atividade maliciosa na rede ipê detectando e combatendo perturbações na força cais - centro de...
TRANSCRIPT
Atividade Maliciosa na Rede Ipê
Detectando e combatendo “perturbações na força”
CAIS - Centro de Atendimento a Incidentes de Segurança
André R. Landim
Bate papo de Segurança
22/10/2012
Foz do Iguaçu – PR
Brasil
Atividade Maliciosa na Rede IpêAgenda
• Visão geral dos incidentes
• Casos “interessantes”
• Processo de tratamento de incidentes – mais estatísticas
• Conclusão
Atividade Maliciosa na Rede IpêDurante o ano de 2012, até o momento…
• Até o mês de setembro, o CAIS tratou cerca de 98 mil incidentes de segurança;
• Mais de 70 mil incidentes são relacionados a código malicioso;
• Incidentes relacionados a violação de direitos autorais somaram mais de 10 mil casos;
• Cerca de 300 incidentes foram relacionados a invasão de sistemas;
• Foram reportados em torno de 70 casos de negação de serviço.
Atividade Maliciosa na Rede IpêIncidentes reportados no ano 2012
AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO -0
10,000
20,000
30,000
40,000
50,000
60,000
70,000
Incidentes por estado
2009201020112012
Como diria Jack… Ops, John “The Ripper”… “Vamos por partes!”
“Mais de 70 mil incidentes são relacionados a código malicioso”
• O “famigerado” Conficker/Downadup ainda é o worm mais ativo dentro da Rede Ipê;
• Mais de 55 mil casos foram reportados;– Mais de 60% desses casos são reincidências;
• Soluções para o Conficker/Downadup?– O boletim de segurança da Microsoft MS08-067 trata a vulnerabilidade
explorada pelo worm em questão.– Porém… O boletim foi emitido em outubro de 2008!!!
• O que isso significa?– Diversas instituições não aplicam e/ou não possuem políticas de
atualização de sistemas em suas redes.
“Incidentes relacionados a violação de direitos autorais somaram mais de 10 mil casos”• A propagação de material protegido por direitos autorais continua
alta dentro da Rede Ipê;• Compartilhamentos de arquivos via Torrent são responsáveis pela
maioria dos casos;• Existe uma necessidade de conscientização dos usuários sobre os
problemas resultantes desse tipo de comportamento:– Perda de credibilidade do mercado multimídia;– Restrições de conteúdo no país;
• O CAIS tem em andamento projetos de monitoramento de serviços de compartilhamento de arquivos visando reduzir o número de incidentes desta categoria.
“Cerca de 300 incidentes foram relacionados a invasão de sistemas”
• A grande maioria de sistemas invadidos é utilizada para hospedagem de sites falsos;
• O maior vilão são os sistemas WordPress comprometidos devido à falta de atualização e/ou configuração incorreta da aplicação;
• Foram observados casos de comprometimento de contas utilizadas em serviços de acesso remoto (ex.: SSH).– Em geral, nestes casos, os servidores comprometidos eram utilizados
para envio de SPAM, armazenamento e propagação de arquivos maliciosos;
“Foram reportados em torno de 70 casos de negação de serviço.”• O número de incidentes de negação de serviço reportados ao
CAIS é menor do que o detectado por nossos sistemas de detecção e mitigação;
• Um dos maiores ataques de negação de serviço detectado e mitigado ocorreu contra um destino localizado no estado do PR:– Porta de destino: 80 (http)– Protocolo utilizado: TCP– Quantidade total de tráfego detectada: ~4Gbps– Quantidade de PPS: ~9Mpps
http://2.bp.blogspot.com/-2FA5C80Y9HU/T7kffdvGoqI/AAAAAAAAGNM/iSO3NGax20k/s640/Anonymous+hater+takes+credit+for+Pirate+Bay+Ddos+Attack.jpg
Atividade Maliciosa na Rede Ipê
Atividade Maliciosa na Rede IpêCasos interessantes…
http://blogs.guardian.co.uk/games/archives/images/interesting.jpg
Atividade Maliciosa na Rede Ipê“Confirmar sua conta de e-mail RNP”
• O CAIS recebeu uma notificação, através de parceiros, da existência de phishing scam “direcionado” para usuários da RNP;– A falsa notificação informava o usuário da RNP sobre o bloqueio da sua
conta de email, devido a ter-se excedido o limite de armazenamento;– Era solicitado que o usuário fizesse atualização de seus dados através
de um formulário web;– A intenção desse ataque era coletar contas de email válidas para envio
de spam ou vazamento de informações;– Os endereços origem do phishing foram notificados e o formulário web
removido.
Atividade Maliciosa na Rede Ipê“Confirmar sua conta de e-mail RNP”
Atividade Maliciosa na Rede Ipê“Ataques de XSS no site da RNP”
• Notificações de usuários e parceiros sobre problemas de XSS nos sites da instituições– As notificações, geralmente, explicam com clareza as formas de
exploração das falhas e apresentam um PoC (Proof Of Concept/Prova de Conceito);
– O CAIS entra em contato com o responsável pelos assuntos de TI/SI da instiuição para auxiliar na resolução do problema.
