Badanie bezpieczeństwa sieci

Firmy potrzebują mechanizmów obrony przed złośliwym kodem, których nie zapewniają programy antywirusowe, taki jest wniosek z badania zagrożeń internetowych przeprowadzonego przez Computerworld.

Przedsiębiorstwa potrzebują obrony przed złośliwym kodem, jakiego nie znają programy antywirusowe, i zwrócenia szczególnej uwagi na bezpieczeństwo aplikacji webowych oraz innych urządzeń, do których można się połączyć z zewnątrz. Do takich wniosków można dojść na podstawie wyników badania zagrożeń internetowych przeprowadzonego przez Computerworld.

Obecne badanie przeprowadzono w podobny sposób jak poprzednie, chociaż tym razem spektrum analizowanych ataków było znacznie szersze. Przedmiotem badania były przechwycone informacje o atakach i dane o ruchu internetowym, które mają znaczenie przy analizie zagrożenia polskich przedsiębiorstw. Aby poznać zagrożenia związane ze złośliwym oprogramowaniem, którego nie znają motory antywirusowe, po raz pierwszy wprowadziliśmy do badania analizę plików prowadzoną w technologii piaskownicy realizowanej w chmurze. Podobnie jak w badaniu przeprowadzonym w okresie świątecznym 2014 r., gdy przed firmową infrastrukturą IDG zostało zainstalowane urządzenie IPS klasy Enterprise, w obecnym również prowadzony był monitoring ruchu sieciowego za pomocą profesjonalnego urządzenia, wyskalowanego z wystarczającym zapasem na największy obserwowany szczyt obciążenia. Nie analizowaliśmy ani funkcjonalności, ani wydajności, ani możliwości użytego urządzenia rejestrującego (Palo Alto Networks, PA-3000 series). Przy analizie zagrożeń korzystaliśmy z pomocy zewnętrznych ekspertów.

Statystyki obserwowanego ruchu

Podstawowy ruch jest związany z przeglądaniem zasobów udostępnianych przez IDG. Ruch ten jest klasyfikowany jako web browsing. Najwięcej jego klientów znajduje się w Polsce (85,97% sesji), na drugim miejscu są Niemcy (3,75% sesji), na trzecim uplasowały się Stany Zjednoczone (3,57% sesji), na czwartym Wielka Brytania (2,75% sesji), zestawienie zamykają Norwegia (0,91%) i Francja (0,6%). Pozostałe kraje stanowią 2,75% zarejestrowanych sesji. Oznacza to, że główni odbiorcy serwisów za granicą znajdują się tam, gdzie jest istotna polska mniejszość narodowa.

Obserwowany ruch obejmował nie tylko serwery, ale również infrastrukturę biurową IDG Poland, włącznie ze specjalną podsiecią dla gości. Najwięcej sesji (ponad 35 mln) było związanych z usługą DNS, na drugim miejscu znalazło się ogólne korzystanie z internetu (protokół HTTP na porcie 80, prawie 18 mln sesji), trzecie miejsce zajął ruch szyfrowany z użyciem SSL (3,3 mln sesji). W praktyce oznacza to, że co szóste połączenie z typowych aplikacji przechodziło w postaci szyfrowanej. Ze względu na prywatność użytkowników nie mogliśmy przeprowadzić inspekcji całego ruchu szyfrowanego SSL, by dokładniej analizować pracę aplikacji korzystających z takich połączeń.

Beata Kwiatkowska, konsultant do spraw bezpieczeństwa, wskazuje: „Połączenia szyfrowane są coraz powszechniej wykorzystywane. Podczas badania prawie 19% sesji webowych dotyczyło ruchu SSL. Ataki prowadzone wewnątrz szyfrowanych połączeń mogą być groźniejsze od tych, które są prowadzone w nieszyfrowanym ruchu, gdyż w normalnych warunkach nie podlegają inspekcji. Oznacza to, że w krótkim czasie inspekcja ruchu SSL powinna stać się standardem w dziedzinie zabezpieczeń klasy Enterprise”.

Aplikacje w firmowej sieci

Nowoczesne zapory potrafią rozpoznawać oprogramowanie na podstawie ruchu sieciowego, dotyczy to także aplikacji webowych. Podczas badania obserwowaliśmy ruch wielu aplikacji, począwszy od firmowego oprogramowania niezbędnego do udostępniania portali (http, dns, ntp, mysql, icmp), przez analitykę webową (google-analytics, web-crawlers), komunikatory internetowe i usługi webowe oraz transmisję audio i wideo.

