Systém SSERV sítě CESNET2

Nadace Shadowserver, americká nezisková organisace složená z dobrovolníků, sbírá, sleduje a generuje hlášení o zločinném softwaru, aktivitě botnetů a elektronických podvodech. Snaží se informovat o zkompromitovaných strojích, o útocích a o šíření virů, a tím zlepšit bezpečnost sítě Internet.

Bezpečnostní tým CESNET-CERTS získal přístup k záznamům Shadowserveru o síti CESNET2 a pravidelně je distribuuje příslušným správcům všech sítí, které jsou součástí jeho autonomního systému. K tomu slouží systém SSERV, který je v provozu od listopadu 2010.

Shadowserver uvádí, že dokáže detekovat mnoho druhů bezpečnostních incidentů. CESNET-CERTS od něho zatím dostal těchto 20 druhů hlášení o síti CESNET2:

  • Botnet Proxy Report - hlášení o infikovaných strojích, které slouží jako proxy servery pro rozesílání spamu nebo napadání dalších strojů.
  • Command and Control Report - hlášení o aktivních řídicích serverech botnetů za uplynulý týden. Obsahuje IP adresu a číslo TCP portu C&C serveru a název kanálu použitého pro řízení botnetu.
  • Compromised Website Report - hlášení o webových serverech zkompromitovaných prostřednictvím botnetů. Mohou na nich běžet staré verse CMS (Joomla/Drupal/Wordpress) nebo užívají zkompromitovaných/slabých hesel správců.
  • Drone Report - hlášení o infikovaných strojích, které se podařilo zjistit při monitorování provozu řídicích serverů IRC, botnetů HTTP nebo poštovních relé distribujících nevyžádanou poštu. U některých záznamů je uveden i typ infekce - např. název viru na infikovaném stroji.
  • Microsoft Sinkhole Report - hlášení o strojích, které se připojily k HTTP serverům firmy Microsoft zřízeným v rámci projektů Operation b54 apod. proti různým botnetům. Takové stroje tedy buď jsou infikované, nebo patří bezpečnostním expertům.
  • Open Proxy Report - hlášení o infikovaných strojích, které slouží jako proxy servery pro rozesílání spamu nebo napadání dalších strojů.
  • Open DNS Resolver Report - hlášení o otevřených DNS resolverech, kterých lze zneužít v masivních útocích typu DDoS (Distributed Denial of Service) a k podvržení nesprávných údajů do DNS (Cache Poisoning). Viz toto a toto.
  • Sandbox URL Report - hlášení o URL, na které se snažil připojit vzorek malware v sandboxu typu CWSandbox.
  • Scan CHARGEN Report - hlášení o strojích poskytujících službu UDP Character Generator, které lze zneužít k útokům typu DDoS (Distributed Denial of Service). Viz toto.
  • Scan IPMI Report - hlášení o serverech, na kterých je služba Intelligent Platform Management Interface dostupná z veřejného internetu; takový stav je velmi nebezpečný. Viz toto a toto.
  • Scan NAT-PMP Report - hlášení o strojích, které reagují na dotazy UDP NAT-PMP (RFC 6886) přijaté na veřejném rozhraní; lze tak zjistit informace o privátní síti a o přenášených datech. Viz toto.
  • Scan NETBIOS Report - hlášení o strojích poskytujících službu UDP NETBIOS Name Service, které lze zneužít k útokům typu DDoS (Distributed Denial of Service). Viz toto.
  • Scan NTP Report - hlášení o otevřených NTP serverech, kterých lze zneužít k útokům typu DDoS (Distributed Denial of Service) prostřednictvím dotazů typu Mode 6. Viz toto.
  • Scan NTP Monitor Report - hlášení o otevřených NTP serverech, kterých lze zneužít k ještě masivnějším útokům typu DDoS (Distributed Denial of Service) prostřednictvím dotazů typu Mode 7. Viz toto.
  • Scan QOTD Report - hlášení o strojích poskytujících službu UDP Quote of the Day, které lze zneužít k útokům typu DDoS (Distributed Denial of Service). Viz toto.
  • Scan SNMP Report - hlášení o strojích poskytujících službu SNMP verse 2, které lze zneužít k masivním útokům typu DDoS (Distributed Denial of Service). Viz toto.
  • Scan SSDP Report - hlášení o strojích poskytujících službu SSDP, které lze zneužít k masivním útokům typu DDoS (Distributed Denial of Service). Viz toto.
  • Sinkhole HTTP Drone Report - hlášení o strojích, které se připojily k HTTP serverům projektu Shadowserver zřízeným na adresách, jichž měly používat zločinné domény. Takové stroje tedy buď jsou infikované, nebo patří bezpečnostním expertům.
  • Sinkhole HTTP Referer Report - hlášení o strojích, které se připojily k HTTP serverům projektu Shadowserver zřízeným na adresách, jichž měly používat zločinné domény; tyto stroje uvedly v poli Referer URL, které odkazuje na Váš stroj. Tento odkaz může být zfalšovaný; je vhodné to prověřit.
  • Spam URL Report - hlášení o nevyžádané poště, kterou odeslal poštovní server nebo která obsahovala URL ze sítě CESNET2. Je možné, že URL je legitimní a že je spammer uvedl proto, aby zvýšil důvěryhodnost svého dopisu, ale je vhodné to prověřit.
  • SSL-POODLE Scan Report - hlášení o strojích poskytujících službu SSL v.3 v režimu Cipher Block Chaining (CBC) a tedy zranitelných skrze útok MiTM POODLE (Padding Oracle On Downgraded Legacy Encryption). Viz toto.
  • SSL-FREAK Scan Report - hlášení o strojích poskytujících službu SSL/TLS se slabými šiframi RSA_EXPORT a tedy zranitelných skrze útok MiTM FREAK (Factoring RSA Export Keys). Viz toto.

