årsrapporten vår
2012
SIKKERHETSÅRET
{
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Introduksjon
Hver dag hele året følger mnemonic med på trusselbildet innenfor vårt fagfelt. Denne rapporten
er en oppsummering av viktige temaer fra året som har gått, sett med våre øyne. Målet med
artiklene er å belyse trender og temaer vi mener har vært viktige i 2012. Vi forsøker også å si
noe om hvilken betydning disse temaene kommer til å få i 2013.
Årsrapport 2012
av mnemonic AS
Copyright © 2002-2013
Dette dokumentet kan ikke distribueres uten samtykke fra mnemonic as.
De følgende avsnitt kan inneholde midlertidige løsninger (workarounds) for sårbarheter som
blir beskrevet.
mnemonic garanterer ikke for resultatet og eventuelle følger disse løsningene kan føre med seg.
Vi anbefaler å alltid undersøke slike løsninger med de respektive leverandørene og sjekke det
opp mot eksisterende konfigurasjon.
Mye av informasjonen i dokumentet er hentet fra eksterne kilder, og kan derfor inneholde feil.
mnemonic tar ikke ansvar for innhold i eksterne lenker, eller innhold hentet fra eksterne kilder.
Side 3
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Innhold
Oversikt ................................................................................................................................................................................ 5
Årets artikler ...................................................................................................................................................................... 5
mnemonic-nyheter – 2012 ......................................................................................................................................... 7
Nøkkeltall og eksempler fra mnemonic Security Services .......................................................................... 8
Mobil sikkerhet ............................................................................................................................................................. 14
Målrettede angrep i 2012 ......................................................................................................................................... 17
Exploit kits........................................................................................................................................................................ 19
Tjenestenektangrep i Norge .................................................................................................................................... 22
Infiserte nettsider («OpenX») ............................................................................................................................... 28
Ransomware 2012 (løsepengevirus) ................................................................................................................... 29
Sikkerhetsmonitorering i går, i dag og i morgen .......................................................................................... 32
Side 4
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Oversikt
Årets format på årsrapporten fra mnemonic er noe annerledes enn det pleier å være. I år
har vi forsøkt å skrive noen lengre artikler som primært belyser de temaene vi mener har
vært viktige i 2012, og som kommer til å fortsette å være viktige i 2013.
I 2012 har vi opplevd en økning i sikkerhetshendelser på klientplattformer (endepunkt).
Forskjellen fra tidligere år er at denne økning til dels skyldes kampanjer som også inkluderer
norske nettsider. I 2012 har vi gjennom året hatt omtrent 100 infiserte norske nettsider i
måneden. Flere av kampanjene har hatt som mål å spre banktrojanere eller ransomware
(løsepengevirus). Felles for kampanjene er utstrakt bruk av exploit kits. Dette har preget
trusselbildet betydelig i 2012.
I 2012 har vi også sett andre typer angrep i Norge. Blant annet målrettede angrep og
tjenestenektangrep. Et interessant, men utfordrende aspekt ved noen av de større
tjenestenektangrepene har vært den tilsynelatende mangelen på motiver. Dette bringer med
seg noen interessante utfordringer.
Årets artikler
mnemonic-nyheter
Vi vil i rapportene fremover også legge til noen små avsnitt om nyheter og oppdateringer
fra mnemonic. I forbindelse med årsrapporten for 2012, er det også naturlig å informere
litt om de større endringene i mnemonic i foregående år.
Nøkkeltall og eksempler fra mnemonic Security Services
Gjennom ulike teknologier samler vi en rekke forskjellige datasett, som vi analyserer for å
oppdage sikkerhetshendelser og informere våre kunder. Disse dataene benyttes aktivt av vår
Threat Intelligence gruppe. Vi har plukket statistikk fra 2012 basert på samlede data på tvers av
alle våre kunder.
Mobil sikkerhet
Ekspertene spådde at 2012 skulle bli året da de mobile enhetene skulle bli de nye
lommebøkene våre, med introduksjonen av løsninger som Google Wallet. Der tok de
«dessverre» feil. En annen spådom var at mobil sikkerhet endelig skulle bli satt på
agendaen, og der fikk de heldigvis rett.
Målrettede angrep i 2012
Også i 2012 har målrettede angrep vært en aktuell trussel. Utfordringen med målrettede
angrep er å skille angrepene fra ikke-målrettede angrep. Hvert år gransker vi (mnemonic
IRT) en rekke datainnbrudd. Utfordringen er at teknikkene som benyttes i målrettede
angrep ofte er like de som benyttes i opportunistiske angrep. Det som skiller målrettede
angrep fra ikke-målrettet angrep er aktøren, motivasjon og intensjon.
Side 5
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Exploit kits
Vi omtaler ofte «Exploit kits» i våre nyhetsbrev og rådgivende skriv. For enkelte er navnet
selvforklarende, men for resten av oss er det kanskje ikke like intuitivt. Hva er egentlig et
«exploit kit»?
Tjenestenektangrep i Norge
Også i 2012 opplevde vi en rekke tjenestenektangrep i Norge. Som en leverandør av
sikkerhetstjenester opplever vi at kunder blir angrepet månedlig. Angrepene varierer
selvsagt i omfang.
Banktrojanere
De siste årene har begrepet «banktrojanere» fått økende medieomtale. Dette er skadelig
kode utbygget med funksjonalitet, som tilrettelegger for å stjele penger fra sluttbrukere ved
å angripe brukerens nettleser og modifisere dataene som presenteres til bruker. De sender
også informasjon videre til bakmennene.
Infiserte nettsider («OpenX»)
Siden februar 2012 har vi observert en kampanje mot norske nettsider som benytter
bannerreklamesystemet «OpenX». OpenX er et populært open source-system. Majoriteten
av «høyprofilerte» kompromitterte norske nettsider i 2012, ble kompromittert gjennom
sårbarheter i OpenX. Angriperne brukte primært den ervervede tilgangen til å spre
banktrojanere.
Ransomware 2012 (løsepengevirus)
I 2012 har vi sett en økning i løsepengevirus som enten har truffet Norge, eller som har
vært rettet mot norske brukere. 10. mars 2012 ble et nytt «løsepengevirus» observert i
Norge.
Sikkerhetsmonitorering i går, i dag og i morgen
– En til dels subjektiv artikkel om vår historikk, status quo og tiden fremover
Da mnemonic først leverte en «Intrusion Detection Service» for over 10 år siden så
trusselbildet betraktelig annerledes ut enn i dag. Kort oppsummert: Ting forandrer seg.
Hvordan har mnemonics overvåkningstjenester forandret seg de siste årene? Hvor er vi i
dag? Og hvor skal vi i morgen?
Side 6
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
mnemonic-nyheter – 2012
Vi vil i rapportene fremover også legge til noen små avsnitt om nyheter og oppdateringer fra
mnemonic. I forbindelse med årsrapporten for 2012, er det da naturlig å informere litt om de
større endringene i mnemonic i foregående år.
Selskapet fortsetter å vokse, og er nå 110 ansatte. Vi rekrutterer både nyutdannede og folk
med lengre erfaring. Vi synes det er spennende at vi nå har fått totalt tre kollegaer med
doktorgrad innenfor ulike områder knyttet til informasjonssikkerhet. Vi jobber også tett med
flere høyskoler og universiteter, hvor enkelte i mnemonic bistår med forelesninger, samt
hjelper studenter både med master- og bachelor-oppgaver.
Kvalitet er viktig i alle våre leveranser og har vært et sentralt fokusområde siden vi startet
opp. I 2011 og 2012 har vi jobbet med å forbedre kvalitetssystemet, og har i den forbindelse
også blitt sertifisert i henhold til ISO9001.
Flere av våre kunder ble i fjor utsatt for omfattende distribuerte tjenestenektangrep (DDoS).
Enkelte av disse angrepene har vært omtalt i media, og felles for disse er at det har medført
større problemer for kundene. Vi har jobbet tett med disse for å bistå med å begrense
konsekvensene av angrepene, samt kartlegge hvem som står bak og hvordan verktøy som
benyttes. Vi har også utvidet vår produkt- og tjenesteportefølje med tjenester og varer som
kan bidra til å begrense konsekvensene av disse angrepene.
