Sunteți pe pagina 1din 30

CENTRUL NAIONAL DE RSPUNS LA INCIDENTE DE SECURITATE CIBERNETIC CERT-RO

RAPORT cu privire la alertele de securitate cibernetic primite de CERT-RO n cursul anului 2013

http://www.cert-ro.eu

Pagin alb

2 / 30

CUPRINS

1. 2. 3. 4. 5. 6.

Rezumatul raportului ................................................................................................................................. 5 Despre CERT-RO? ....................................................................................................................................... 7 Obiectivul prezentului raport ..................................................................................................................... 8 Sursele de date ale CERT-RO ...................................................................................................................... 9 Sistemul de Alert Timpurie (SAT) al CERT-RO .........................................................................................10 Statistic pe baza alertelor primite ..........................................................................................................10 6.1. 6.1.1. 6.1.2. 6.1.3. 6.1.4. 6.1.5. 6.2. 6.3. 6.4. Alerte colectate i transmise prin intermediul unor sisteme automate ..........................................10 Distribuia alertelor pe tipuri i clase de incidente ......................................................................10 Distribuia alertelor pe luni calendaristice ...................................................................................12 Distribuia alertelor pe Autonomous System Number (ASN) ......................................................12 Tipuri de malware caracteristice spaiului cibernetic romnesc .................................................15 Tipuri de sisteme afectate de alerte.............................................................................................17 Alerte individuale .............................................................................................................................17 Statistic domenii .ro compromise ...............................................................................................19 Ameninri de tip Advanced Persistent Threath (APT) ....................................................................21

7.

Concluzii i comentarii..............................................................................................................................21

Anexa 1 Recomandri pentru utilizatorii casnici ...........................................................................................23 Anexa 2 Recomandri pentru administratorii de sistem din cadrul organizaiilor .......................................24 Anexa 3 Clasificarea tipurilor de alerte tratate de CERT-RO .........................................................................25 Anexa 4 Descriere TOP 25 tipuri de malware caracteristice spaiului cibernetic naional ...........................28

3 / 30

Pagin alb

4 / 30

1. Rezumatul raportului
Centrul Naional de Rspuns la Incidente de Securitate Cibernetic CERT-RO este o structur independent de expertiz i cercetare-dezvoltare n domeniul proteciei infrastructurilor cibernetice, care dispune de capacitatea necesar pentru prevenirea, analiza, identificarea i reacia la incidentele de securitate cibernetic ale sistemelor informatice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale. CERT-RO se afl n coordonarea Ministerului pentru Societatea Informaional i este finanat integral de la bugetul de stat. n calitate de punct naional de contact cu privire la incidente de securitate cibernetic, n perioada 01.01 31.12.2013, CERT-RO a fost sesizat de ctre diveri parteneri interni sau internaionali, cu referire la incidente de securitate cibernetic, prin: 1. Alerte colectate i transmise prin intermediul unor sisteme automate: 43.231.149 o numr total de IP unice compromise, extrase din totalul alertelor: 2.213.426 2. Alertele colectate manual prin notificri individuale precum i cele constituite pe baza informaiilor colectate de CERT-RO: 450. Obiectivul prezentului raport este analiza incidentelor de securitate cibernetic colectate/gestionate la nivelul CERT-RO n anul 2013 n vederea obinerii unei viziuni de ansamblu asupra naturii i dinamicii acestor tipuri de evenimente relevante pentru evaluarea riscurilor de securitate cibernetic la adresa infrastructurilor IT i de comunicaii electronice de pe teritoriul Romniei, aflate n aria de competen a CERT-RO. Pe baza datelor colectate au fost constatate urmtoarele: peste 16% din totalul numrului de IP-uri alocat Romniei (aprox. 13,5 mil), a fost implicat n cel puin o alert de securitate cibernetic raportat la CERT-RO n anul 2013; aproximativ 78% din alerte vizeaz sisteme informatice din Romnia, victime ale unor atacatori care, de regul prin exploatarea unor vulnerabiliti tehnice, au vizat infectarea sistemelor cu diverse tipuri de aplicaii malware, n scopul constituirii unor reele de tip botnet (zombie); Numrul total de IP-uri unice identificate, n baza acestor alerte, este de 1.945.597, respectiv 14% din plaja total de IP-uri alocate Romniei. peste 16% din alerte vizeaz sisteme informatice din Romnia, victime ale unor atacatori care, de regul prin exploatarea unor configurri defectuoase sau vulnerabiliti ale serverelor DNS, au vizat folosirea sistemelor informatice vulnerabile pentru lansarea unor atacuri asupra altor inte din Internet (DNS amplification attacks, DNS cache poisoning etc.); peste 5% din alerte vizeaz entiti din Romnia ce trimit mesaje email nesolicitate de tip spam, ctre diverse inte din reeaua Internet; 40% din totalul alertelor vizeaz sisteme informatice din Romnia infectate cu viermele Conficker, pentru care exist deja patch-uri de securitate sau mecanisme de dezinfecie; conform datelor deinute aprox. 12,5% din IP-urile unice din RO, au fost raportate n 2013 ca fiind infectate cu Conficker. Troianul, identificat n anul 2008, vizeaz sisteme informatice ce ruleaz sisteme de operare din familia Microsoft Windows, ce nu au instalate ultimele patch-uri de securitate; peste 50% din totalul IP-urilor unice raportate ruleaz sisteme de operare din familia Microsoft Windows, versiunile 98, 2000, XP sau 2003; peste 39% din totalul alertelor individuale (5.2) vizeaz entiti din Romnia ce gzduiesc pagini web de tip phishing, ce afecteaz activitatea unor instituii financiare din Romnia sau strintate;

5 / 30

10.239 domenii .ro au fost compromise n 2013, reprezentnd aprox. 1,4% din totalul domeniilor .ro; 60% dintre acestea sunt domenii infectate cu diverse variante de malware, ce pot infecta ali vizitatori; 61 de IP-uri au fost semnalate ca fiind infectate cu diverse variante de malware de tip APT.