Aplikacje webowe szyfrują najwięcej informacji

Nie ulega wątpliwości, że wśród wszystkich aplikacji najwięcej szyfrują aplikacje webowe. Liderem jest Facebook, na drugim miejscu Google Analytics, na trzecim - Google Maps.

Mimo braku inspekcji ruchu szyfrowanego podczas badania mogliśmy określić statystyczny udział połączeń poszczególnych aplikacji, które korzystają z szyfrowania. Liderem jest Facebook (199 tys. sesji), na kolejnych miejscach znajdują: Google Analytics (103 tys. sesji), Google Maps (53 tys. sesji), ruch aplikacji Adobe Flash (51 tys. sesji), Skype (47 tys. sesji), Twitter (40 tys. sesji), LinkedIn (25 tys. sesji), FlashGet (20 tys. sesji) oraz Gmail (blisko 20 tys. sesji). Ogólny odsetek szyfrowanego ruchu (wszystkich aplikacji, nie tylko webowych, włącznie z bardzo ruchliwym protokołem DNS), wynosił 8,12% (4,75 mln sesji nieszyfrowanych, 58,5 mln sesji szyfrowanych).

Ataki z zewnątrz i od środka

Mimo coraz bardziej skomplikowanych zabezpieczeń dołączone do internetu urządzenia i aplikacje w dalszym ciągu są narażone na niepożądane połączenia. Napastnicy wykorzystują przy tym bezpośrednie połączenia przychodzące do atakowanej sieci (łącząc się na porty związane z dostępnymi z zewnątrz usługami) lub wprowadzają złośliwe oprogramowanie w zainicjowanych od środka połączeniach (najczęściej za pomocą ataków drive by). W badaniu obserwowaliśmy obydwa rodzaje ataków, włącznie z narzędziami do instalacji złośliwego oprogramowania wysyłanymi w wiadomościach poczty elektronicznej oraz umieszczanych w linkach.

Ataki na serwery webowe

Serwery webowe są szczególnie narażone na atak

Najczęściej obserwowane ataki dotyczą serwerów webowych. Średnio na dobę obserwowaliśmy kilka tysięcy takich zdarzeń. Najpopularniejsze były:

  • próba nieautoryzowanego dostępu do różnych plików,
  • przechodzenie poza dozwolone ścieżki serwisu,
  • Cross-Site scripting,
  • SQL Injection,
  • ataki specyficzne dla maszyn i aplikacji platformy Windows

Udostępnianie informacji jest procesem związanym z podstawową gałęzią biznesową IDG, przedsiębiorstwo posiada własną infrastrukturę hostingową. Jest ona narażona na różne ataki przenoszone wewnątrz protokołu HTTP. Podczas badania zarejestrowaliśmy ataki związane z wieloma podatnościami, najpopularniejsze dotyczyły omijania zabezpieczeń serwerów webowych: próba nieautoryzowanego dostępu do różnych plików, w tym passwd (średnio 1088 prób na dobę), przechodzenie poza dozwolone ścieżki serwisu (directory traversal – średnio 732 prób), próba nadużyć skryptów (Cross-Site scripting – 560 prób), wstrzyknięcie kodu SQL (SQL Injection – 194 próby), ataki specyficzne dla konfiguracji starszych serwerów Windows (średnio 166 prób na dobę). Notowaliśmy ok. 3 tys. takich ataków na dobę, większość przeprowadzanych z użyciem typowych skryptów. Przeprowadzona przez nas korelacja zdarzeń udowadnia, że włamywacze stosują podobne narzędzia także w szyfrowanych połączeniach SSL.

Beata Kwiatkowska wyjaśnia: „Należy koniecznie zadbać o bezpieczeństwo aplikacji webowych, gdyż napastnicy regularnie prowadzą tak zwane niezamawiane testy penetracyjne. Mogą oni zablokować pracę takiej aplikacji, zniszczyć lub zmodyfikować dane, a także rozsiewać złośliwe oprogramowanie. Skutki włamania mogą być bardzo kosztowne, szczególnie gdy jest to aplikacja istotna dla działania firmy”.