I 2012 ble også flere norske virksomheter og organisasjoner utsatt for mer målrettede
angrep. I slike angrep besitter angriperne ofte store ressurser, og benytter en rekke verktøy.
Vi mottar regelmessig e-poster og andre filer til analyse. Flere av disse inneholder kode som
installerer ulike former for trojanere på systemene, og tapper kundene for data. Vi har en
større verktøykasse for å analysere slike filer, og jobber også tett med andre aktører for å
koordinere disse hendelsene.
Gjennom de siste årene har det blitt mer og mer viktig å dele data rundt sikkerhetshendelser,
samt å være i stand til å jobbe med nye, mer ukjente trusler. Flere av våre ansatte er
engasjert i eksterne prosjekter med dette som fokus, samt at mnemonic som selskap sponser
enkelte eksterne prosjekter. Dette gjelder blant annet tjenesten ”urlquery.net”, som Lars
Olav Gigstad har utviklet. Dette prosjektet har som mål å kartlegge trusler tilknyttet
nettsteder, og å være et hjelpeverktøy for analytikere til å forstå og identifisere disse truslene.
Som selskap ønsker vi å bidra til at truslene blir identifisert, og at bransjen blir bedre rustet
til å håndtere disse.
Side 7
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Nøkkeltall og eksempler fra mnemonic Security Services
mnemonic leverer sikkerhetsmonitorering til en rekke kunder. Gjennom ulike teknologier
samler vi en rekke forskjellige datasett, som vi analyserer for å oppdage sikkerhetshendelser og
informere våre kunder. Disse dataene benyttes aktivt av vår Threat Intelligence gruppe.
Nedenfor har vi plukket statistikk fra 2012 basert på samlede data på tvers av alle våre kunder.
I 2012 varslet vi i snitt 700 sikkerhetshendelser i måneden. Våre kunder har ulik policy for hva
som regnes som lav, medium og høy alvorlighet og sakene gjenspeiler dette. Hovedtyngden av
sakene som ble varslet var relatert til klienter som hadde blitt kompromittert og fått installert
trojanere eller virus. I all hovedsak har kundene våre kategorisert dette som lav eller medium
alvorlighet. Nedenfor viser et kakediagram fordeling av alvorlighet på tvers av kundene.
Kakediagrammet over gjenspeiler de nesten 8500 sakene vi håndterte i 2012. 275 av disse
sakene ble vurdert som høy alvorlige eller kritiske, som typisk omfattet målrettet angrep eller
tjenestenektangrep hvor kritiske data eller tjenester blir rammet.
Hvis vi ser på tilsvarende data over en litt lenger tidshorisont, så kan vi se at høsten 2011 til
vinteren i 2012 var det en nedgang i antall håndterte saker.
Side 8
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Vi har ingen god forklaring på denne dippen, men kjenner til at også andre organisasjoner vi
samarbeider med så tilsvarende utvikling. Noe av årsaken kan ha vært omfanget av de
botnettverkene som ble tatt ned og håndtert i 2011.
Vi har i 2011 og 2012 jobbet aktivt med å forbedre våre prosesser relatert til Threat
Intelligence. Dette inkluderer også hvordan vi utnytter denne informasjonen i de ulike
teknologiene vi benytter for å oppdage sikkerhetshendelser hos våre kunder. Vi har sett litt
nærmere på hvilken teknologi og datainformasjon som ligger bak våre varslede
sikkerhetshendelser. Vi deler kilden til varslingen inn i fem hovedgrupper:
Kun informasjon fra leverandører (signaturer og alarmer fra produsenten)
Egne IDS/IPS signaturer
Egen reputation database (bestående av IP og DNS informasjon for diverse kategorier)
Egne analysefilter (benytter analyse-motor i Argus for å identifisere
sikkerhetshendelser i logger basert på anomalier og kjente mønster)
Kombinasjon av flere av kildene
Side 9
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Selv om vi har noe ulik teknologi tilgjengelig hos de forskjellige kundene våre, så kan vi lese ut
fra diagrammet at det er nødvendig å kombinere flere teknologier/teknikker og å aktivt bedrive
Threat Intelligence for å oppdage en del aktive trusler. Vi ser at 38% av hendelsene vi varsler
utelukkende er basert på data fra vår egen Threat Intelligence. Hele 83% av hendelsene blir
beriket av vår Threat Intelligence i en eller annen form, som gjør det lettere å prioritere og
klassifisere hendelsene.
Java – et vedvarende sikkerhetsproblem
I hovedtyngden av hendelsene relatert til klienter som har blitt vellykket utnyttet, lå årsaken i
sårbar Java-versjon. Vi har sett litt på hvilke versjoner som vi ser i bruk hos kundene våre. Her
ser vi at en stor andel til enhver tid kjører sårbare versjoner av Java. Tabellen og grafen
nedenfor viser bruk av Java 1.6 mot Java 1.7:
Som dataene viser er Java versjon 1.6 klart mest i bruk. Hvis vi dykker litt mer ned i hvilke
versjoner av 1.6 som benyttes, så ser vi også at en stor andel ligger flere versjoner bak siste
oppdateringer.
Side 10
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Færre, men skumle: målrettede angrep
Selv om de angrepene vi vurderer som alvorligst kun utgjør en liten andel av det totale antallet
varslede hendelser, er det ofte disse som har størst innvirkning på de som blir angrepet.
Politiets Sikkerhetstjeneste (PST), Nasjonal Sikkerhetsmyndighet (NSM) og
Etterretningstjenesten (ETJ) har alle advart om denne trusselen, ettersom stadig mer sensitiv
informasjon lagres i «det digitale rom».
I rapporten «Trusler og Sårbarheter 2013» konkluderer de hemmelige tjenestene med følgende:
«I dagens situasjon er de alvorligste registrerte hendelsene mot norske interesser at aktører får
innsyn i sensitiv informasjon vedrørende politiske, militære og høyteknologiske forhold. Samtidig
utgjør skadeverk og annen kriminalitet i det digitale rom en betydelig utfordring for samfunnet.
Aktørene som kan stå bak trusler i det digitale rom, spenner fra statlige etterretnings- og
sikkerhetstjenester, via tradisjonelle militære motstandere, globale næringsbedrifter, terrorist- og
ekstremistgrupper til organiserte hackergrupper og enkeltpersoner.
De siste årene har NSM håndtert et sterkt økende antall saker i det digitale rom, fra nærmere 1500
i begynnelsen av 2011 til omlag 2500 i slutten av 2012. NSM ser en ganske jevn kvartalsvis økning
i totalt antall håndterte hendelser, og så langt viser utviklingen ingen tydelige tegn til å avta.
Spesielt bekymringsfullt er det kraftig økende antall målrettede spionasjeoperasjoner mot norsk
industri og norske interesser. Alvorlige hendelser har økt fra under 10 i 2007 til nærmere 50 i
2012. Flere stater utvikler avansert skadevare som har som formål å ødelegge infrastruktur,
Side 11
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
forstyrre viktige samfunnsaktiviteter eller påvirke beslutnings- og informasjonsprosesser. Et
formål med denne type aktivitet, kan være å skape forvirring og svekke tilliten til egne systemer.
Det digitale rom kan bli en arena som får en betydelig rolle innen krise- og konflikthåndtering.
Stormaktene forbereder seg på å bruke digitale operasjoner som et verktøy i konfliktløsning,
primært sammen med andre mer tradisjonelle tiltak.» 1
Vår oppfatning av trusselbildet samsvarer med det PST, NSM og ETJ gjengir i sin rapport;
trusselen er høyst reell, samtidig som vår økende avhengighet av IT innebærer et uoversiktlig
risikobilde.