Urmare constatrilor de mai sus , pot fi formulate urmtoarele concluzii: ameninrile, de natur informatic, asupra spaiului cibernetic naional s-au diversificat, fiind relevate tendine evolutive, att din perspectiv cantitativ, ct i din punct de vedere al complexitii tehnice; majoritatea sistemelor informatice compromise din Romnia, fac parte din reele de tip botnet, fiind folosite cu rol de proxy pentru desfurarea altor atacuri asupra unor inte din afara rii, reprezentnd astfel potentiale ameninri la adresa altor sisteme conectate la Internet; pe baza analizei tipurilor de malware specifice spaiului cibernetic naional precum i a tipurilor de sisteme compromise, reiese faptul c, din punct de vedere cantitativ, majoritatea atacurilor sunt ndreptate ctre sisteme nvechite, depite moral, fr posibiliti native de securizare (ex: sisteme afectate de Conficker) sau care nu sunt actualizate cu ultimele patch-uri/update-uri de securitate; entiti din Romnia devin din ce n ce mai frecvent inta ameninrilor de tip APT, respectiv atacuri cibernetice cu un grad ridicat de complexitate, lansate de ctre grupuri ce au capacitatea i motivaia necesar pentru a ataca n mod persistent o int n scopul obinerii anumitor beneficii (de obicei acces la informaii sensibile); avnd n vedere functiile complexe ale unor astfel de aplicaii malware, prezente ntr-un numr mai redus n perioada analizata (capabiliti de interceptare a comunicatiilor electronice, accesarea neautorizata a datelor aferente tranzactiilor financiare si mijloacelor de plata electronice, spionaj cibernetic etc. Ex: Red October, Miniduke), precum i faptul ca aceste tipuri de ameninri prezint un caracter evolutiv moderat, se poate estima o crestere a numrului i severitii unor astfel de atacuri la nivel national pe parcursul anului 2014; Romnia nu mai poate fi considerat doar o ar generatoare de incidente de securitate cibernetic, analiza datelor prezentate demonstrnd caracterul intermediar/de tranzit al unor resurse informatice semnificative conectate la reeaua Internet n Romnia. Recomandri: O serie de recomandri, att pentru administratorii de sistem din cadrul organizaiilor ct i pentru utilizatorii casnici, se regsesc n anexele 1 i 2.

6 / 30

2. Despre CERT-RO?
Centrul Naional de Rspuns la Incidente de Securitate Cibernetic CERT-RO este o structur independent de expertiz i cercetare-dezvoltare n domeniul proteciei infrastructurilor cibernetice, care dispune de capacitatea necesar pentru prevenirea, analiza, identificarea i reacia la incidentele de securitate cibernetic ale sistemelor informatice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale. CERT-RO este o instituie public aflat n coordonarea Ministerului pentru Societatea Informaional i finanat integral de la bugetul de stat.1 Printre atribuiile CERT-RO, regsim: - organizeaz i ntreine un sistem de baze de date, la nivel naional, privind ameninrile, vulnerabilitile i incidentele de securitate cibernetic identificate sau raportate, tehnici i tehnologii folosite pentru atacuri, precum i bune practici pentru protecia infrastructurilor cibernetice; - asigur cadrul organizatoric i suportul tehnic necesar schimbului de informaii dintre diverse echipe de tip CERT, utilizatori, autoriti, productori de echipamente i soluii de securitate cibernetic, precum i furnizori de servicii n domeniu; - asigur puncte de contact pentru colectarea sesizrilor i a informaiilor despre incidente de securitate cibernetic att automatizat, ct i prin comunicare direct securizat, dup caz; - elaboreaz propuneri pe care le nainteaz ctre Ministerul Societii Informaionale (MSINF) sau Consiliului Suprem de Aprare a rii, privind modificarea cadrului legislativ n vederea stimulrii dezvoltrii securitii infrastructurilor cibernetice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale; - constituie Sistemul de alert timpurie i informare n timp real privind incidentele cibernetice n scopul avertizrii n timp real i emiterii de rapoarte cu privire la distribuia i natura incidentelor precum i al colaborrii cu autoritile naionale responsabile n asigurarea securitii cibernetice, n vederea prevenirii i nlturrii efectelor incidentelor de securitate cibernetic; - ofer servicii publice de tip preventiv (anunuri privind ameninri sau vulnerabiliti nouidentificate pe plan naional i internaional; realizarea, la cerere, de auditri i evaluri de securitate sau teste de penetrare; situaii actualizate asupra incidentelor de securitate cibernetic ce afecteaz sau implic entiti din Romnia), reactiv (alerte i atenionri privind apariia unor activiti premergtoare atacurilor; gestiunea incidentelor de securitate cibernetic la nivel naional) i de consultan n domeniul securitii cibernetice (pregtire echipe de tip CERT, analize de risc aplicate la nivel local i la nivel naional privind infrastructurile cibernetice). CERT-RO colecteaz din surse naionale sau internaionale, date referitoare la incidente sau evenimente de securitate cibernetic ce afecteaz sau implic entiti din Romnia. Astfel, odat identificat un incident, n baza unei proceduri interne, CERT-RO declaneaz o serie de aciuni ce asigur activitatea de rspuns. n majoritatea cazurilor, activitatea de rspuns la incidentele de securitate cibernetic urmrete atingerea urmtoarelor obiective: 1. stoparea imediat sau reducerea la minimum posibil a efectelor incidentului; 2. stabilirea preliminar a impactului incidentului/evenimentului;

Conform H.G. 494/2011, http://www.cert-ro.eu/files/doc/HG_494-2011_CERT-RO.pdf 7 / 30

3. identificarea si alertarea tuturor prilor afectate sau care pot fi afectate de incidentul/evenimentul de securitate precum i a celor responsabile de remedierea situaiei; 4. identificarea si alertarea tuturor instituiilor sau autoritilor publice responsabile de gestionarea situaiei; 5. diseminarea de documente de natur tehnic referitoare la metode de detecie i tratare ale incidentul/evenimentul de securitate, pentru alte entiti ce pot fi vizate de un incident similar. Conform atribuiilor legale, CERT-RO asigur cadrul organizatoric i suportul tehnic necesar schimbului de informaii dintre diverse entiti (autoriti, persoane fizice sau juridice, echipe de tip CERT, furnizori de soluii de securitate, furnizori de servicii etc.) implicate n incidente de securitate cibernetic, asigurnd buna cooperare a acestora. De asemenea, CERT-RO nu are atribuii n soluionarea tuturor tipurilor de incidente de securitate cibernetic. De exemplu, soluionarea incidentelor de securitate cibernetic care au rezultat n urma svririi unor infraciuni circumscrise criminalitii informatice, revin n sarcina organelor de aplicare a legii, conform competenelor legale. De asemenea, incidentele de securitate cibernetic care se pot constitui n ameninri la adresa securitii naionale sunt gestionate la nivelul instituiilor cu competene n domeniul de referin, conform legii. n cazul n care CERT-RO primete astfel de notificri, acestea sunt transmise instituiilor competente.

