, které se účastnily útoku DDoS a jež detekovala síť Cloudflare

• Compromised CMS - informace o zkompromitovaných Systémech pro správu obsahu (Content Management Systems) v síti CESNET2

• Compromised Routers - informace o zkompromitovaných routerech a zákaznických zařízeních v síti CESNET2

• DarkHotel - informace o strojích v síti CESNET2 infikovaných malwarem Darkhotel

• Dorkbot - informace o strojích v síti CESNET2 infikovaných malwarem Dorkbot

• Energetic Bear - informace o strojích v síti CESNET2 infikovaných malwarem Energetic Bear

• Geodo Trojan - informace o strojích v síti CESNET2 infikovaných bankovním trojským koněm Geodo

• Heartbleed - informace o strojích v síti CESNET2, na kterých je nainstalováno zranitelné OpenSSL

• Kelihos - Informace o strojích v síti CESNET2, které jsou součástí botnetu Kelihos

• Malurl - informace o URL obsahujících malware

• Moure - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Moure

• Open NTP - informace o NTP serverech v síti CESNET2, které se dají zneužít k útokům DDoS

• Pushdo - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Pushdo

• Rovnix - informace o strojích v síti CESNET2 infikovaných bankovním malwarem Rovnix

• Shell Accounts - informace o zkompromitovaných počítačích a URL v síti CESNET2, na nichž mají externí uživatelé (crackeři) dostupný Shell Account

• Tinba - informace o strojích v síti CESNET2 infikovaných bankovním malwarem Tinba (Tiny Banker)

• Victim Zeus - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Zeus.

• Virut - informace o strojích v síti CESNET2 infikovaných malwarem Virut

• Zeroaccess - informace o provozu botnetu Zeroaccess, která se týká strojů v síti CESNET2.

• Zeus - informace o provozu P2P sítě trojského koně Zeus, která se týká strojů v síti CESNET2.

• Zeus Gameover - informace o provozu P2P sítě trojského koně Zeus Gameover, která se týká strojů v síti CESNET2.

• Power Zeus - informace o komunikaci strojů v síti CESNET2 infikovaných malwarem Power Zeus.

Hlášení, která rozesílá CESNET N6, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. Časové pásmo (u všech typů incidentů kromě 'b', 'G' a 'x') = GMT. Typ incidentu, o který se jedná, hlásí kód uvedený jako poslední znak na řádce takto:

Význam polí záznamu:

IP adresa infikovaného stroje | čas instalace botnetu | čas poslední komunikace s C&C | kód=a

Příklad:

192.0.2.4 | 2014-10-30_23:44:56 | 2014-10-31_08:12:50 | a

Význam polí záznamu:

Zdroj.IP adresa | zdroj.port → Cíl.IP adresa | Cíl.port (protokol) | čas | počet útoků | kód=A

Příklad:

192.0.2.9 | 7123 -> 198.51.100.12 | 445 (TCP) 2013-04-04_17:26:55 | 63 | A

Význam polí záznamu:

Zdroj. IP adresa ↔ cílový stroj | RequestURI (verse metoda) čas | kód=b

Příklad:

192.0.2.19 -> hack.org | /image.php (HTTP/1.0 POST) 2012-12-10_07:32:59 | b

Pozn.: Časové pásmo incidentů typu b zatím není definováno.

Význam polí záznamu:

Zdroj. IP adresa | UDP zdroj. port | čas | kód=B

Příklad:

192.0.2.29 | 22255 | 2014-01-03_07:32:59 | B

Význam polí záznamu:

Zdroj. IP adresa ↔ cílový stroj | RequestURI (verse metoda) čas | kód=C

Příklad:

192.0.2.39 -> evil.org | /c/hluz.php (HTTP/1.1 POST) 2012-11-29_11:03:50 | C

Význam polí záznamů:

IP adresa zkompromitovaného stroje | čas | kód=d

Příklad:

192.0.2.44 | 2014-11-19_10:31:23 | d

Význam polí záznamu:

IP adresa bota → cílový stroj (trvání relace) anonymisované jméno bota | čas | kód=D

Příklad:

192.0.2.49 -> 198.51.100.23 (2:29:14) {CZ|W7u}inpvqeu!~inpvqeu@will.not.show.it | 2012-12-12_18:42:49 | D

Význam polí záznamu:

IP adresa zkompromitovaného stroje | čas | kód=e

Příklad:

192.0.2.59 | 2014-07-22_14:15:31 | e

Význam polí záznamu:

Zdroj.IP adresa | zdroj.port → Cíl.IP adresa | Cíl.port | Typ malwaru | čas | kód=E

Příklad:

192.0.2.69 | 3213 -> 198.51.100.55 | 80 | botnet:virut | 2013-09-19_10:06:19 | E

Význam polí záznamu:

IP adresa otevřeného DNS resolveru | kód=F

Příklad:

192.0.2.79 | F

Poznámka: Tento report neobsahuje informaci o čase.

Význam polí záznamu:

IP adresa infik.stroje | Port ↔ IP adresa C&C | Port | čas | kód=g

Příklad:

192.0.2.84 | 2973 <-> 198.51.100.68 | 7132 | 2014-09-04_16:42:56 | g

Význam polí záznamu:

Zdrojová IP adresa | Zdrojový port (protokol) | Typ události | čas | kód=G

Příklad:

192.0.2.88 | 9073 (UDP) | known on p2p network | 2013-11-07_17:41:37 | G

192.0.2.89 | 9073 (UDP) | direct communication | 2013-11-07_18:44:12 | G

Pozn.: Časové pásmo incidentů typu G zatím není definováno.