I løpet av 2012 har mnemonic gjennomført flere oppdrag knyttet til både håndtering og
etterforskning av målrettede angrep. Et eksempel på et av disse oppdragene kan hentes fra en
rapport fra det amerikanske sikkerhetsfirmaet Mandiant. Rapporten omhandler en statlig
sponset eller statlig tilknyttet aktør kalt ‘APT1’ (Advanced Persistent Threat), og nevner Norge
spesifikt:
Kilde: Mandiant APT1 Report 2
1
2
http://www.pst.no/media/59018/Trusler_og_sarbarheter_2013.pdf
http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
Side 12
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Aktiviteten Mandiant omtaler i Norge er knyttet til et målrettet angrep mot en stor norsk bedrift
som opererer i en bransje som er svært utsatt for industrispionasje. I 2012 bistod vi denne
bedriften med både å oppdage, håndtere og etterforske dette angrepet, som startet med
forfalskede e-poster fra en angriper som utgav seg for å være en ansatt på ledernivå. E-posten
ble sendt til nøye utvalgte ansatte i nøkkelstillinger i bedriften, og inneholdt en lenke til en
nettside som serverte et ondsinnet PDF-dokument. Det aktuelle dokumentet var i dette tilfellet
så godt utformet at selv ansatte med lang fartstid i bedriften ikke var i stand til å se at det var
forfalsket.
I dette tilfellet hadde bedriften gode forsvarsmekanismer, rutiner og ekspertbistand som gjorde
det mulig både å oppdage og stoppe angrepet. Andre bedrifter vil sannsynligvis ikke stå like
godt rustet. Vi vurderer det derfor som en utfordring at denne typen angrep høyst sannsynlig vil
fortsette. For å effektivt kunne oppdage og håndtere slike hendelser er vi alle avhengige av
informasjonsdeling, da ingen er tjent med hverken mørketall og unødvendig hemmelighold. På
grunn av dette er vårt håp og ønske for 2013 at det i større grad fokuseres på åpenhet rundt
slike hendelser, og samarbeid på tvers av bedrifter og organisasjoner i både offentlig og privat
sektor.
Side 13
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Mobil sikkerhet
Ekspertene spådde at 2012 skulle bli året hvor de mobile enhetene skulle bli de nye
lommebøkene våre, med introduksjonen av løsninger som Google Wallet. Der tok de
«dessverre» feil.
En annen spådom var at mobil sikkerhet endelig skulle bli satt på agendaen, og der fikk de
heldigvis rett.
Tiden der en mobil kun var et kontaktregister for venner og kollegaer er over. Nå har de
fleste bedrifter aktivert Exchange ActiveSync, og deler ut e-post til alle sine ansatte som har
tilgang på en smarttelefon.
Dette gir en positiv effekt på produktivitet, siden de ansatte nå har tilgang på e-post,
kalender og dokumenter uansett hvor de befinner seg.
Hvem har ikke lest e-post på bussen, toget eller flyet utenfor arbeidstid? Eller bare gjort et
par små endringer på møtereferatet på veien tilbake til kontoret?
Illustrasjonen under viser fordelingen av bruken vi har med en smarttelefon, og ikke uventet er Norge på topp:
Illustrasjonen er hentet fra Think with Google
Side 14
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Fra et sikkerhetsperspektiv er det likevel alltid ulemper med å ha for god tilgjengelighet:
Problemene oppstår når en ansatt mister, eller får frastjålet sin mobiltelefon. Svaret fra ITavdelingen er da ofte at de kan «wipe» enheten over ActiveSync slik at ingen får tak i
dokumentene, e-postene og kanskje alle de private bildene man har tatt over juleferien.
Dette fungerer selvfølgelig helt fint om mobiltelefonen har tilkobling til mobilnettet. Om
mobilen derimot er stjålet spesifikt for å få tak i data, vil mobiltelefonen ofte allerede blitt
lagt i en såkalt faraday-pose, og kan ikke nås av mobile signaler. De kriminelle har da all
tiden de trenger til å grave ut de ønskede data. Samtidig tror bedriftens IT-avdeling at
mobilen er slettet,ettersom de har sendt ut en «wipe» melding fra Exchange over ActiveSync.
Faraday- pose som blokkerer alle mobilsignaler.
Sikkerhet på mobile enheter er absolutt ikke bra nok
De kriminelle har for lenge siden innsett at de mobile enhetene er lukrative mål. Det er det
mange årsaker til, blant annet:
-
-
Spionprogramvare som lar kriminelle lytte på mikrofonen når de måtte ønske det, og
lar dem lese sms/e-post
Proxy for å komme videre inn på nettverket når den mobile enheten er tilkoblet på
det interne trådløse
Lese sensitive dokumenter som er lastet opp via skytjenester og e-post. Ofte finner
man de mest sensitive dokumenter lagret på mobile-enheter, ettersom man ofte kun
tar med det mest «essensielle» når man reiser. Dette gjør jobben enda lettere for de
kriminelle
Enkle, eller ikke-eksisterende sikkerhetstiltak fra bedriften sin side. Firesifrede
låsekoder på iOS kan bruteforces på cirka 12 minutter med de riktige verktøyene
Heldigvis slo spådommen fra ekspertene til, og i 2012 ble søkelyset ble satt på mobilsikkerhet.
VG3, Dagbladet4 og flere andre store nyhetsaktører har hatt oppslag med mangelen på mobilsikkerhet som et tema, og i mnemonic har vi sett en økning i spørsmål rundt denne
problemstillingen fra våre kunder.
Lærdommen fra 2012 er at ActiveSync ikke alene er god nok sikring for mobile enheter, og at
det her fremover vil være viktig å tenke sikkerhet på lik linje med hva man gjør med en
arbeidsstasjon. Dette innebærer kryptering, sterke passord, inventarkontroll og antivirus, og
mulighet for rapport om en «wipe» var vellykket eller ikke, slik at man vet om dataene er på
avveie eller ikke.
3
http://www.vg.no/teknologi/artikkel.php?artid=10073385
4
http://www.dagbladet.no/2012/09/26/nyheter/nettsvindel/smarttelefoner/data_og_teknologi/23576898/
Side 15
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
I 2013 vil vi fortsatt se en økning på antall bærbare enheter, samtidig som NFC og mobilbetaling vil bli mer utbredt her i Norge. Dette vil gjøre kravet om gode løsninger for
mobilsikkerhet enda større. Så om man ikke har tatt steget enda, så er 2013 tiden for å gjøre
det.
Våre anbefalinger for en sikker mobil hverdag i 2013:
-
-
Gjennomgang på hva som må bli publisert ut på de mobile enhetene, trenger
brukerne alt?
Segmentere de mobile enhetene ut på ett eget WLAN. De trenger ikke tilgang direkte
til intern infrastruktur, så lenge de synkroniserer mot ActiveSync eller andre
løsninger.
Kryptér de mobile enhetene, og ha en låsekode på minimum seks tegn! Fire tegn er
for svakt, og lett å se via «skuldersurfing».
Undersøk mulighetene for å erstatte ActiveSync med proprietære løsninger, som er
sikrere og tilbyr bedre «wipe» funksjonalitet.
Side 16
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Målrettede angrep i 2012
Målrettede angrep har vært en aktuell trussel også i 2012. Næringslivets sikkerhetsråd anslår
i sin mørketallsundersøkelse for 2012 at vi i Norge hadde 3200 tilfeller av «Datainnbrudd
(hacking)». De anslår videre at det var 100 tilfeller av «Tyveri av informasjon». Totalt ble det
anmeldt 144 datainnbrudd og 27 tilfeller av informasjonstyveri i 2012.
Utfordringen med målrettede angrep er å skille dem fra ikke-målrettede angrep. Hvert år
gransker vi (mnemonic IRT) en rekke datainnbrudd. Utfordringen er at teknikkene som
benyttes i målrettede angrep ofte er like de som benyttes i opportunistiske angrep. Det som
skiller målrettede angrep fra ikke-målrettet angrep er aktøren, motivasjon og intensjon. Det
er derfor ofte vanskelig å fastslå gjennom analyse hvorvidt angrepet er målrettet eller ikke.