3. Obiectivul prezentului raport


Obiectivul raportului este de a analiza incidentele de securitate cibernetic raportate la CERTRO n perioada 01.01 31.12.2013 n vederea obinerii unei viziuni de ansamblu asupra naturii i dinamicii acestor tipuri de evenimente/incidente, relevante pentru evaluarea riscurilor de securitate cibernetic la adresa infrastructurilor IT i de comunicaii electronice de pe teritoriul naional al Romniei, aflate n aria de competen a CERT-RO. n acest sens, pe baza datelor colectate, respectiv incidentele semnalate la CERT-RO de ctre diferite persoane fizice sau juridice, precum i alte date colectate din Internet de ctre specialitii Centrului, prezentul document cuprinde principalele categorii de incidente ce au afectat spaiul cibernetic romnesc n anul 2013. Pentru evaluarea coninutului prezentului document, prezint relevan faptul c la nivelul CERT-RO nu au ajuns toate datele referitoare la incidente de securitate cibernetic ce au afectat sau au implicat resurse ale spaiului cibernetic romnesc, ns volumul de date analizat poate fi considerat reprezentativ pentru nivelul de dezvoltare al infrastructurilor cibernetice pe teritoriul Romniei n prezent. n principal valorile statistice ale prezentului raport reprezint date referitoare la diferite resurse limitate (URL-uri, adrese IP), detectate n Internet ca efectund trafic suspect sau maliios. Pentru rigurozitate considerm necesare lmuriri asupra termenilor folosii n activitatea CERTRO. Astfel, pe parcursul documentului ne vom referi la urmtoarele: Eveniment de securitate cibernetic - orice fapt sau situaie relevant din punct de vedere al securitii cibernetice, ce poate produce o schimbare a strii de normalitate n cadrul unui sistem informatic, poate indica o posibil nclcare a politicii de securitate sau o eroare a msurilor de protecie i poate fi pus n eviden i documentat corespunztor;
8 / 30

Incident de securitate cibernetic eveniment survenit n spaiul cibernetic ale crui consecine afecteaz securitatea cibernetic sau orice aciune, contrar oricror reglementri n vigoare, n legtur cu un sistem informatic, a crei consecin poate afecta sau a afectat securitatea cibernetic a acestuia, sau a dus la compromiterea informaiilor procesate de acesta. Alert de securitate cibernetic orice semnalare a unui incident sau eveniment de securitate cibernetic ce implic sau poate implica entiti de pe teritoriul Romniei.

4. Sursele de date ale CERT-RO


CERT-RO colecteaz date despre incidente, evenimente sau alerte de securitate cibernetic, din mai multe tipuri de surse, respectiv: 1) Alerte colectate i transmise prin intermediul unor sisteme automate (ex: honeypots). Acest tip de alerte sunt transmise numai de ctre organizaii specializate, precum alte CERT-uri sau companii de securitate, ce dein sisteme de detecie a incidentelor de securitate cibernetic. Numrul acestora este semnificativ mai mare dect al altor tipuri de alerte, putnd ajunge la valori de aprox. 500.000 alerte zilnice. 2) Alerte individuale, transmise de diverse entiti - persoane fizice sau juridice din ar sau strintate - referitoare la anumite incidente de securitate cibernetic. Numrul acestui tip de alerte se ridic la aproximativ 5-10 alerte zilnice. 3) Informaii colectate de ctre CERT-RO, din diverse surse. n aceast categorie intr diverse informaii colectate din surse publice sau cu acces reglementat, precum site-uri de profil sau companii de securitate, referitoare la anumite vulnerabiliti, ameninri sau chiar incidente de securitate cibernetic. Natura alertelor primite precum i categoriile de date disponibile pentru fiecare din categorii, impun tratarea acestora diferit. Alertele transmise prin sisteme automate impun procesarea automat. n acest caz, datele primite se rezum la liste de IP-uri detectate cu activiti maliioase sau suspecte n Internet, precum i cteva alte detalii referitoare la activitatea suspect (ex: timestamp, tip incident, porturi folosite, inte atacate etc.). Majoritatea acestor alerte sunt procesate automat de ctre CERT-RO i transmise ctre furnizorul de servicii Internet n reeaua cruia funcioneaz sistemul informatic identificat n cadrul alertei. n cazul acestui tip de alerte, de cele mai multe ori CERT-RO nu deine date exacte despre utilizatorul real al adresei IP, identificarea acestuia cznd n sarcina furnizorului de servicii internet (ISP). Tot n sarcina ISP cade i transmiterea mai departe a alertei de securitate. Dei acest tip de alerte nu ofer detalii asupra tipologiei intei, ele ofer o imagine de ansamblu asupra tipului de ameninri ce afecteaz infrastructurile cibernetice din Romnia. Alertele individuale precum i cele constituite pe baza informaiilor colectate de CERT-RO, sunt n numr considerabil mai mic, dar conin informaii mult mai complete i mai relevante despre incident, despre organizaia afectat, precum sursa atacului precum i metoda de atac. n majoritatea cazurilor datele sunt colectate de la entitile afectate, de ctre analitii CERTRO, odat cu raportarea incidentului. Dat fiind natura lor, respectiv faptul c, de regul, sunt evenimente deja petrecute care au produs poteniale pagube, iar prile implicate sunt clar identificabile, aceste tipuri de alerte reprezint, n majoritatea cazurilor, incidente de securitate cibernetic. Astfel, din punct de vedere statistic, aceste tipuri de alerte sunt mult mai valoroase, reflectnd mult mai bine evoluia strii de securitate cibernetic la nivel naional.
9 / 30