Atak na OpenSSL – Heartbleed

Zagrożenie przychodzi z sieci Tor

Aż 63% ataków na biblioteki SSL przychodziło z sieci Tor.

Jedną z groźniejszych podatności związanych z ruchem szyfrowanym SSL była luka Heartbleed. Chociaż wszystkie firmowe serwery zostały zaktualizowane, włamywacze nadal próbowali wykorzystać tę podatność. Podczas badania zaobserwowaliśmy 24 takie ataki, przy czym aż 15 przychodziło z węzłów wyjściowych sieci Tor lub maszyn wirtualnych uruchamianych w różnych środowiskach hostingowych. Ataki te były prowadzone automatyczne, niekiedy kilka razy w różnym odstępie czasu, mimo że używane w środowisku hostingowym IDG biblioteki OpenSSL nie były podatne. Podobne zjawisko obserwowaliśmy przy atakach na usługę SSH.

Beata Kwiatkowska komentuje: „Aktywność nastoletnich pasjonatów oraz początkujących włamywaczy bywa lekceważona. To poważny błąd, gdyż zaniedbanie podstawowej ochrony sprawi, że nawet nastolatek z Metasploitem lub początkujący cyberprzestępca z prostymi narzędziami za 100 USD może spowodować duże szkody”.

Ataki na serwery linuksowe przychodzą z Ukrainy i Chin

Kto próbuje odgadnąć hasła?

Najwięcej ataków brute force przychodziło ze stosunkowo wąskiej grupy adresów IP przypisanych do różnych krajów:

  • Ukraina
  • Czechy
  • USA
  • Niemcy
  • Chiny

Wysoka pozycja Czech jest związana z zaplanowanymi testami podatności, które były prowadzone z oprogramowania uruchomionego w jednym z czeskich centrów przetwarzania danych.

Jednym z najważniejszych ataków, których celem były wyłącznie systemy typu UNIX (takie jak różne dystrybucje linuksa) i urządzenia sieciowe, było łamanie haseł dostępu SSH (metodą brute force). Najwięcej takich ataków zaobserwowaliśmy z adresów tagowanych jako ukraińskie (13,7 tys. sesji), na drugim miejscu znalazły się planowane, automatyczne testy podatności realizowane z czeskich adresów IP (2,4 tys. sesji), kolejne miejsca zajęły grupy adresów amerykańskich (158 sesji), niemieckich (108 sesji), chińskich (19 sesji) oraz przychodzące z RPA (4 sesje). Ostatnie połączenia były realizowane przez sieć Tor, której węzły wyjściowe znalazły się właśnie w tym kraju.

Włamywacze korzystają z sieci Tor

Jedna trzecia zapisanych prób przełamania zabezpieczeń maszyn z systemami typu UNIX (w szczególności Linux) przychodzi z sieci Tor.

Inną podatnością, która była obecna w Linuksie, jest możliwość zdalnego wykonania kodu za pomocą powłoki Bash. Podatność ta jest sprawdzana automatycznie przez różnego rodzaju boty i służyła do włamań do serwerów lub urządzeń osadzonych. Najwięcej takich ataków obserwowaliśmy z adresów chińskich (143 sesje), francuskich (39 sesji), luksemburskich (26 sesji) oraz greckich (24 sesje). Jedna trzecia tych ataków przychodziła z węzłów wyjściowych sieci Tor.

Beata Kwiatkowska dodaje: „Włamywacze regularnie korzystają z tuneli oraz narzędzi anonimizujących, takich jak Tor, by zacierać ślady. Podczas badania nie zarejestrowano ani jednej próby połączeń o wysokim ryzyku z adresów IP klasyfikowanych jako rosyjskie, ale wiele ataków ewidentnie wykorzystujących możliwe podatności serwerów przychodziło z adresów oznaczonych jako ukraińskie. Nie można zatem całkowicie polegać na geolokalizacji przy ustalaniu kraju, z którego przychodzi zagrożenie”.

Złośliwe oprogramowanie w załącznikach poczty

Złośliwe oprogramowanie pod lupą

Aż 61% wszystkich zarejestrowanych przypadków złośliwego oprogramowania wykryto w wiadomościach poczty elektronicznej.

Trzy czwarte wszystkich próbek stanowią instalatory koni trojańskich lub malware'u wymuszającego okup.