Det er ikke tvil om at det eksisterer trusselagenter med kapasitet til å utføre teknisk
avanserte angrep, men kostnaden i form av tid og ressurser er naturlig nok høyere for
avanserte angrep. I tillegg er det selvsagt vanskeligere å holde en lav profil dersom man
utfører et teknologisk avansert angrep. Angriperne ser derfor ut til å foretrekke enkle
lavprofil- og lavkostangrep. Gjerne med et innslag av sosial manipulasjon.
Favoritten i 2012 har vært e-poster med URL-er til ondsinnede dokumenter eller Win32PE
filer, eller e-poster med ondsinnede vedlegg (Win32PE eller dokumenter). Med andre ord
angrep med et lite innslag av sosial manipulasjon (angriperne er avhengige av å klare å lure
brukerne til å besøke lenken eller til å åpne vedlegget).
Et typisk angrep starter ved at angriperne høster e-postadresser og informasjon som kan
brukes til å få en falsk e-post til å se tilsynelatende legitim ut. Denne informasjonen er typisk
logoer, e-postsignaturer og informasjon om «bransjen» til målet. Angriperne sender deretter
ut en e-post med enten et vedlegg eller en lenke.
Dersom angriperne ikke benytter seg av vedlegg, men en lenke, leder lenken ofte til et
dokument eller en Win32PE fil på:
a. En ondsinnet nettside
b. En fildelingstjeneste (Dropbox, Yahoo Documents eller tjenester som Megaupload).
c. Kompromittert legitim nettside.
Hvor legitim e-posten ser ut er resultatet av en avveining angriperen gjør. Effektiviteten øker
med legitimiteten (i form av hvor sannsynlig det er at brukeren lar seg lure), men
sannsynligheten for at angrepet avskrives som spam synker jo bedre utformet e-posten er.
I de fleste tilfellene dropper dokumentet en exe-fil kjent som en «dropper» eller en
«nedlaster» (downloader), som igjen laster ned en bakdør. I de tilfellene hvor angriperne
sender en exe-fil er dette enten dropper/nedlaster eller en kombinasjon av en
dropper/nedlaster og et dokument som åpnes automatisk når dokumentet kjøres (for å
unngå å vekke mistanke hos brukeren).
Hvordan beskytte seg?
Det finnes ingen måte å beskytte seg 100 prosent på, men det finnes noen forebyggende
tekniske og organisatoriske tiltak man kan iverksette for å redusere sannsynligheten for et
vellykket angrep. På den organisatoriske siden kan man for eksempel jobbe med
brukerbevissthet. Dersom angriperen ikke klarer å lure brukeren, feiler angrepet.
Side 17
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Teknologisk er det også noen grep man kan gjøre for å beskytte seg. Man kan for eksempel
sørge for å minimere innkommende kjørbare vedlegg, ved å ikke tillate Win32PE filer i eposter. Det finnes også avanserte analyseløsninger for e-post, som kan gjøre oppførselsbasert
analyse av PDF og Office-dokumenter. Det lønner seg også å konfigurere e-post MTA-ene til
å blokkere eksternt mottak av interne e-postdomener. Eksempelvis trenger ikke Firma AS å
motta e-post fra @firma.no på eksternt e-postmottak (her finnes det noen unntak).
Hvordan håndtere et angrep?
Det er uunngåelig at et angrep lykkes, før eller siden, uavhengig av om det er målrettet eller
ikke. Det avgjørende for konsekvensene er hvordan angrepet håndteres. Hvilke grep man
gjør for å begrense skaden og hvor fort man reagerer.
Det finnes ingen oppskrift som kan anvendes i hvert eneste tilfelle, men det er noe generelle
steg det (nesten) alltid lønner seg å utføre.
-
Identifiser målene (personer/epostkontoer).
Analyser angrepsteknikken, og finn indikatorer som kan brukes til å verifisere hvilke
forsøk som var vellykket.
Bruk indikatorene til å finne vellykkede forsøk. Og identifiser og håndter de
kompromitterte klientene.
Kartlegg omfang av videre spredning.
Kartlegg hvilke data angriperne har hatt tilgang til, og ta de forretningsmessige
forhåndsreglene som kreves.
Identifiser hvorfor angrepet var vellykket, og utfør proaktive tiltak.
Den mest utbredte «feilaktige» måten å håndtere målrettede angrep på er ved å stikke hodet
i sanden, og ikke håndtere det i det hele tatt.
Målrettede angrep i 2013
Hva kommer til å skje med målrettede angrep i 2013? Det eneste vi vet med sikkerhet er at
angrepene vil fortsette å forekomme. Noe av problemet i dag er at målrettede angrep
håndteres bak lukkede dører, og det er lite utveksling av erfaring og deling av data. Dette
taler bare til angripernes fordel. Våre håp for 2013 er derfor økt åpenhet rundt målrettede
angrep, både under håndteringer og etter hendelsen. Forhåpentligvis kan man bli flinkere til
å jobbe på tvers av organisasjoner, og fjerne frykten for stigmatisering om man fremstår som
offer for et målrettet angrep.
Side 18
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Exploit kits
Vi omtaler ofte «Exploit kits» i våre nyhetsbrev og rådgivende skriv. For enkelte er navnet
selvforklarende, men for resten av oss er det kanskje ikke like intuitivt. Hva er egentlig et
«exploit kit»?
Et «exploit kit» er et ferdig verktøysett for å infisere maskiner med vilkårlig skadelig kode.
Verktøysettene inneholder angrepskode som utnytter sårbarheter i nettlesere og
nettleserutvidelser («plug-ins»). De kan også inneholde angrepskode baserer seg på å lure
brukeren til å kjøre skadelig kode. «Exploit kit»-ene blir levert som en ferdig pakke, som
installeres på en maskin sammen med en webserver.
For en angriper forenkler det prosessen med å infisere klienter med skadelig kode.
Rammeverkene inneholder også verktøy for administrasjon og statistikk. Mulighetene
varierer en del mellom de forskjellige verktøysettene, men de er generelt relativt like.
Verktøysettene er bygget opp slik at alt som kjøres og installeres på klienten skjer automatisk
og uten å vekke oppmerksomheten til brukerne, og blir ofte referert til som drive-by
nedlastninger.
Det har eksistert «exploit kits» i mange år, men de begynte først å dukke opp for alvor i
2007. Mye av fokuset lå da på sårbarheter i IE og Adobe Reader. Sårbarheter i Adobe Reader
var hovedfokuset frem til 2010, før fokuset ble flyttet til Java, som siden har vært veldig
populært. Den vanligste Adobe Reader sårbarheten i bruk i dag er fra 2010, mens den nyeste
Java sårbarheten er fra januar 2013.
Under følger et bilde fra et av de største verktøysettene, kjent som BlackHole. Her ser man
hvordan man kan sette opp forskjellige kampanjer, hvilke land de skal gjelde for og hvilken
angrepskode som skal inkluderes. Hvis man ønsker kan man også legge inn innstillinger for
nettlesere og OS.
Side 19
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Trenden for 2012
Det er uten tvil Java som har vært den store bidragsyteren av sårbarheter til «exploit kits» i
2012. Det har blitt oppdaget flere nye sårbarheter i Java som har blitt integrert i løpet av
året. Sårbarheter i annen programvare har også blitt tatt med, som XML-sårbarheten i
Internet Explorer fra juni. En annen kjent sårbarhet som dukket opp, var en av de som ble
brukt til å spre Stuxnet i 2010. Under følger en liste over de vanligste sårbarhetene som har
vært i bruk i 2012.
Java
CVE-2012-0507
CVE-2012-1723 -> 1.6.0_33 og 1.7.0_05
CVE-2012-4681 -> 1.7.0_06
CVE-2012-5076 -> 1.7.0_07
Flash
CVE-2012-0754 Adobe Flash Player MP4 Overflow
PDF
CVE-2010-0188
Internet Explorer
CVE-2006-0003
CVE-2012-1889: MSXML use-after-free vulnerability
Windows
CVE-2012-3402 TrueType Vulnerability (Stuxnet)
Microsoft Windows Help and Support Center vulnerability (CVE 2010-1885) exploit
in the wild
Det er sjelden alle disse er i bruk samtidig, men at to-tre stykker brukes side om side er ikke
uvanlig. En del eldre sårbarheter fra 2010 og tidligere har blitt faset ut i løpet av året. Her
har som regel nyere sårbarheter tatt over. For Java har det vært vesentlig hyppigere
utbytting av angrepskode. Her har angrepskode for sårbarhetene blitt erstattet fortløpende,
etter hvert som nye sårbarheter har blitt tilgjengelige.