5. Sistemul de Alert Timpurie (SAT) al CERT-RO


n cadrul CERT-RO funcioneaz un proiect pilot al Sistemul de Alert Timpurie i Informare n Timp Real (SAT) privind incidentele cibernetice, respectiv un ansamblu proceduri i sisteme informatice ce proceseaz toate alertele primite, n vederea avertizrii n timp real a prilor afectate (ISP, persoane fizice sau juridice direct afectate etc.), a emiterii de rapoarte cu privire la distribuia i natura incidentelor precum i a colaborrii cu autoritile naionale responsabile n asigurarea securitii cibernetice, n vederea prevenirii i nlturrii efectelor incidentelor. Prezentul raport a fost redactat pe baza alertelor procesate pe parcursul anului 2013 de SAT al CERT-RO. n contextul analizei modului de implementare al Strategiei Naionale de Securitate Cibernetic, aa cum s-a prezentat i n ultimul bilan al Consiliului Operativ de Securitate Cibernetic, un pas important n operaionalizarea Sistemului Naional de Securitate Cibernetic l-a constituit dezvoltarea de ctre CERT-RO a sistemului pilot al Sistemului de Alert Timpurie (SAT). n perioada urmtoare, CERT-RO cu sprijinul celorlalte instituii cu responsabiliti n domeniul securitii cibernetice, va dezvolta proiectul pilot de SAT, astfel nct, odat cu identificarea surselor financiare necesare, acesta s fie extins n ct mai multe entiti, n special n mediul privat.

6. Statistic pe baza alertelor primite


6.1. Alerte colectate i transmise prin intermediul unor sisteme automate

n perioada de referin, respectiv 01.01 31.12.2013, la CERT-RO au fost primite sesizri (alerte), astfel: 1. numr total de alerte automate primite: 43.231.149 2. numr total de IP unice extrase din totalul alertelor: 2.213.426 n funcie de coninutul fiecrei alerte, respectiv problema semnalat, acestea au fost mprite pe clase i tipuri de alerte, conform tabelului nr. 1. 6.1.1. Distribuia alertelor pe tipuri i clase de incidente Tabelul i graficul de mai jos redau distribuia alertelor primite, precum i a IP-urilor unice extrase din acestea, pe clase i tipuri de alerte. O parte din IP-urile unice raportate se regsesc n mai multe categorii de alerte.

10 / 30

Clasa alerte Botnet Vulnerabilities Abusive Content Information Gathering Malware Cyber Attacks Vulnerabilities Fraud Botnet Malware APT Compromised Resources

Tip alert 2 Botnet Drone Open Resolver Spam Scanner Malicious URL Bruteforce Open Proxy Phishing Botnet C&C Server Infected IP RedOctober Compromised Router TOTAL

Numr alerte 33.677.871 6.782.888 1.986.605 603.524 116.535 30.150 13.809 13.556 4.082 1840 287 2 43.231.149

Tabel 1 Distribuia alertelor pe tipuri

Fig. 1 Distribuia alertelor pe tipuri Alertele din categoria Botnet Drone, respectiv computere infectate cu diverse tipuri de malware, ce fac parte din diverse reele de tip botnet, predomin, n proporie de 78%, n totalul alertelor automate primite n anul 2013. Numrul total de IP-uri unice identificate n baza acestor alerte este de 1.945.597, respectiv 14% din plaja total de IP-uri alocate Romniei.
2

Explicaia claselor i a tipurilor de alerte se regsete n anexa nr. 3. 11 / 30

6.1.2. Distribuia alertelor pe luni calendaristice Graficul de mai jos reprezint distribuia alertelor, n funcie de luna calendaristic n care acestea au fost primite de CERT-RO.

Fig. 2 Distribuia alertelor pe luni calendaristice

6.1.3. Distribuia alertelor pe Autonomous System Number (ASN) n baza alertelor primite, acestea au fost repartizate pe ASN 3-uri, dup IP-ul coninut de fiecare alert. Astfel, alertele primite vizeaz 1148 ASN-uri din Romnia, acest numr acoperind toate ASN-urile din Romnia (http://bgp.he.net/country/RO). n tabelul i graficul urmtor sunt prezentai primii 30 de furnizori de servicii internet (ISP), n reelele crora au fost detectate IP-uri care genereaz trafic maliios, vizibil n internet (sortat dup numrul de IP-uri compromise gzduite). n general, un ISP are alocat unul sau mai multe ASN-uri.
Nr. 1 2 3 4 5 6 7 8
3

AS NUMBER 8708 9050 6830 6910 48161 12632 12302 8953

AS NAME RCS & RDS SA ROMTELECOM UPC DIAL TELECOM S.R.L SC NextGen Communications SRL RCS & RDS SA Vodafone Romania S.A. Orange Romania SA

Procent (%) 35,96 32,27 7,88 3,46 2,68 2,27 1,36 1,17

Autonomous System Number, http://en.wikipedia.org/wiki/Autonomous_System_Number 12 / 30

9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

2614 35725 34711 41496 39743 6663 39737 44563 15471 50604 41273 47148 41571 35002 51102 39543 31605 40997 35664 31102 39464 44605

RoEduNet COSMOTE ROMANIAN MOBILE TELECOMMUNICATION SA DIGINET SA TV SAT 2002 SRL Voxility S.R.L. Euroweb Romania SA Net Vision Telecom SRL ENIASAN SRL S.N. Radiocomunicatii S.A. SC MEDIA SUD SRL Electrosim SRL STARNETRANS SRL Transilvania Digital Network SA SC NextGen Communications SRL IMPATT SRL TENNET TELECOM SRL Canal S SRL TITA & Company SRL CCC Blue Telecom SA TV Adler-Trading SRL Star Design I&E SRL TeleCablu&Net Srl Altii
Tabel 2 Top 20 ASN ce gzduiesc IP-uri maliioase

0,45 0,33 0,31 0,29 0,25 0,24 0,24 0,24 0,22 0,22 0,22 0,22 0,21 0,20 0,20 0,18 0,18 0,17 0,17 0,17 0,15 0,15 7,96

13 / 30

RCS & RDS SA ROMTELECOM UPC DIAL TELECOM S.R.L SC NextGen Communications SRL RCS & RDS SA Vodafone Romania S.A. Orange Romania SA

8% 2% 3% 3% 8% 36%

ROEDUNET COSMOTE DIGINET SA TV SAT 2002 SRL Voxility S.R.L. Euroweb Romania SA Net Vision Telecom SRL ENIASAN SRL S.N. Radiocomunicatii S.A. SC MEDIA SUD SRL Electrosim SRL STARNETRANS SRL

32%

Transilvania Digital Network SA SC NextGen Communications SRL IMPATT SRL TENNET TELECOM SRL Canal S SRL TITA & Company SRL CCC Blue Telecom SA TV Adler-Trading SRL Star Design I&E SRL

Fig. 3 Top 30 ASN ce gzduiesc IP-uri maliioase

Not: Prezena unui IP compromis/infectat n reeaua unui ISP nu nseamn c furnizorul de servicii internet (ISP) se face vinovat de respectivul incident. De cele mai multe ori, IP-ul infectat, care a generat alerta, reprezint un client al respectivului furnizor de servicii internet, iar responsabilitatea asupra traficului generat, (conform art. 13 din Legea 365/2002 precum i a altor acte normative din domeniu). asupra dezinfectrii precum i asupra securizrii corespunztoare a sistemului informatic revine clientului.

