cs:services:x4

Systém X4 sítě CESNET2

Dne 19. října 2011 přijala vláda České republiky usnesení č. 781 o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Na základě tohoto usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB) jako součást Národního bezpečnostního úřadu.

Úlohou NCKB je koordinace spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům. NCKB spolupracuje s národními CERT® a CSIRT týmy.

V rámci této spolupráce získal bezpečnostní tým CESNET-CERTS přístup k záznamům NCKB o bezpečnostních událostech v síti CESNET2 a pravidelně je distribuuje příslušným správcům všech sítí, které jsou součástí autonomního systému CESNETu. K tomu slouží systém X4, který je v provozu od března 2014.

Prozatím máme přístup k těmto druhům hlášení:

Hlášení, která CESNET X4 rozesílá, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. Časové pásmo = GMT.

Příklady hlášení:

Pokud je zaznamenáno max. 7 výskytů určitého incidentu (zde červ Conficker), vypisujeme všechny:

IPadd: 192.0.2.11 = pc11.example.cz 
Malware/Botnet: Conficker = 6* 
2014-02-25_19:21:32 192.0.2.11 1821 -> 198.51.100.44 80
2014-02-25_19:21:38 192.0.2.11 1800 -> 198.51.100.44 80
2014-02-25_19:22:18 192.0.2.11 1811 -> 198.51.100.44 80
2014-02-25_19:23:18 192.0.2.11 1835 -> 198.51.100.99 80
2014-02-25_19:23:19 192.0.2.11 1855 -> 198.51.100.99 80
2014-02-25_19:24:39 192.0.2.11 1856 -> 198.51.100.99 80

Pokud je zaznamenáno více než 7 výskytů incidentu (zde B68-2-64, tj. Zeroaccess verse 2 po 64bitové MS Windows), vypisujeme jen první 3, počet vynechaných řádek a poslední 3 výskyty:

IPadd: 192.0.2.22 = pc22.example.cz
Malware/Botnet: B68-2-64 = 136* 
2014-02-26_13:53:57 192.0.2.22 62695 -> 198.51.100.55 16465
2014-02-26_13:54:39 192.0.2.22 62695 -> 198.51.100.55 16465
2014-02-26_13:55:29 192.0.2.22 62695 -> 203.0.113.166 16465
 ... 130 lines skipped ...
2014-02-26_13:58:55 192.0.2.22 62695 -> 198.51.100.77 16465
2014-02-26_13:59:41 192.0.2.22 62695 -> 203.0.113.222 16465
2014-02-26_14:00:59 192.0.2.22 62695 -> 203.0.113.222 16465

Zde je ukázka záznamu komunikace DNS serveru týkající se opět botnetu B68-DNS (Zeroaccess). Nemusí znamenat, že je infikovaný stroj 192.0.2.33 = ns1.example.cz; infikován je spíše stroj ze sítě vlastní organisace, který užívá tohoto DNS serveru jako implicitního:

IPadd: 192.0.2.33 = ns1.example.cz 
Malware/Botnet: B68-DNS = 8* 
2014-02-27_23:05:02 192.0.2.33 23921 -> 203.0.113.198 53
2014-02-27_23:05:02 192.0.2.33 16128 -> 203.0.113.199 53
2014-02-27_23:05:41 192.0.2.33 59843 -> 203.0.113.198 53
 ... 2 lines skipped ...
2014-02-27_23:09:25 192.0.2.33 43677 -> 203.0.113.199 53
2014-02-27_23:09:26 192.0.2.33 47563 -> 203.0.113.198 53
2014-02-27_23:09:26 192.0.2.33 34381 -> 203.0.113.199 53

Vzhledem k tomu, že velká část hlášení typu B68-DNS (Zeroaccess) je zfalšována, systém X4 tato hlášení od 19.9.2014 ignoruje.


23.9.2014 nám dodalo NCKB definice dvou nových typů botnetů: B106 a Caphaw. Děkujeme. :-)


9.3.2015 nám NCKB dodalo definici botnetu Ramnit. Děkujeme. :-)


4.5.2015 nám NCKB dodalo definici botnetu Simda. Děkujeme. :-)


CESNET-CERTS hodlá projekt X4 dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě na tuto adresu. CESNET X4 už nyní nabízí tyto možnosti:

  • posílat vám nejen standardní dopis se všemi incidenty ve vaší síti, ale i dílčí kopie tohoto dopisu, z nichž každá obsahuje incidenty týkající se jediné IP adresy
  • úplně ignorovat jednotlivé IP adresy
  • úplně ignorovat jednotlivé IP adresy
  • úplně ignorovat celé sítě.

11.12.2015 nám NCKB dodalo definici botnetu Dorkbot. Děkujeme. :-)


Všechny zprávy, které systém CESNET X4 rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.

Poslední úprava: 11.12.2015 13:55