Sårbarhetene i Java baserer seg på å komme seg ut av sandkassen Java-applets er begrenset
av, og slik få full tilgang til systemet som et normalt Java-program. Disse sårbarhetene har
derfor flere muligheter, ved at de automatisk er plattformuavhengige, og samme
angrepskode vil fungere på alle operativsystemer hvor Java er installert. Dette gjør det enkelt
å rette seg mot andre OS enn kun Windows, som har vært hovedfokuset så langt.
I løpet av 2012 har det blitt oppdaget flere sårbarheter i Java som har blitt integrert i
«exploit kits». Etter at en sårbarhet er kjent, tar det ofte kun dager før den finnes i en eller
flere av verktøysettene. En ny sårbarhet sprer seg fort mellom rammeverkene, ettersom de
kopierer og stjeler fra hverandre. Ofte har disse sårbarhetene vært integrert før Oracle har
rukket å komme med en oppdatering for sårbarheten. Dette gir dem en stor angrepsflate,
ettersom mange klienter er sårbare.
Endringen som har hatt størst påvirkning i 2012, er obfuskering av payloaden som blir
servert av verktøysettene. Noen gjorde allerede dette i 2011, men antallet som nå gjør dette
er langt flere i 2012. Dette fører til at de som eventuelt bruker whitelisting for nedlastning av
Side 20
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
exe-filer risikerer at dette ikke vil stoppe infeksjonen, da også enkelte signaturer baserte
systemer får problemer med å fange opp disse.
URL-er og domener brukt av «exploit kits» har ofte kort levetid. Her har det tidligere vært
mange kreative løsninger for å skifte ofte og fort. I løpet av 2012 har det blitt mer vanlig å
bruke dynamiske DNS URL-er. Da slipper man å registrere et fullt domene, og man får et
underdomene hos en tjenesteleverandør som man selv setter IP adresse på. Dette blir ofte
kombinert med en Domain Generating Algorithm (DGA), som vil produsere unike domener,
ofte som en funksjon av tiden. Man får da et stort antall URL-er man kan bruke.
Det har dukket opp flere ny rammeverktøy i løpet av 2012, de fleste av dem relativt små og
lite i bruk. BlackHole, RedKit og CrimeBoss er blant de største. I Norge er også g01pack
relativt vanlig, denne er ofte å finne på nettsteder som benytter seg av reklame systemet
OpenX. Det var dette verktøysettet som ble brukt da Teknisk Ukeblad (tu.no) ble angrepet og
infisert. I mai 2012 var Dagbladet infisert i noen få timer der de videresendte brukere til et
nettsted med angrepskode, her ble «Nice Pack» brukt, som heller ikke er veldig vanlig. Begge
disse obfuskerer exe-filer når de blir lastet ned til klienten.
Statistikk fra november og desember 2012 viser at cirka. 100 unike norske domener er eller
har vært infisert med kode som kan potensielt sende brukerne til ondsinnete nettsteder.
2013 og fremover
Etter nyeste sårbarhet i Java som ble oppdaget i starten av januar 2013, var Oracle raske på
ballen og slapp en oppdatering i løpet av få dager. De har også kommunisert at de ønsker å
bedre seg på sikkerhet i Java etter det økte antall kritiske sårbarheter funnet.
Mye av grunnen til populariteten til Java, er at det er en felles plattform mye brukt i
nettlesere. Sårbarheter direkte for nettlesere eksisterer, men er ikke ofte hovedfokuset siden
disse kun vil på virke et begrenset antall klienter. De siste årene har IE falt sterkt, som gjør at
Chrome, IE og Firefox som er de største[1], ikke har noen markant større markedsandel
ovenfor hverandre. Som følge av at ingen er en dominerende nettleser, er det større
sannsynlighet for at andre komponenter brukt på tvers av nettleserne forblir hovedmålet.
Internet Explorer er fortsatt en stor nettleser i bedriftssammenheng, men mindre vanlig
blant hjemmebrukere.
Hvis fokuset skulle endre seg fra Java til noe annet, vil det være naturlig å tenke seg at de så
etter programvare som er vanlig/standard og i bruk av alle nettlesere. To gode kandidater vil
da være PDF (Adobe Reader) og Flash.
mnemonic tror trenden innen bruk av Java ikke vil endre seg stort i løpet av 2013. Det vil
nok dukke opp sårbarheter fra andre komponenter / nettleser, men de fleste vil mest
sannsynlig fortsette å være i Java.
[1] http://gs.statcounter.com/#browser-ww-monthly-200807-201212
Side 21
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Tjenestenektangrep i Norge
Også i 2012 opplevde vi en rekke tjenestenektangrep i Norge. Som en leverandør av
sikkerhetstjenester opplever vi at kunder blir angrepet månedlig. Angrepene varierer
selvsagt i omfang.
En av de større tjenestenekthendelsene i 2012 som rammet flere organisasjoner i Norge, fant
sted i april: Angrepet ble utført mot organisasjoner som DNB, Norsk Tipping, IT Avisen og
PST. Vi observerte først angrepet i vårt sensornettverk den 17. april. Der så vi mellom 1,5 og
2 millioner spoofede adresser. I følge gruppa «Anonymous Norge» hadde angriperne et
botnet på om lag 1000 botter. Angrepet ble utført med det hjemmesnekrede verktøyet
«NightLight».
Bilde: Overskrifter fra nettaviser
Angrepet hadde tilsynelatende ingen politisk eller ideologisk motivasjon (vi har ikke klart å
identifisere noen motivasjon i det hele tatt).
Side 22
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Bilde: Tweets fra angriperne, twitter.com
Angriperne gjorde i dette tilfellet en dårlig jobb med å skjule sin identitet. Ved å korrelere
informasjon som kallenavn til forfatter av verktøyet med Twitter-relasjoner og annen åpen
informasjon på nett var det mulig å identifisere angriperne ved navn.
Dette angrepet var ikke det eneste som rammet norske organisasjoner i 2012. Nettsidene til
Oslo Børs ble i juni utsatt for et tjenestenektangrep (Denial of Service - DoS). På grunn av
angrepet valgte de å ta ned nettsidene www.oslobors.no, www.osloabm.no og
www.osloborsvps.no. Kommunikasjonssjef i Oslo Børs Guro Steine forteller at de merket
ustabilitet tirsdag 17/6, og tok ned sidene onsdag kveld (18/6). Hun ønsket ikke å
kommentere hvor angrepet kommer fra, eller hva motivet kan være.
Angrepet rammet kun nettsidene, og ingen andre av Oslo Børs sine systemer.
Kommunikasjonssjef Guro Steine uttalte at nedetiden på nettsidene var beklagelig, men
mente at hendelsen ikke har gått ut over lovpålagt informasjonsflyt.
Næringslivets sikkerhetsråd anslår i sin mørketallsundersøkelse for 2012 at vi i Norge hadde
900 tilfeller av «Målrettede aksjoner som har til hensikt å redusere tilgjengelighet.».
I følge undersøkelsen ble det mottatt 143 anmeldelser relatert til DoS i 2012.
Ser vi på statistikk fra våre egner kunder, opplevde en gjennomsnittskunde med 5000
brukere og eksternt eksponerte tjenester mellom ett og to tjenestenektangrep i 2012.
For 2013 regner vi med at tjenestenektangrep fortsatt kommer til å være en aktuell trussel
for bedrifter med nettbaserte tjenester.