Serwery pocztowe są standardowo wyposażane w skanery antywirusowe, niektóre rozwiązania wykorzystują motory kilku dostawców, by skuteczność odsiewania złośliwego oprogramowania była jak największa. Standardem jest skaner antyspamowy, niekiedy w modelu usługowym. Mimo tak zaawansowanych narzędzi ochrony poczta elektroniczna nadal jest jednym z podstawowych kanałów przesyłania złośliwego oprogramowania – blisko dwie trzecie (202 przypadki) alarmów narzędzia dotyczyło malware'u dostarczanego właśnie do skrzynek pocztowych.

Pośród 332 plików klasyfikowanych jako malware większość (ok. 75%) stanowią instalatory jednego z koni trojańskich lub oprogramowania wymuszającego okup za odszyfrowanie plików (ransomware). Najpopularniejszym koniem trojańskim atakującym klientów bankowości elektronicznej były klony ZeuSa oraz TinbaKD, najczęstszym zagrożeniem było oprogramowanie ransomware. Obecne były także makrowirusy w dokumentach pakietu Office (dwie próbki).

Beata Kwiatkowska zwraca uwagę na zagrożenia związane z pospolitym złośliwym oprogramowaniem: „Każde z dzisiejszych narzędzi cyberprzestępczych może powodować znaczące szkody w firmach. Złośliwe oprogramowanie przeznaczone do ataków na końcowych użytkowników może wykradać dane i informacje firmowe, ale może również szyfrować pliki i żądać opłat za ich odszyfrowanie. Ransomware jest poważnym zagrożeniem, atakuje niespodziewanie i powoduje bardzo duże straty”.

Czy antywirus jeszcze ma sens w firmach?

Podczas badania zaledwie jedna próbka na osiem była klasyfikowana jako malware przez motory wykorzystywane przez portal VirusTotal.com. W miarę upływu czasu coraz więcej antywirusów poznało dany typ malware'u i obecnie większość antywirusów zna już kod używany przy czerwcowych atakach, ale nadal są wyjątki od reguły. Wśród 11 losowo wybranych próbek złośliwego oprogramowania przechwyconych w czerwcu 2015 r. przez narzędzia sandbox znalazły się dwie, które do końca grudnia 2015 r. nie były zgłaszane do analizy na stronach VirusTotal.com. W trakcie badania prowadzono również ręczną wyrywkową analizę przechwyconych próbek, które mechanizm sandbox sklasyfikował jako malware. Werdykt motorów antywirusowych skojarzonych z portalem VirusTotal.com nie był jednoznaczny. Oznacza to, że skuteczność narzędzi antywirusowych w ochronie przed nieznanym kodem jest wysoce ograniczona i uruchomienie w kontrolowanym środowisku piaskownicy zapewnia dokładniejszą analizę.

12% wykrytych próbek

Jedna wykryta próbka na osiem była klasyfikowana jako malware przez motory antywirusowe w chwili badania.

Należy pamiętać, że w przypadku ataków drive-by, w których kolejne składniki są składane i instalowane w środowisku stacji roboczej, antywirus pracujący w tym samym środowisku ma szansę wychwycić proces konstrukcji malware'u i usunąć go przy próbie uruchomienia. Taki scenariusz zastosowano w trakcie ubiegłorocznego badania (prezentowanego podczas wystąpienia „Jak ONI nas atakują” – M. Marciniak, SEMAFOR 2015), gdy korporacyjny antywirus obecny na stacji roboczej IDG usunął pobrane, deszyfrowane i przygotowane do uruchomienia złośliwe oprogramowanie. Podczas tegorocznego badania nie zarejestrowaliśmy podobnej sekwencji zdarzeń.

Beata Kwiatkowska komentuje: „Antywirus nadal jest niezbędny i rezygnowanie z niego jest co najmniej nierozsądne. Zabezpieczenie komputera choćby standardowym oprogramowaniem antywirusowym wszystkiego nie przefiltruje, ale może poinformować w niebezpiecznym momencie, że coś złego może się stać. Antywirus dobrze sobie radzi z zagrożeniami, które zna, i działa bardzo szybko. Część złośliwego kodu będzie się powtarzać, a wtedy takie śmieci można szybko odsiać na pierwszym etapie bez angażowania środowiska piaskownicy”.


TOP 200