http://2.bp.blogspot.com/_iYm10EqjH6A/TJ4YmPJR9mI/AAAAAAAAAvE/VTd6d4ezqf8/s1600/12403880.jpg
Atividade Maliciosa na Rede Ipê“DoS usando porta 0 UDP”
• O CAIS, em conjunto com a equipe de Operações de Rede, identificou, através dos sistemas de monitoramento, um tráfego anormal partindo de uma instituição do PA– Porta de origem e destino: 0 (zero)– Protocolo utilizado: UDP– Quantidade total de tráfego detectada: ~290G– Quantidade de PPS: ~8kpps
http://static.desktopnexus.com/thumbnails/210856-bigthumbnail.jpg
Atividade Maliciosa na Rede Ipê“Exploração de vulnerabilidade no RDP”
• O CAIS recebeu uma notificação relatando a identificação e possível exploração do serviço/protocolo RDP da Microsoft partindo de uma instituição localizada no estado de MG– O interessante deste caso é que ele foi notificado apenas alguns dias
após a publicação do boletim de segurança MS12-020 que tratava vulnerabilidades no RDP;
– A instituição cliente foi contatada e o equipamento que originava os scans/ataques foi sanitizado.
http://www.dome9.com/wp-content/uploads/2012/03/RDP_Vulnerability.png
Atividade Maliciosa na Rede Ipê“Instituição financeira solicita filtro de IP”
• O CAIS recebeu uma solicitação de bloqueio de IP onde era hospedado um site falso da instituição financeira em questão– Foi solicitado o filtro no backbone para impedir que usuários da RNP
fossem vítimas do falso site– O IP foi bloqueado por um período de 40 dias, visto que o provedor que
hospedava o site não respondia às solicitações da instituição reclamane;
– O filtro foi aplicado nos roteadores de borda do backbone;
http://3.bp.blogspot.com/-sSScqZ9GImI/TeADeyq5AGI/AAAAAAAAAvc/USrOvUolDkM/s1600/phishing.jpg
Atividade Maliciosa na Rede Ipê“Ataques contra servidores DNS”
• O CAIS, através dos sistemas de monitoramento, identificou ataques de DNS Reflection partindo de um servidor DNS de grande representatividade– Em conjunto com a equipe de Operações de Rede, foi tomada uma
ação de mitigação do problema;– Os responsáveis pelo servidor DNS em questão foram notificados e o
mesmo foi reconfigurado visando evitar este tipo de ataque.
http://brunoodon.com.br/wp-content/uploads/2012/09/DNS.jpg
Atividade Maliciosa na Rede Ipê“Vazamento de dados de orgão público do estado de SC”
• O CAIS identificou o vazamento de dados confidenciais relacionados a um orgão público do estado de SC:– O material estava hospedado em um site de compartilhamento de
arquivos e continha dados pessoais de usuários e projetos do orgão público;
– O CAIS repassou ao CTIR.Gov para que tomasse as devidas providências e notificou o site hospedeiro.
http://thumbs.dreamstime.com/thumblarge_588/12993544091597bO.jpg
Atividade Maliciosa na Rede Ipê“Phishing scam utilizando dados telefônicos da RNP”
• O CAIS recebeu informações de um phishing scam utilizando contatos telefônicos da RNP– Uma falsa notificação de recebimento de nota fiscal de pedido de
compra utilizava o número de contato telefônico da RNP Campinas;– Foram recebidas mais de 30 ligações solicitando esclarecimentos sobre
o incidente;– O CAIS identificou o email fraudulento e publicou um alerta no sistema
de Catálogo de Fraudes;– www.rnp.br/cais/fraudes.php?id=18721
Atividade Maliciosa na Rede Ipê“Phishing scam utilizando dados telefônicos da RNP”
Atividade Maliciosa na Rede IpêEstatísticas até setembro…
http://4.bp.blogspot.com/-5BjN7m2I97I/Tzx4LaC47iI/AAAAAAAAAUc/PG6CHOiMUnk/s1600/estatistica2.jpg
Atividade Maliciosa na Rede IpêEstatísticas até setembro…• Dos quase 100 mil incidentes tratados pelo CAIS até hoje, o
número de incidentes efetivamente fechados não chega a 10%;– Até o “fechamento desta edição”, os números não passavam de 7 mil;
• Somando os 5 estados com mais incidentes reportados, totalizamos mais de 49 mil incidentes;– Os 5 estados com maior número de inicidentes são:
Rio de Janeiro (RJ)
Paraná (PR)
Paraíba (PB)
Pernambuco (PE)
Santa Catarina (SC)
1000 3000 5000 7000 9000 11000 13000 15000 17000 19000Rio de
Janeiro (RJ)Paraná (PR) Paraíba (PB) Pernambuco
(PE)Santa Cata-
rina (SC)
Inci-dentes
19214 9432 7904 6486 6324
TOP 5 - Incidentes por Estado
Atividade Maliciosa na Rede IpêEstatísticas até setembro…
• Os estados com maior índice de resposta a incidentes são:– Os estados de MG e RS que apresentam, respectivamente, 3470 e
1663 incidentes (números totais)
Rio Grande do Sul
Bahia
Minas Gerais
1% 3% 5% 7% 9% 11%Rio Grande do Sul Bahia Minas Gerais
Índice de Fechamentos 0.11 0.08 0.07
Índice de Fechamentos
Atividade Maliciosa na Rede Ipê Conclusão
• Os estados de RJ, PR, PB, PE e SC apresentam números elevados de incidentes. É preciso atuar de forma mais próximas deles;
• Alguns estados com baixo indíce de incidentes reportados possuem efetividade na resposta;
• É importante analisar soluções de sucesso e, se viável, replicar tais soluções em outros estados;
• É necessário uma maior participação das instituições na resolução de incidentes;
• Ações específicas de combate a atividade maliciosa no backbone serão propostas no EnCSIRTs 2012. PARTICIPEM!!!