Relaterte artikler
[1] - http://www.aftenposten.no/okonomi/Nettbankene-kan-bryte-sammen-igjen6822879.html
[2] - http://www.itavisen.no/895166/disse-staar-bak-angrepene
[3] - http://www.dagensit.no/article2421528.ece
Side 23
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Banktrojanere
Introduksjon
De siste årene har begrepet «banktrojanere» fått økende medieomtale. Dette er skadelig
kode, utbygget med funksjonalitet som tilrettelegger for å stjele penger fra sluttbrukere ved å
angripe brukerens nettleser, og modifisere dataene som presenteres til bruker. De sender
også informasjon videre til bakmennene. Samtidig ser vi at trenden med spredning av
trojanere via «vanlige» norske nettsteder øker.
Hva er en banktrojaner?
Når begrepet banktrojaner benyttes mener ofte forfattere trojanere som SpyEye, Zeus,
Hermes, Bugat og Torpig. Går man tilbake til trojanerbegrepets opprinnelse er egentlig
ingen av disse trojanere, de er heller ikke rettet spesifikt mot banker. Disse moderne
«trojanerne» er mer rammeverk med en rekke utvidelser («plug-ins») for ymse formål.
Funksjonalitet for å stjele passord og fange tastetrykk inkluderes ofte av utvikleren, men
skreddersydd funksjonalitet må utvikles av kunden selv (eksempelvis utvidelse for å stjele
penger fra nettbank). For skreddersydde formål tilbyr utviklerne generisk funksjonalitet, for
eksempel en modul som putter vilkårlig javascriptkode i brukernes nettlesere (basert på
ulike kriterier). Rammeverkene kan også fint brukes som et verktøy i målrettede angrep,
eller i andre situasjoner der man trenger en bakdør. Det eksisterer et marked for
tredjepartsutvidelser for de fleste av rammeverkene. Selv om rammeverkene ikke er
trojanere i ordets rette forstand, vil jeg for enkelhets skyld fortsette å referere til dem som
«trojanere» i denne artikkelen.
Egenskapen som benyttes for å angripe nettbanker er det vi kaller «man-in-the-browser» funksjonalitet. Begrepet er derivert fra begrepet «man-in-the-middle», som beskriver det å
utføre såkalt «aktiv avlytting». Aktiv avlytting utføres ved at man avskjærer kommunikasjon
mellom to parter, men videresender meldingene slik de involverte partene ikke oppfatter at
innholdet avskjæres. Aktiv avlytting gjør det mulig å avlytte kryptert trafikk, og å modifisere
innholdet i meldingene som sendes. Sistnevnte er særdeles relevant for «MitB» funksjonalitet («man-in-the-browser»). Kort oppsummert er «MitB» -funksjonen i
trojaneren at den har mulighet til å modifisere nettsiden direkte i brukerens nettleser.
Ingen nettbanker er like, altså eksisterer det ingen “ferdig utnyttelse” av nettbanker i
trojaneren fra utvikleren sin side. Alle angrepene er spesielt laget for det målet som angripes.
Det eksisterer et tredjepartsmarked som spesialiserer seg på å skrive denne typen
angrepskode. Kundene i dette markedet er eierne av botnettverk. I praksis vil det si at
angrepskoden er uavhengig av trojaneren og at angrepskoden er skrevet i JavaScript, HTML
og de utvidelsesbibliotekene som nettsiden selv bruker. Denne angrepskoden refereres ofte
til som «webinjects». I denne typen angrep kan trojaneren bli sett på som en tilrettelegger
for å kjøre kode på plattformen, ikke selve trusselen. Angriper står fritt til å ta med seg
angrepskoden sin over på en ny plattform, for eksempel forflytte seg fra SpyEye som
plattform til Zeus. Det er mange forretningsmodeller i bruk. Noen leier seg tilgang til
eksisterende botnet og tar med seg egne webinjects. I enkelte tilfeller kjøper man også
webinject-ene. Andre aktører kjøper trojaneren, enten en ny eller gammel versjon, med eller
uten support. Gjør man dette må man selv sørge for spredning av trojaneren (målet er
infiserte endepunktsklienter). Spredning kan også kjøpes, for eksempel ved å leie tilgang til
installerte «exploit kits» eller ved å kjøpe seg inn i en spamkampanje. Kostnadene knyttet til
1 million spam-mail kan være så lav som $100-$200. Det er altså ofte flere aktører involvert
på flere forskjellige nivåer i et slikt angrep. Man kan se på det som et lite økosystem
bestående av yrkeskriminelle og tilbydere av verktøy som muliggjør angrepet.
Side 24
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Angrepsformer
Grovt kan man dele angrepene i to former, automatiske og manuelle angrep. De automatiske
angrepene er svært vanskelige og dyre å utvikle, men kan potensielt skape store inntekter om
de går igjennom uten å bli oppdaget. Fordelen med automatiserte angrep er også at kunden
svindles raskt fordi man ikke er avhengig av manuell interaksjon. Uten automatisering må
den siste delen av angrepet utføres manuelt av et menneske. Det er derfor vanlig at man har
en gruppe operatører som sitter og jobber med informasjonssamlende verktøy, ofte kalt
«paneler». Også dette er et tredjepartsmarked. Her rapporterer klienter inn når brukeren
besøker nettbanken sin, og operatørene kan velge hvorvidt han skal forsøke en svindel.
De fleste trojanerfamiliene har også funksjonalitet som logging av tastetrykk i bestemte
prosesser, mulighet for å fange video av bestemte hendelser, besøke nettsider i
informasjonssamlingsøyemed,eller kjøre kommandoer og kode på systemet. All
informasjonen blir sendt tilbake til en kontroll-server hos angriper.
Familiene
Til tross for at de forskjellige trojanerfamiliene er skrevet av forskjellige personer/grupper,
har de svært overlappende funksjonalitet.
De mest kjente familiene er:
SpyEye
Zeus, IceIX, Citadel
Bugat (Feodo/Cridex)
Hermes (Tatanga/Katanga)
Torpig (Sinowal)
SpyEye fant originalt sitt marked ved å være en mer tilgjengelig Zeus med tanke på pris.
Basis pakken ble solgt for rundt $500 på et tidspunkt hvor tilsvarende Zeus pakke ble solgt
for $1000 eller mer. SpyEye utviklet seg raskt til å ikke bare være en billigvariant, men
konkurrerte også direkte med Zeus på egenskaper. I enkelte tilfeller overgikk SpyEye
konkurrenten på modularitet og utvidelser. SpyEye hadde blant annet støtte for å sende
utvidelsesmoduler som en del av konfigurasjonspakken. SpyEye har ulemper i forhold til
Zeus og andre familier fordi den ikke bruker sterk kryptografi på kommando-trafikken.
Dette gjør at er lett å avdekke med signaturbaserte nettverksovervåkningsverktøy.
Krypteringen av konfigurasjonen og modulene blir gjort ved bruk av Zip og “standard zip
encryption”.
Zeus har vært godt kjent siden 2007. IceIX og Citadel er basert på kildekoden til Zeus 2.0.8.9
som ble sluppet på nettet i 2011. IceIX er i svært liten grad modifisert utover at det ble gjort
en mindre endring i kryptoprotokollen som benyttes for kryptering av konfigurasjon. En kort
periode sent vinteren 2012 ble det også gjort regelmessige endringer i verdiene man måtte
sende til web-serveren for å motta konfigurasjonsoppdateringer. I det store og hele var har
det derimot snakk om svært små endringer, og IceIX er nå brukt i svært liten grad
sammenliknet med den originale Zeus 2.0.8.9, som fortsatt er svært mye brukt. Utviklerne
bak «Citadel» har aktivt fortsatt utviklingen av Zeus-kildekoden, og har en langt mer
avansert trojaner. Der Zeus originalt benyttet RC4 for å kryptere trafikken bruker nå Citadel
både AES og RC4, samt sine egne modifikasjoner av disse. Den krever også mer data av
klienten når man skal hente konfigurasjon, og støtter tredjepartsutvidelser som blant annet
kan avhjelpe last på servere. Eksempelvis støtter den inkrementelle
Side 25
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
konfigurasjonsoppdateringer. Det er også med tiden utviklet støtte for tildeling av
konfigurasjoner basert på geografisk lokasjon, funksjonalitet for overvåkning av botnettet og
en rekke andre funksjoner. Citadel har vært under utvikling helt frem til høsten 2012, men
hvorvidt den vil videreutvikles for det åpne markedet er nå mer usikkert. Det har også vært
en del uenighet mellom utviklerne av Citadel og noen av undergrunnsmiljøene der
informasjonsdeling og salg forbundet med trojanere foregår.