Hlášení, která rozesílá CESNET SSERV, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. Časové pásmo = GMT. Nedostupné údaje v hlášeních jsou nahrazeny hvězdičkami. Typ incidentu, o který se jedná, hlásí kód uvedený jako poslední znak na řádce takto:

B - Scan NETBIOS Report

Význam polí záznamu:

IP adresa stroje | (UDP port) | čas | kód=B

Příklad: 

192.0.2.13 (137) 2014-04-22_12:08:24 B

C - Command and Control Report

Význam polí záznamu:

IP adresa C&C serveru | TCP port | (kanál zneužitý pro botnet) | kód=C

Příklad: 

192.0.2.23 6667 (#crack-me) C

D - Drone Report

Význam polí záznamu:

Zdrojová IP adr. | Zdroj.port → Cíl.IP adr. | Cíl.port | (typ infekce) | čas | kód=D

Příklad: 

192.0.2.33 2389 -> 10.12.34.166 80 (ConfickerC) 2010-11-18_09:59:56 D

F - Sinkhole HTTP Referer Report

Význam polí záznamu:

IP adresa z Refereru infikovaného stroje | (typ infekce) | čas | kód=F

Příklad: 

192.0.2.43 (downadup) 2014-03-12_19:52:34 F

f - SSL-FREAK Scan Report

Význam polí záznamu:

IP adresa stroje | TCP port | (Freak? Délka_Certifikátu Expirace?) | čas | kód=f

Příklad: 

192.0.2.48 443 (Y 1024 N) 2015-04-11_20:01:23 f

G - Scan CHARGEN Report

Význam polí záznamu:

IP adresa stroje | (UDP port) | čas | kód=G

Příklad: 

192.0.2.53 (19) 2014-03-27_13:58:51 G

H - Sinkhole HTTP Drone Report

Význam polí záznamu:

Zdroj.IP adr. | Zdroj.port → Cíl.IP adr. | Cíl.port | (typ infekce) | čas | kód=H

Příklad: 

192.0.2.63 2389 -> 10.56.78.193 80 (downadup) 2010-11-15_12:54:06 H

I - IPMI Report

Význam polí záznamu:

Zdroj.IP adr. | Zdroj.UDP port | Verse | NONEauth? | MD2auth? | MD5auth? | PASSKEYauth? | OEMauth? | DEFAULTkg? | PERMSGauth? | USERLEVELauth? | Usernames? | NULLuser? | ANONlogin? | čas | kód=I

Příklad: 

192.0.2.73 623 2.0 N Y Y Y N default enabled enabled Y Y N 2014-06-27_17:04:59 I

Vysvětlení jednotlivých parametrů a jejich doporučené hodnoty - viz https://www.shadowserver.org/wiki/pmwiki.php/Services/Open-IPMI

M - Microsoft Sinkhole Report

Význam polí záznamu:

Zdroj.IP adr. | Zdroj.port → Cíl.IP adr. | Cíl.port | (typ infekce) | čas | kód=M

Příklad: 

192.0.2.83 1152 -> 10.56.78.202 80 (B54-CONFIG) 2013-07-29_05:59:35 M

N - Scan SNMP Report

Význam polí záznamu:

IP adresa stroje | UDP port | (systém) | čas | kód=N

Příklad: 

192.0.2.93 161 (TIS-HPLJ2055) 2014-03-27_14:58:12 N

n - Scan NAT-PMP Report

Význam polí záznamu:

IP adresa stroje | UDP port | (kód_odpovědi ext_IP_adresa) | čas | kód=n

Příklad: 

192.0.2.98 5351 (128 192.0.2.98) 2015-01-29_18:47:59 n

O - Open Proxy Report

Význam polí záznamu:

IP adresa stroje | Proxy port | (typ a služba proxy) | čas | kód=O

Příklad: 

192.0.2.103 3128 (HTTP 1.1 192.168.1.1 (Mikrotik HTTPProxy)) 2012-04-24_21:09:20 O

P - Botnet Proxy Report

Význam polí záznamu:

IP adresa stroje | Proxy port | (typ proxy) | čas | kód=P

Příklad: 

192.0.2.113 80 (HTTPPROXY) 2011-03-10_11:57:00 P

Q - Scan QOTD Report

Význam polí záznamu:

IP adresa stroje | (UDP port) | čas | kód=Q

Příklad: 

192.0.2.123 (17) 2014-03-28_08:57:09 Q

R - Open DNS Resolver Report

Význam polí záznamu:

IP adresa stroje | (min. zesílení a verse DNS serveru) | čas | kód=R

Příklad: 

192.0.2.133 (4.2381 dnsmasq-2.32) 2013-11-12_20:09:31 R

S - Scan SSDP Report

Význam polí záznamu:

IP adresa stroje | UDP port | (systém) | čas | kód=S

Příklad: 

192.0.2.143 1900 (XRX_OS/1.0 UPnP/1.0 Phaser 8550DP) 2014-03-27_14:03:16 S

s - SSL-POODLE Scan Report

Význam polí záznamu:

IP adresa stroje | TCP port | (Poodle? Délka_Certifikátu Expirace?) | čas | kód=s

Příklad: 

192.0.2.148 443 (Y 1024 N) 2014-12-01_17:05:43 s

T - Scan NTP Report

Význam polí záznamu:

IP adresa stroje | UDP port | (systém) | čas | kód=T

Příklad: 

192.0.2.153 123 (ntpd 4.2.4p5-a1) 2014-03-27_14:03:16 T

t - Scan NTP Monitor Report

Význam polí záznamu:

IP adresa stroje | UDP port | (počet přijatých paketů a bytů) | čas | kód=t

Příklad: 

192.0.2.163 123 (100 44000) 2014-06-23_16:47:19 t

U - Spam URL Report

Význam polí záznamu:

IP adresa stroje v URL | (IP adresa odesilatele) → URL | čas | kód=U

Příklad: 

192.0.2.173 (192.0.2.1) -> hXXp://www.example.com/f.asp?the=9872 2010-11-19_02:13:30 U

W - Compromised Website Report

Význam polí záznamu:

IP adresa stroje|TCP port (aplik.prot. http_host url) tag|čas|kód=W

Příklad: 