14 / 30

6.1.4. Tipuri de malware caracteristice spaiului cibernetic romnesc n aproximativ 75% din alertele primite, a fost posibil identificarea tipului de malware ce a afectat sistemul compromis. n acest sens, a fost ntocmit un Top 25 al celor mai ntlnite tipuri de malware din spaiul cibernetic romnesc.
Nr. Crt. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Tip Malware Procent (%) Conficker 53,4543 Sality 10,9534 Citadel 8,2338 Pushdo 6,7392 Zeroaccess 3,1662 Slenfbot.5050 3,0855 Virut 1,5755 Kelihos 1,3314 IRCBot 0,9238 Zeus 0,5706 Trafficconverter 0,3484 Grum 0,1508 Torpig 0,0252 Ransomware 0,0199 Blackenergy 0,0127 Tdss 0,0075 Trojan.Iframe.BMY 0,0045 Neurevt 0,0038 Trojan.Script.CEV 0,0031 Hermes 0,0025 Dorkbot 0,0024 DDoS_Khan 0,0023 DDoS_DirtJumper 0,0022 Gamarue 0,0017 Trojan.Iframe.BZW 0,0016 Tabel 3 Top 25 tipuri de malware Romnia 2013 4

Potrivit Wikipedia.org, Conficker (cunoscut i sub numele de Downadup) este un vierme aprut n 2008, ce exploateaz vulnerabiliti ale sistemelor de operare Microsoft. Viermele ataca numai sisteme de calcul cu sistem de operare Windows i se folosea de anumite vulnerabiliti ale acestuia precum i de atacuri de tip dicionar pentru aflarea parolelor de administrator. Scopul este obinerea controlului asupra calculatorului infectat, acesta putnd fi ulterior controlat de la distan. Conform datelor deinute 1.693.323 IP-uri unice (76% din totalul IP-urilor raportate sau 12,5% din totalul IP-urilor unice din RO) din RO sunt infectate cu acest vierme.

Explicaii referitoare la cele 25 de tipuri de malware se regsesc n anexa nr. 4 15 / 30

Conficker Sality Citadel Pushdo Zeroaccess Slenfbot.5050 Virut 7% Kelihos IRCBot Zeus 9% 59% 12% Trafficconverter Grum Torpig Ransomware Blackenergy Tdss Trojan.Iframe.BMY Neurevt Trojan.Script.CEV Hermes Dorkbot

Fig 4 Top 25 tipuri de malware Romnia 2013

16 / 30

6.1.5. Tipuri de sisteme afectate de alerte n aproximativ 11% din alertele primite a fost posibil identificarea cu exactitate a tipului de sistem de operare al clientului afectat. n acest sens, tabelul de mai jos, red un clasament al celor mai afectate tipuri de sisteme de operare din RO.
Nr. Familie sistem Nr. total alerte Crt. operare 1 Windows 4.344.677 2 Solaris 55.524 3 Linux 8.532 4 ChacheFlow 698 5 FreeBSD 95 6 OpenBSD 69 7 NetBSD 61 8 Novell 25 9 Cisco 23 10 Checkpoint 9 TOTAL 4.409.713 Tabel 4 Repartiie nr. de alerte totale per tipuri de sisteme de operare afectate

Conform datelor raportate la CERT-RO, majoritatea sistemelor de tip Windows infectate ruleaz versiunile 98/XP/2000/2003. O parte dintre aceste versiuni nu mai beneficiaz de suport din partea productorului, fiind declarate ca end of life, iar alte versiuni urmeaz a nu mai beneficia de suport n viitorul apropiat. Aceste versiuni de sisteme de operare Windows ruleaz pe aprox. 50% din totalul IP-urilor unice raportate la CERT-RO.

6.2.

Alerte individuale

Alturi de alertele automate, n perioada de referin, analitii CERT-RO au preluat o serie de incidente de securitate cibernetic, raportate direct de ctre persoane sau organizaii din ar sau strintate, astfel: Clasa alerte Fraud Malware Information Gathering Cyber Attacks Malware Abusive Content Botnet Compromised Resources Cyber Attacks Compromised Resources Compromised Resources Tip alert Phishing Infected IP Scanner DDoS Malicious URL Spam Botnet Drone Compromised Website Exploit Attempt Defacement Compromised Network/System
17 / 30

Numr alerte 173 95 43 42 31 11 11 7 7 6 4

Abusive Content Fraud Other Abusive Content Botnet Compromised Resources Cyber Attacks Abusive Content Cyber Attacks Information Gathering

Disclosure of Confidential Data Unlawful eCommerce/Services Alte tipuri Disclosure of Personal Data Botnet C&C Server Comprimised Application/Service APT Child Pornography Bruteforce Social Engineering TOTAL

3 3 3 2 2 2 2 1 1 1 450

Tabel 5 Distribuie alerte individuale per tipuri

Phishing Infected IP Scanner DDoS Malicious URL Spam Botnet Drone

7%

39%

Compromised Website Exploit Attempt Defacement Compromised Network/System Disclosure of Confidential Data Unlawful eCommerce/Services

9%

10%

Disclosure of Personal Data Botnet C&C Server Comprimised Application/Service APT Child Pornography Bruteforce Social Engineering

21%

Fig. 5 Distribuie alerte individuale per tipuri

n funcie de tipul entitii afectate distribuia incidentelor este cea din graficul de mai jos. De menionat este faptul c entitile afectate nu reprezint neaprat persoane fizice sau juridice din Romnia.
18 / 30

Nr. Crt. 1 2 3 4 5 6 7 8 TOTAL

Tipul entitii afectate Instituii bancare Organizaii private Instituii de nvmnt Instituii publice Persoane fizice ISP Agenii de tip law enforcement Neprecizat

Nr. alerte 142 80 29 18 17 5 1 158 450

Fig. 6 Repartiie incidente pe entiti afectate

De asemenea, n funcie de tipul sistemului afectat, distribuia incidentelor de securitate este urmtoarea: Nr. Crt. Tipul sistemelor afectate Nr. alerte 1 Reele 180 2 Servicii de tip banking/payment 132 3 Siteuri web 85 4 Email 18 5 Staii de lucru 15 6 Reele de socializare 3 7 Baze de date 2 8 Neprecizat 15 TOTAL 450 Fig. 7 Repartiie incidente pe tipuri de sisteme afectate

6.3.