Bugat er en enklere trojaner enn SpyEye og Zeus (med familie), fikk et oppsving i 2010, og
hadde originalt ingen form for kryptering overhodet. Konfigurasjon og binæroppdateringer
ble sendt i klartekst over http. I senere versjoner har Bugat fått et nytt binær-format på
konfigurasjonen, og selve kommunikasjonen foregår med nøkkelutveksling, på samme måte
som SSL trafikk. Hvor utbredt Bugat egentlig er vet man ikke helt, men den blir i hvert fall
brukt i USA, da typisk spredt via spamkampanjer. Vi har også sett Bugat bli brukt i ØstEuropa.
Hermes er en mer avansert trojaner, som har likhetstrekk med SpyEye i den grad at den
sender over tredjepart moduler i DLL form sammen med konfigurasjonen, og således er
svært utvidbar. Hermes benytter seg av XOR-obfuskering av trafikken over nettverket.
Konfigurasjon og utvidelser som sendes over nettverket er dermed også obfuskert. Når disse
blir lagret på disk krypteres de med DES algoritmen. Hermes er en av kandidatene til å
overta mye av trafikken fra Citadel dersom denne ikke lenger blir videreutviklet for å dekke
behovene til de kriminelle.
Torpig er banktrojanere satt i system. I stedet for å være en programvarepakke som blir solgt
til kriminelle, blir botnettet og bakenforliggende støttesystemer for utrulling av
konfigurasjoner vedlikeholdt av en enkelt gruppe. Det hersker tvil om hvorvidt denne
gruppen også er de eneste brukerne av nettet eller om de også leier ut tilgang. Størrelsen på
botnettet og antall mål angrepet av Torpig tyder på det siste. Torpig har en langt mer
avansert infrastruktur enn alle andre trojanerne brukt til angrep mot brukerens websesjoner.
Infrastrukturen tilbyr utrulling av konfigurasjoner basert på hvor du er i verden, og hvem du
er. Konfigurasjonen er langt bedre beskyttet, siden ingen klienter sitter med hele
konfigurasjonen på noe tidspunkt. I tillegg til at Torpig har en meget robust infrastruktur, er
det også standardbiblioteker som letter utviklingsjobben av angrepskode mot nettbanker.
Det finnes blant annet funksjon for emulering av brukeroppførsel, i form av forsinkelser og
flytting av markør mellom input-felter.
Historien i Norge
Norge ble i mindre grad rammet av banktrojanerene i 2011, da noen av de største bankene
kom under angrep fra SpyEye, Zeus, og en Zeus avart som har fått navnet GSpy. Men vi
hadde allerede i 2011 noen kampanjer mot norske banker. En av bakmennene for et av
angrepene i Norge ble stilt for retten og dømt. Fra mars 2012 har antallet trojanere som
angriper norske mål økt betraktelig. Flere norske banker kom under angrep i diverse
varianter av banktrojanere som Zeus, IceIX, Citadel og Hermes. Sensommeren og høsten
2012 er også Torpig tatt i bruk i Norge. Tapene i Norge har vært overaskende lave, mye
takket være samarbeid innen bank- og finansnæringen, eksterne aktører og arbeid som blir
gjort av sikkerhets-community’et som bruker tid på sporing av de forskjellige familiene,
blant annet i Norge.
Side 26
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Oppsummering
Dagens utfordring relatert til nettbanktrojanere er det samme som for annen skadevare.
Spredningsmekanismene er også de samme. Derimot er det anbefalt at bedrifter, i den grad
det er mulig, bør benytte egne terminaler for bruk av nettbank for å minske risikoen for tap
av penger.
I 2012 så vi en økning i aktiviteten mot Norge med tanke på nettbanktrojanere, men det
skyldes nok mer en forflytning av fokus enn en økning av antallet angripere. Vi har sett at det
er større fokus på rekruttering av muldyr internt i Norge. Disse brukes for mottak og
overføring av penger ut fra Norge.
Vi regner ikke med at det er noen større endringer for 2013. Norge vil fortsatt være et mål, og
trojanerne som er i bruk vil ikke endre seg vesentlig over kort tid. Det kan derimot hende vi
ser en endring i hvor stor grad de forskjellige trojanerne brukes.
Side 27
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Infiserte nettsider («OpenX»)
Siden februar 2012 har vi observert en kampanje mot norske nettsider som benytter
bannerreklamesystemet «OpenX». OpenX er et populært open source-system. Majoriteten
av «høyprofilerte» kompromitterte norske nettsider i 2012, ble kompromittert gjennom
sårbarheter i OpenX. Angriperne brukte primært den ervervede tilgangen til å spre
banktrojanere.
Eksempler på kompromitterte sider:
-
db.no (Dagbladet)
tu.no (Teknisk Ukeblad)
qxl.no (Nettauksjon)
autodb.no (annonser for kjøp og salg av motorkjøretøy)
Per i dag har vi identifisert om lag 330 norske nettsider (.no), 660 svenske (.se) og 130
danske (.dk) som benytter seg av reklamesystemet.
Angriperne benyttet en blanding av «kommersielle exploit kits», ferdige trojanere og annen
kopiert kode. De høyprofilerte sidene spredte skadevare i korte tidsrom, men hadde høy
infeksjonsrate (et høyt antall vellykkede infiseringer per forsøkte infisering).
Den mest høyprofilerte siden som ble rammet av dette var dagbladet.no. Dagbladets nettside
videresendte brukere til en side som spredte skadelig kode 15. mai mellom klokka 12:00 og
14:30.
Angriperne hadde lagt til en kodesnutt i et eksisterende JavaScript. Denne koden
videresendte til landingssiden til et Eleonore «exploit kit». Ved vellykket infeksjon ble en
banktrojaner lastet ned. 0 av 43 antivirusleverandører på virustotal.com detekterte
skadevaren i dette tidsrommet.
Angriperne forsøkte å utnytte to kjente sårbarheter. Den ene var en Java-sårbarhet (CVE2012-0507). Sårbarheten var til stede i Java versjon 1.7.0 Update 2, 1.6.0 Update 30, 1.5.0
Update 33 og eldre versjoner. Oppdateringer for denne sårbarheten hadde vært tilgjengelig
siden februar 2012. I tillegg til å bruke en Java-sårbarhet forsøkte også angriperne å utnytte
en PDF-sårbarhet. Dette var en eldre sårbarhet fra 2010 (CVE-2010-0188).
Trojanere konfigurert for å stjele penger fra sluttbrukeres nettbanker utgjør i seg selv ingen
stor trussel mot bedrifter. Dessverre er trojanerne som brukes til dette ofte modulære. Det
vil si at de fort kan omkonfigureres. Dette skjer typisk når et botnett får nye eiere, eller om
angriperne ikke når frem med metoden de benytter. Det kan også skje om de som
kontrollerer den kompromitterte maskinen identifiserer maskinen som et verdifullt mål
(basert på organisasjon og persontilhørighet).
Et eksempel på en slik konfigurasjonsendring som fikk store konsekvenser for bedrifter er
løsepengevirushendelsene vi hadde i april 2012. Viruset var programmert til å kryptere
dokumenter og bildefiler, og skapte store problemer fordi det også krypterte filer på delte
filområder. Denne hendelsen og konsekvensene er omtalt i artikkelen «Ransomware 2012
(løsepengevirus)».
Side 28
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Ransomware 2012 (løsepengevirus)
I 2012 har vi sett en økning i løsepengevirus som enten har truffet Norge, eller som har vært
rettet mot norske brukere.
Den 10. mars 2012 ble et nytt «løsepengevirus» observert i Norge.