192.0.2.183 80 (hXXp www.example.com images/821/72/css.php) stealrat-t1 2014-06-23_16:39:14 W

X - Sandbox URL Report

Význam polí záznamu:

IP adresa stroje | URL | metoda | čas | kód=X

Příklady: 

192.0.2.193 hXXp://192.0.2.89/~skots0am/grabber/index.php GET 2014-02-12_17:18:19 X
192.0.2.194 fXp://anonymous:pwd@ftp.example.cz/pub/win/Mario.zip * 2014-02-12_18:19:20 X

U všech incidentů kromě U - Spam URL Report Shadowserver zásadně posílá jediný záznam o každé IP adrese nebo o každém URL bez ohledu na počet detekovaných incidentů. Systém SSERV omezuje počet zobrazovaných záznamů typu U - Spam URL Report o každé IP adrese na max. 4 řádky.

CESNET-CERTS hodlá projekt SSERV dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě na tuto adresu. Už nyní CESNET SSERV nabízí tyto možnosti:

  • posílat vám nejen standardní dopis se všemi incidenty ve vaší síti, ale i dílčí kopie tohoto dopisu, z nichž každá obsahuje incidenty týkající se jediné IP adresy
  • úplně ignorovat jednotlivé IP adresy
  • úplně ignorovat celé sítě
  • ignorovat jednotlivé IP adresy pro hlášení trojského koně DNSchanger
  • ignorovat jednotlivé IP adresy pro hlášení typu D (Drone Report) a H (Sinkhole HTTP Drone Report).

CESNET-CERTS požádal Shadowserver o poskytování podrobnějších informací pro vybrané IP adresy, na kterých jsou v provozu Port Address translatory. Administrátor Shadowserveru odpověděl: 

> We can query it individually.  It is not a service that is offered.
> (...) We would only be able to query specific IP's or networks that
> you had a question about, and all the answers would be ad-hoc.

Od dubna 2014 rozesílá Shadowserver zprávy typu T - Scan NTP Report o otevřených NTP serverech, kterých lze zneužívat k útokům typu DDoS. Obvykle jde o NTP servery na síťových prvcích (router, switch) a na Unixových/Linuxových strojích.

Bezpečné šablony pro konfiguraci NTP na strojích Cisco, Juniper, UNIX od Cymru Teamu

http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html |

Protokol NTP na zařízeních Cisco

Cisco Event Response: Network Time Protocol Amplification Distributed Denial of Service Attacks 

! Core NTP configuration
!
! NTP access control
!
access-list 1300 remark utility ACL to block everything
access-list 1300 deny any
!
access-list 1301 remark NTP peers/servers we sync to/with
access-list 1301 permit 192.0.2.10
access-list 1301 permit 192.0.3.10
access-list 1301 deny any
!
access-list 1302 remark Hosts/Networks we allow to get time from us
access-list 1302 permit 192.0.2.0  0.0.0.255
access-list 1302 permit host 192.168.12.12
access-list 1302 deny any
!
! deny all NTP control queries
ntp access-group query-only 1300
!
! deny all NTP time and control queries by default
ntp access-group serve 1300
!
! permit time sync to configured peer(s)/server(s) only
ntp access-group peer 1301
!
! permit NTP time sync requests from a select set of clients
ntp access-group serve-only 1302
!
! Core NTP configuration
ntp server 192.0.2.10
ntp server 192.0.3.10
!

Zde je doplnění pro IPv6: 

!
ip access-list extended acl-ntp
  remark NTP IPv4 deny
  deny ip any any
!
ipv6 access-list acl-ntp6
   remark NTP IPv6 deny
   deny ipv6 any any
!
ntp access-group serve-only acl-ntp
ntp access-group ipv6 serve-only acl-ntp6
!

Pokud směrovače mají poskytovat službu, je třeba do obou ACL před poslední deny doplnit permit pro povolenou síť.

Tento příspěvek sem poslal 7.4.2014 Josef.Verich@cesnet.cz:

Do některých nových SW na Cisco boxech se při doplňování NTP filtrů i pro IPv6 se dostala chyba popsaná v CSCuj66318, která povolí poslat požadavek o monitorovací údaje (NTP mode 6 a 7).