Statistic domenii .ro compromise

Alertele primite deseori se refer la domenii .ro afectate de diverse tipuri de incidente. Astfel, pentru perioada de referin, CERT-RO deine date referitoare la 10.239 domenii compromise. Din 710.000 5 domenii nregistrate n Romnia, n luna decembrie 2013, numrul reprezint aproximativ 1,4% din totalul domeniilor .ro. Distribuia domeniilor afectate, dup tipul de incident, se regsete n tabelul de mai jos.

Conform datelor ICI-ROTLD 19 / 30

13%

Malicious URL Defacement 27% 60% Phishing URL Botnet drone Botnet C&C

Fig. 6 Domenii .ro compromise


2000 1800 1600 1400 1200 1000 800 600 400 200 0

Fig. 7 Domenii .ro compromise distribuie alerte per luni

20 / 30

6.4.

Ameninri de tip Advanced Persistent Threath (APT) 6

n data de 25.02.2013 CERT-RO a primit o notificare asupra unei noi ameninri cibernetice denumit MiniDuke, ce face parte din categoria APT-urilor cu grad ridicat de risc, specializat n extragerea de informaii n format electronic de pe sistemele informatice int, fiind vizate entiti din cadrul structurilor guvernamentale i instituiilor de cercetare 7. Virusul asociat ameninrii exploata o vulnerabilitate a aplicaiei Adobe Reader, se propaga prin email, cu ajutorul unor tehnici speciale de inginerie social, copiind fiiere pe care ulterior le transmitea ctre atacator. n Romnia au fost detectate 6 victime infectate, iar pentru remedierea situaiei s-a colaborat cu alte autoriti cu competene legale din Romnia. De asemenea, pe parcursul anului 2013 au fost primite 287 alerte referitoare la ameninarea cibernetic de tip APT intitulat Red October. Aceste alerte au vizat 55 de IP-uri unice din Romnia, ctre acestea fiind transmise alerte de atenionare. Atacuri de acest gen au fost identificate i in cursul anului trecut i au vizat structuri guvernamentale sau ambasade din Romnia.

7. Concluzii i comentarii
Din analiza datelor deinute la nivelul CERT-RO, rezult faptul c ameninrile de natur informatic asupra spaiului cibernetic naional s-au diversificat, fiind relevate tendine evolutive, att din perspectiv cantitativ, ct i din punct de vedere al complexitii tehnice evideniate. Majoritatea incidentelor analizate de CERT-RO, fie c provin din segmentul alertelor automate sau a celor individuale, se refer la entiti din Romnia, victime ale unor atacatori care, de regul prin exploatarea unor vulnerabiliti tehnice, au vizat infectarea unor sisteme informatice cu diverse tipuri de aplicaii malware, n scopul constituirii unor reele de tip botnet (zombie). Aceste sisteme compromise (victime), ce reprezint poteniale ameninri la adresa altor entiti conectate la Internet, sunt apoi folosite cu rol de proxy pentru desfurarea altor atacuri asupra unor inte din afara rii. Avantajele pentru atacator sunt semnificative, respectiv posibilitatea ascunderii identitii sale reale precum i posibilitatea utilizrii unui numr mare de computere (in funcie de numrul sistemelor de calcul infectate) pentru a lansa atacuri. De asemenea, pe baza analizei tipurilor de malware specifice spaiului cibernetic naional precum i al tipurilor de sisteme compromise, reiese faptul c, din punct de vedere cantitativ, majoritatea atacurilor sunt ndreptate ctre sisteme nvechite, depite moral, fr posibiliti native de securizare (ex: sistemele afectate de Conficker) sau care nu sunt actualizate cu ultimele patch-uri / update-uri de securitate. Este de remarcat faptul c entiti din Romnia devin din ce n ce mai frecvent inta ameninrilor de tip APT, respectiv atacuri cibernetice cu un grad ridicat de complexitate, lansate de ctre grupuri ce au capacitatea i motivaia necesar pentru a ataca n mod persistent o int n scopul obinerii anumitor beneficii (de obicei acces la informaii sensibile). De asemenea, avnd n vedere funciile complexe ale unor astfel de aplicaii malware, prezente ntr-un numr mai redus n perioada analizata (capabiliti de interceptare a comunicaiilor electronice, accesarea neautorizata a datelor aferente tranzaciilor financiare si mijloacelor de plata electronice, spionaj cibernetic etc. Ex: Red October, Miniduke), precum i faptul ca aceste tipuri de ameninri prezint
6 7

Advanced Persistent Threat http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_Identifies_MiniDuke_a_New_Malicious_Progra m_Designed_for_Spying_on_Multiple_Government_Entities_and_Institutions_Across_the_World 21 / 30

un caracter evolutiv moderat, se poate estima o cretere a numrului i severitii unor astfel de atacuri la nivel naional pe parcursul anului 2014; n acest context, se menine concluzia din raportul publicat de CERT-RO pentru primele 6 luni ale anului, respectiv faptul c Romnia nu mai poate fi considerat doar o ar generatoare de incidente de securitate cibernetic, analiza datelor prezentate demonstrnd caracterul intermediar/de tranzit al unor resurse informatice semnificative conectate la reeaua Internet n Romnia. Printre dificultile ntmpinate n activitatea de rspuns la incidente de securitate cibernetic, putem meniona lipsa prevederilor legale exprese referitoare la responsabilitile legate de notificarea, rspunsul, combaterea i eliminarea efectelor incidentelor de securitate de ctre autoritile statului sau entitile din domeniul privat, ceea ce duce la ngreunarea activitilor de rspuns n timp real la astfel de incidente. n acest context, considerm necesar completarea cadrului normativ naional cu prevederile coninute de unele documentele existente la nivel European.