Bilde: nrk.no
Løsepengeviruset ble lastet ned av en ICEIX-trojaner (ZeuS-familien). Viruset krypterte
dokumenter og bildefiler på harddisken, og delte nettverksområder. Filen rørte ikke
filheaderne, men endret filendelsen. Den plasserte også et skriv som forklarer hvordan man
kan få passordet for å dekryptere filene. Dette skrivet så slik ut:
Side 29
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Skadevaren hadde ingen selvspredningsmekanisme, men forårsaket likevel store problemer.
Utfordringen var at programmet også krypterte filer på delte filområder. Dette skapte mye
problemer for en rekke firmaer i Norge. Flesteparten løste problemet med å rulle tilbake fra
backup.
Hendelsen er et eksempel på at et lite antall infiserte klienter, med feil skadevare, kan skape
mye problemer. Skadevaren var i utgangspunktet ikke rettet mot norske brukere.
Et eksempel på kampanjer rettet mot norske brukere, er løsepengeviruskampanjene som
utga seg for å være det norske Politiet. Brukeren ble anklaget for ymse brudd på opphavsrett
og lignende, for så å få muligheten til å betale et beløp for å unngå straffeforfølgelse.
Side 30
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Fotokilde: Politiet.no
Vi observerte ingen «bieffekter» ved disse kampanjene som skapte merkbare problemer for
nordiske bedrifter, utover tilstedeværelsen av kompromitterte klienter.
I 2013 forventer vi en økning i antallet infiserte nettsider (også norske), og en økning i
«kampanjer» som har til hensikt å stjele penger fra sluttbrukere.
Side 31
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Sikkerhetsmonitorering i går, i dag og i morgen
- en til dels subjektiv artikkel om vår historikk, status quo og tiden fremover
Da mnemonic først leverte en «Intrusion Detection Service» for over 10 år siden så
trusselbildet betraktelig annerledes ut enn i dag. Kort oppsummert: Ting forandrer seg.
Hvordan har mnemonics overvåkningstjenester forandret seg de siste årene? Hvor er vi i
dag? Og hvor skal vi i morgen?
Den gang da. mnemonics «security services» avdeling så for første gang dagens lys for over
ti år siden, høsten 2001. Den nye satsingen var Erik Alexander Løkkens hjertebarn, en
ekstremt teknologiinteressert visjonær som fremdeles jobber i mnemonic.. Vår første
overvåkningstjeneste ble levert på teknologi fra NFR, ISS og TopLayer, i kombinasjon med
Snort og den egenutviklede IDS-en «Estmon». Fokuset for tjenesten var å oppdage
innkommende angrep mot tjenester og operativsystemer, og i løpet av to-tre år hadde
antallet sensorer steget til rundt 30 stykker. Avdelingen bestod da av seks-syv ansatte, og vi
kunne fortsatt telle kundene våre på to hender. Rundt årsskiftet 2004-2005 ble tjenesten
utvidet til å være en 24/7-tjeneste. Avdelingen bestod da av 16 ansatte.
Som nevnt var fokuset vårt de første årene først og fremst innkommende angrep mot
tjenester og operativsystem. Dette var en tid med ekte «remote exploits»; sårbarheter som
ikke krevde brukerinteraksjon, og som gjorde det mulig å angripe og å utnytte eksponerte
tjenester i løpet av sekunder. Noen eksempler på disse sårbarhetene er CVE-2001-0144 (SSH
CRC32 eksternt integeroverflytangrep), MS01-033 (ISAPI Internet Information Service
bufferangrep) og MS03-026 (Microsoft RPC DCOM grensesnittoverflyt).
Selvsagt fokuserte vi også på andre interessante sårbarheter med noe høyere grad av
brukerinteraksjon, som MS05-022 (ekstern kjøring av kode i MSN Messenger) og MS05-039
(ekstern kjøring av kode i «Plug-and-play»). Men hvorfor skulle angripere velge kompliserte
brukerapplikasjonsangrep når man hadde sårbarheter som CVE-2003-0201 (ekstern kjøring
av kode i Samba) og CVE-2003-0245 (Apache tjenestenekt og ekstern kjøring av kode)?
På den tiden oppdaget vi sikkerhetshendelser ved å analysere hendelser produsert av
nettverkssensorene, for så å varsle kunder om reelle hendelser. Ledig tid mellom
innkommende angrep ble stort sett brukt til varsling av policybrudd, og statistisk analyse av
lavalvorlighetshendelser. Dette er såklart en forenkling, men antallet hendelser var
betraktelig lavere for syv-åtte år siden sammenlignet med i dag.
Sikkerhetsmonitorering 2012/2013
Men nok mimring om tider som heldigvis (eller dessverre), er over. Hva er så status ved
årsskiftet 2012 og 2013,over fire år etter MS08-0675 (MS RPC)?
For det første har motstanderne forandret seg betraktelig. Motstanderen er ikke lenger en
gjeng nerder, drevet av nysgjerrighet og ungdommelig overmot. Nei, dagens typiske
angripere er yrkeskriminelle og profesjonelle industrispioner, motivert av økonomisk profitt
og iblant også kjærlighet for moderlandet. Ungdommelig nysgjerrighet er byttet ut med
flokkmentalitet, og ymse politiske eller ideologiske motiver.
MS08-067 er sårbarheten som ble utnyttet av Conficker-viruset.
http://en.wikipedia.org/wiki/Conficker
5
Side 32
Sikkerhetsåret 2012
......................................................................................................................................................................
mnemonic as
Hva med angrepsteknikken da? Noen avsnitt tidligere var vi innom overvekten av
tjenersideangrep i tidligere år. I dag har hovedtyngden av hendelser definitivt forflyttet seg
til klientsideangrep. I 2012 har Oracle sluppet flere ekstraordinære oppdateringer for Java
RE enn ordinære. I mangel av et bedre utrykk vil jeg si at å infisere klienter i 2012 har vært
som å skyte fisk i en tønne – det er så å si umulig å mislykkes.
Så hva har vi gjort for å holde tritt med utviklingen? For det første har vi betraktelig flere
loggkilder i dag enn det vi hadde for seks-syv år siden. Vi analyserer proxy-, brannmur-, ADog DNS-logger. Vi har løsninger for «fullcapture», NetFlow og dynamisk analyse av binærer
som flyter over e-post og web. I tillegg har vi de siste årene satset tungt på signaturutvikling,
korrelering og ryktebasert analyse. Resultatet av denne satsningen er at 85 prosent av
varslinger fra mnemonic SoC baserer seg på egne signaturer, egne korreleringsregler av
leverandørsignaturer, eller rykteeskalering av alarmer og logghendelser.
Hadde vi kun kjørt «ut-av-boksen»-løsninger med leverandørsignaturer, hadde vi med
andre ord kun varslet en femtedel av det vi varsler i dag.
Realiteten er at vi ikke hadde klart å analysere tusenvis av hendelser i sekundet uten disse
hjelpemidlene. Selv med de 35 mann som i dag utgjør avdelingen.
Hvor skal vi i 2013?
Å ha stor tro på egne tjenester er vel og bra, men vi har ingen planer om å roe ned tempoet
ennå. Så hvilke planer har vi for mnemonic i 2013? «Business Intelligence» er et område
som blir stadig viktigere for stadig flere. Fremover kommer vi derfor til å fokusere ytterligere
på å integrere informasjon om kundeeiendeler («assets»), kundens tjenester og
forretningsprosesser i overvåkningstjenesten vår. I praksis vil det si å sette
sikkerhetshendelser i forretningskontekst. Noe som igjen vil gjøre det lettere for våre kunder
å prioritere og håndtere hendelsene riktig, ettersom de nå knyttes til både forretningsrisikoer
-og systemrisikoer. Så om du jobber i en bedrift hvis kunnskap om sikkerhetsmonitorering
er på høyde med resten av bedrifts-Norge (med andre ord, som tidvis har en mangelfull
oversikt over egne eiendeler og prosesser), vil 2013 være året hvor du kan få løsninger som
leverer dette, og mer til.
Jon Røgeberg,
Threat Intelligence,
mnemonic Security Services
Side 33
}
“
2012 var året hvor målrettede angrep for alvor ble avslørt i Norge.
Vi ser at 2013 vil forsterke trenden.
- Tønnes Ingebrigtsen
© Copyright 2024