Význam polí záznamů:

IP adresa serveru se zranitelným OpenSSL | čas | kód=H

Příklad:

192.0.2.99 | 2014-04-11_16:13:47 | H

Význam polí záznamů:

Zdroj. IP adresa | zdroj.port → cílový stroj | cíl.port | čas | kód=I

Zdroj. IP adresa | metoda host Request URI | kód = II

Příklad:

192.0.2.109 | 60741 -> 198.51.100.71 | 80 | 2013-08-08_21:01:05 | I

192.0.2.109 | POST infocyber.zz /citdl/newmixplfit/cfgp.php | II

Význam polí záznamu:

IP adresa infikovaného stroje | čas | kód=K

Příklad:

192.0.2.119 | 2014-01-06_15:32:27 | K

Význam polí záznamu:

IP adresa infikovaného stroje | URL | kód=M

Příklad:

192.0.2.129 | hXXp://www.example.net/index.php?text=1234 | M

Poznámka: Tento report neobsahuje informaci o čase.

Význam polí záznamu:

IP adresa otevřeného NTP serveru | čas | kód=N

Příklad:

192.0.2.139 | 2014-02-19_11:28:39 | N

Význam polí záznamu:

IP adresa infikovaného stroje | botnet | čas | kód=n

Příklad:

192.0.2.134 | ramdo | 2014-12-05_13:31:06 | n

192.0.2.135 | rovnix_papras_ursnif_patriot | 2014-12-05_13:37:57 | n

Význam polí záznamu:

Zdroj. IP adresa (čas první detekce) čas poslední detekce | kód=o

Příklad:

192.0.2.149 (2013-08-18_12:51:31) 2013-11-14_17:59:42 | o

Význam polí záznamu:

IP adresa infikovaného stroje | čas | kód=O

Příklad:

192.0.2.159 | 2014-01-06_15:47:12 | O

Význam polí záznamu:

Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=P

Příklad:

192.0.2.169 | /?Ctrlfunc_qgyF (HTTP/1.1 POST) 2013-08-08_11:03:50 | P

Význam polí záznamů:

Zdroj. IP adresa | zdroj.port → cíl.stroj | cíl.port | čas | kód=R

Zdroj. IP adresa | Metoda Host RequestURI | kód = RR

Příklad:

192.0.2.179 | 1056 -> 198.51.100.71 | 80 | 2013-08-08_22:55:19 | R

192.0.2.179 | GET emigit.zz /9c6815ZcJl3an | RR

Význam polí záznamů:

IP adresa CMS | URL | název CMS | kód=s

Příklad:

192.0.2.189 | hXXp://g3.example.eu/wp-login.php:admin | Wordpress | S

Poznámka: Tento report neobsahuje informaci o čase.

Význam polí záznamů:

IP adresa zkompromitovaného stroje | URL | kód=S

Příklad:

192.0.2.199 | hXXp://pc.example.zz/wp-content/themes/./cache/deadbeef.php | S

Poznámka: Tento report neobsahuje informaci o čase.

Význam polí záznamů:

IP adresa zkompromitovaného stroje | čas | kód=t

Příklad:

192.0.2.204 | 2014-12-03_16:17:41 | t

Význam polí záznamu:

IP adresa zkompromitovaného stroje | Metoda | Cílová doména | čas | kód=T

Příklad:

192.0.2.209 | GET | zy37qwfad93.com | 2014-07-22_14:20:13 | T

Význam polí záznamu:

IP adresa zkompromitovaného stroje | Port | čas | kód=u

Příklad:

192.0.2.214 | 23 | 2014-10-31_12:50:27 | u

Pozn.: Časové pásmo incidentů typu b = aktuální čas SEČ nebo SELČ.

Význam polí záznamu:

Zdroj.IP adresa | zdroj.port → Cíl.IP adresa | Cíl.port | čas | kód=V

Příklad:

192.0.2.219 | 1883 -> 198.51.100.111 | 80 | 2013-01-21_22:40:08 | V

Význam polí záznamu:

Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=v

Příklad:

192.0.2.224 | /wp-admin/gate.php (HTTP/1.1 POST) 2014-07-24_12:30:21 | v

Význam polí záznamu:

IP adresa infikovaného stroje | kód=W

Příklad:

192.0.2.229 | W

Poznámka: Tento report neobsahuje informaci o čase.

Význam polí záznamu:

IP adresa infikovaného stroje | kód=x

Příklad:

192.0.2.234 | x

Význam polí záznamu:

Zdrojová IP adresa | Zdrojový port (protokol) | čas | kód=z

Příklad:

192.0.2.239 | 26147 (UDP) 2012-07-16_07:09:37 | z

Význam polí záznamu:

Zdroj. IP adresa | RequestURI (verse metoda) čas | kód=Z

Příklad:

192.0.2.249 | /dropfilms/data.php (HTTP/1.1 POST) 2013-10-22_18:59:21 | Z

CESNET-CERTS hodlá projekt N6 dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě na tuto adresu n6@cesnet.cz. Už nyní CESNET N6 nabízí tyto možnosti:

• posílat vám nejen standardní dopis se všemi incidenty ve vaší síti, ale i dílčí kopie tohoto dopisu, z nichž každá obsahuje incidenty týkající se jediné IP adresy
• úplně ignorovat jednotlivé IP adresy
• úplně ignorovat celé sítě
• v hlášeních Arakisu zobrazovat i příslušné pravidlo SNORTu
• v hlášeních o trojském koni Zeus zobrazovat i 40znakový identifikátor p2p-node-id.

Všechny zprávy, které systém CESNET N6 rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.