22 / 30

Anexa 1 Recomandri pentru utilizatorii casnici


Avnd n vedere constatrile precum i concluziile prezentului raport, considerm absolut necesar cunoaterea, de ctre utilizatorii casnici, cel puin a recomandrilor de securitate expuse mai jos: 1. Folosii numai software cu licen. Sistemele de operare, aplicaiile de securitate, filmele, muzica precum i alte pachete software pirat, descrcate de pe site-uri de tip torrent sau hub-uri de DC, pot conine cod maliios ascuns (rootkits, backdoors etc.) ce poate transforma computerul ntr-un zombie, parte dintr-o reea de tip botnet, controlat de ctre atacator. 2. Folosii, n msura posibilitilor, pachete software (sisteme operare i aplicaii) ce beneficiaz de suport din partea productorului, pentru care update-uri de securitate sunt publicate periodic. Pachetele software ce nu mai beneficiaz de suport tehnic (actualizri) nu v pot oferi protecie mpotriva ultimelor tipuri de atacuri sau variante de malware. Dac, din diverse motive, este necesar folosirea de pachete software ce nu mai beneficiaz de suport din partea productorului (declarate end of life) asigurai-v de securizarea suplimentar a acestora prin instalarea de aplicaii dezvoltate de teri (antimalware, firewall, aplicaii de control parental etc.), care s acopere breele de securitate neacoperite de productor. 3. Folosii ntotdeauna, indiferent de sistemul de operare sau tipul de echipament folosit, software de securitate de tip antimalware, care s dispun de multiple module de protecie (ex: antivirus, antispam, antirootkit, antiphishing, firewall, control parental etc.). n prezent, exist variante de malware pentru fiecare tip de sistem de operare, instalat fie pe sisteme convenionale (desktop, laptop), fie pe dispozitive mobile (tablete, smartphone). Indiferent de soluia folosit, aceasta trebuie actualizat permanent. 4. Securizai-v reeaua local wireless. n cazul n care dispunei de mai multe dispozitive ce necesit acces la Internet i folosii o reea local wireless, router-ul folosit pentru conectarea dispozitivelor i partajarea conexiunii la Internet trebuie securizat corespunztor. Detalii suplimentare despre securizarea reelelor wireless putei gsi n ghidul Cum s te fereti de virui, viermi i troieni, disponibil la http://www.certro.eu/articol.php?idarticol=762. 5. Protejai corespunztor calculatorul sau dispozitivul folosit n comun de mai muli membri ai familiei. Crearea de conturi de utilizator individuale sau folosirea de software de control parental sunt doar cteva din msurile pe care le putei implementa. Detalii suplimentare despre securizarea reelelor wireless putei gsi n ghidul Cum s te fereti de virui, viermi i troieni, disponibil la http://www.cert-ro.eu/articol.php?idarticol=762. 6. Folosii parole puternice i nu dezvluii nimnui credenialele de acces la diferite aplicaii, servicii sau sisteme. 7. Navigai prudent pe Internet i acordai o atenie sporit informaiilor disponibile pe reelele sociale (link-uri, aplicaii etc.), acestea fiind folosite mai nou ca vector pentru distribuirea de malware. 8. Evitai folosirea calculatoarelor/dispozitivelor publice pentru accesarea diverselor servicii online (reele socializare, aplicaii de mesagerie instant etc.). De asemenea nu realizai tranzacii financiare sau cumprturi online de pe calculatoarelor/dispozitivelor publice. O serie de msuri suplimentare pot fi gsite n ghidul Cum s te fereti de virui, viermi i troieni, disponibil la http://www.cert-ro.eu/articol.php?idarticol=762, sau n ghidul Securitatea utilizatorului final, disponibil la http://www.cert-ro.eu/articol.php?idarticol=770. Pentru documentare suplimentar referitoare la tipuri de malware sau ameninri generice de securitate cibernetic v rugm consultai http://www.cert-ro.eu/articol.php?idarticol=763.
23 / 30

Anexa 2 Recomandri pentru administratorii de sistem din cadrul organizaiilor


Sistemele informatice din cadrul organizaiilor necesit msuri suplimentare de securitate fa de utilizatorii casnici, n general datorit numrului mai mare de utilizatori precum i diversitii de tehnologii folosite. n acest sens, considerm absolut necesar cunoaterea, de ctre administratorii de sistem, cel puin a recomandrilor de securitate expuse n anexa 1 i suplimentar, a celor de mai jos: 1. inei evidena dispozitivelor precum i a pachetelor software folosite n cadrul sistemului informatic al organizaiei. 2. Evaluai periodic nivelul de securitate al sistemului informatic prin teste de penetrare, audituri de securitate sau simple scanri pentru identificarea vulnerabilitilor. 3. Facei back-up permanent al datelor. 4. Aplicai msuri de securitate pentru limitarea accesului neautorizat la sistemul informatic: protecie fizic, blocare porturi, separare logic prin reele virtuale (VLAN), acces pe baz de smartcard-uri, conturi de utilizatori individuale protejate prin parol etc. 5. Controlai permanent modul de folosire al conturilor de acces privilegiate (conturi de administrator). Acestea trebuie folosite doar n caz de necesitate i nu permanent de ctre persoanele responsabile cu administrarea sistemului informatic. 6. Verificai periodic fiierele de tip log ale componentelor sistemului informatic, pentru identificarea eventualelor intruziuni. 7. Folosii tehnologii avansate de protecie a sistemului informatic: IDS/IPS, soluii antimalware de tip enterprise, criptare fiiere i conexiuni, acces la distan prin VPN etc. 8. Folosii proceduri de rspuns la incidente de securitate cibernetic i stabilii responsabili pentru astfel de activiti. 9. Instruii periodic personalul cu privire la folosirea sistemului informatic i raportarea incidentelor de securitate. 10. Documentai arhitectura sistemului informatic al organizaiei i inei evidena tuturor modificrilor. O serie de msuri suplimentare pot fi gsite n ghidulCum s te fereti de virui, viermi i troieni, disponibil la http://www.cert-ro.eu/articol.php?idarticol=762.