Zdá se, že se jedná o všechny verze IOS a IOS-XE, které umožňují zadat příkazy 

	ntp access-group ipv6 ...

V IOS-XR je to v pořádku. Stejně tak i v těch starších verzích.

Komunikace mode 6 a 7 je v těch nových verzích blokována pouze pro stroje, které jsou povolené v access-listu použitém pro „serve-only“.

To sice způsobí, že ten box povolí NTP komunikaci mode 3 a 4 s kýmkoli, ale mode 6 a 7 je blokovaný. Takže ke zneužití pro zesílení útoků se to nedá použít.

Proto jsem na boxy, které mají verzi IOS postiženou tímto neduhem, použil následující template s workaroundem. 

! Core NTP configuration
!
! NTP access control
!

ip access-list standard ntp_peer_ipv4
 remark NTP peers/servers we sync to/with
 permit 192.0.2.10
 permit 192.0.3.10
 deny   any

ip access-list standard ntp_query-only_ipv4
 remark utility ACL to block everything
 deny   any

ip access-list standard ntp_serve-only_ipv4
 remark Hosts/Networks we allow to get time from us
 permit 192.0.2.0 0.0.0.255
 permit 192.168.12.12
!
 remark Workaround bugu CSCuj66318.
 remark Po jeho vyreseni muze byt radek "permit any" odstranen.
 permit any
!
 deny   any

ip access-list standard ntp_serve_ipv4
 remark utility ACL to block everything
 deny   any

ipv6 access-list ntp_peer_ipv6
 remark NTP peers/servers we sync to/with
 deny ipv6 any any

ipv6 access-list ntp_query-only_ipv6
 remark utility ACL to block everything
 deny ipv6 any any

ipv6 access-list ntp_serve-only_ipv6
 remark Hosts/Networks we allow to get time from us
!
 remark Workaround bugu CSCuj66318.
 remark Po jeho vyreseni muze byt radek "permit ipv6 any any" odstranen.
 permit ipv6 any any
!
 deny ipv6 any any

ipv6 access-list ntp_serve_ipv6
 remark utility ACL to block everything
 deny ipv6 any any

ntp access-group peer ntp_peer_ipv4
ntp access-group serve ntp_serve_ipv4
ntp access-group query-only ntp_query-only_ipv4
ntp access-group serve-only ntp_serve-only_ipv4

ntp access-group ipv6 peer ntp_peer_ipv6
ntp access-group ipv6 serve ntp_serve_ipv6
ntp access-group ipv6 serve-only ntp_serve-only_ipv6
ntp access-group ipv6 query-only ntp_query-only_ipv6


! Core NTP configuration
ntp update-calendar
ntp server 192.0.2.10
ntp server 192.0.3.10
ntp source Loopback0
!

NTP na Unixových/Linuxových strojích

UDP-based Amplification Attacks

NTP Security Notice

Od 16.11.2011 rozesílá Shadowserver zprávy typu D - Drone Report s hlášením o trojském koni DNSchanger.

Příklad: 

10.1.2.3 4567 -> 192.168.123.45 53 (dnschanger) 2011-11-15_09:44:14 D

DNSchanger se snaží na PC, Macu nebo dokonce i na síťovém hardwaru (ADSL router apod.) přesměrovat DNS služby na servery, které ovládají útočníci - viz např.

http://www.net-security.org/article.php?id=1150

http://reviews.cnet.com/8301-13727_7-57322316-263/fbi-tackles-dnschanger-malware-scam/

Pokud se tato hlášení týkají jen oficiálních DNS serverů vaší organisace, je to v pořádku. Pokud se hlášení týkají uživatelských stanic nebo síťového hardwaru, je třeba je zkontrolovat.

Pokud si přejete, aby SSERV ignoroval hlášení o DNSchangeru pro některé vaše stroje (DNS servery), napište laskavě na tuto adresu.

Všechny zprávy, které systém CESNET SSERV rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.