24 / 30

Anexa 3 Clasificarea tipurilor de alerte tratate de CERT-RO


Clasa alerte Abusive Content Tip alert Spam Child Pornography Disclosure of Personal Data Disclosure of Confidential Data Botnet Botnet C&C Server Botnet Drone Compromised Resources Defacement Descriere Comunicri electronice (mail) nesolicitate cu caracter comercial. Distribuire materiale pornografice cu minori. Publicarea ilegal a datelor cu caracter personal. Publicarea ilegal de date confideniale. Compromiterea datelor prin nclcarea principiului confidenialitii lor . Sisteme informatice utilizate pentru controlul victimelor (drone, zombie) din cadrul unei reele de tip botnet Reea de sisteme informatice infectate controlate de alte persoane/organizaii dect deintorii acestora. Atac asupra unui site web, realizat prin diferite metode, ce are ca scop alterarea coninutului afiat n paginile web. De cele mai multe ori atacatorii nlocuiesc prima pagin a site-ului cu o alt pagin ce afieaz informaii false. Compromiterea unor echipamente de comunicaii de tip router. Compromiterea unei reele sau a unui sistem informatic. Compromiterea unor aplicaii/servicii Site web compromis Metod automat de spargere a parolelor, folosit n scopul aflrii credenialelor legitime ale utilizatorilor unui sistem informatic. Practic, prin intermediul unor mecanisme automate, se genereaz i se testeaz un numr foarte mare de combinaii de parole, pn la aflarea credenialelor reale. Metoda garanteaz succesul dar este foarte mare consumatoare de timp i resurse. Afectarea disponibilitii unor sisteme/servicii informatice sau de comunicaii electronice. Sistemul int este atacat prin trimiterea unui numr foarte mare de solicitri nelegitime, ce consum resursele hardware sau software ale acestuia, fcndu-l indisponibil pentru utilizatorii legitimi. Secvene de cod ce exploateaz erori de programare din sistemul de operare sau din orice alt program rezident n acel sistem. De

Compromised Router Compromised Network/System Compromised Application/Service Compromised Website Bruteforce

Cyber Attacks

DDoS

Exploit Attempt

25 / 30

APT

Fraud

Phishing

Unlawful eCommerce/Services Information Gathering Scanner

Sniffer

Social Engineering

Malware

Infected IP

Malicious URL

Vulnerabilities

Open Proxy

cele mai multe ori, exploit-urile nu cauzeaz daune, ci doar permit unui atacator obinerea controlului asupra sistemului infectat crend posibilitatea instalrii altor tipuri de malware. Atacuri cibernetice cu un grad ridicat de complexitate, lansate de ctre grupuri ce au capacitatea i motivaia necesar pentru a ataca n mod persistent o int n scopul obinerii anumitor beneficii (de obicei acces la informaii sensibile). O form de nelciune n mediul online care const n folosirea unor tehnici de manipulare a identitii unor persoane/organizaii pentru obinerea unor avantaje materiale sau informaii confideniale. Activiti ilegale de comer de servicii sau produse pe internet. Sisteme care scaneaz clase ntregi de IP-uri din Internet, n scopul identificrii sistemelor vulnerabile, asupra crora poate fi lansat ulterior un atac cibernetic. Faza de scanare este faza incipient n majoritatea atacurilor cibernetice. Sistem ce intercepteaz pachetele de date transmise prin reea permind decodificarea ulterioar a acestora. Aceast metod se folosete pentru aflarea parolelor sau a altor date senzitive despre anumii utilizatori. Sniffing se refer la actul de interceptare a pachetelor TCP/IP. Reprezint un set de tehnici folosite pentru manipularea utilizatorilor sistemelor informatice, n scopul divulgrii de informaii confideniale, ce pot fi folosite ulterior pentru obinerea de foloase necuvenite sau acces fr drept la sistemul informatic. Sisteme/servicii informatice cu rol de vector de infectare pentru alte sisteme informatice. Sistemele/serviciile practic gzduiesc, cu sau fr voia administratorului, diverse mostre de malware ce pot infecta ali utilizatori legitimi. Site-uri compromise, de cele mai multe ori fr voia administratorului, ce gzduiesc diverse tipuri de malware, facilitnd infectarea altor utilizatori legitimi ce viziteaz linkurile respective. Servere/servicii proxy nesecurizate, ce pot fi folosite de ctre orice utilizator al Internetului. Astfel de servicii sunt deseori folosite de atacatori pentru lansarea de atacuri ctre diverse inte din internet, pstrndu-i astfel

26 / 30

Open Resolver

identitatea ascuns. Serviciile de tip proxy sunt deseori folosite pentru accesarea Internet-ului, printr-o singur adres IP, de ctre mai muli utilizatori sau echipamente. Servere DNS, nesecurizate, ce permit lansarea de solicitri DNS recursive pentru alte domenii dect cele deservite de serverul DNS. Sunt utilizate pentru atacuri de tip DNS Amplification.

Not: Tabelul de mai sus conine tipurile de alertele de securitate cibernetic raportate frecvent la CERT-RO. Dei gama de ameninri cibernetice este mult mai variat, nu toate se regsesc n raportrile primite de noi. Am preferat meninerea denumirilor n limba englez a claselor i tipurilor de alerte pentru a nu pierde sensul anumitor categorii prin traducere n limba romn.

27 / 30

Anexa 4 Descriere TOP 25 tipuri de malware caracteristice spaiului cibernetic naional


Nr. Nume Crt. Malware Tip malware Descriere

Afecteaza Confidentialitatea

Afecteaza Disponibilitatea

Conficker

Vierme

Sality

Virus

Citadel

Troian

Pushdo

Troian

Zeroaccess

Troian

Slenfbot.5050

Vierme

de asemenea cunoscut sub denumirile Downup, Downadup sau Kido, este un vierme informatic care a infectat milioane de calculatoare ncepnd de la finele anului 2008. Scopul principal al lui Conficker este acela de a compromite un numr ct mai mare de sisteme, acest lucru fiind posibil prin exploatarea vulnerabilitilor sistemelor de operare Microsoft Windows. Odat ce sistemul a fost compromis, viermele blocheaz opiunile de actualizare automate ale acestuia i restricioneaz accesul utilizatorului la site-urile productorilor de soluii de securitate. Mai mult dect att, variantele ulterioare ale lui Conficker includ i mecanisme de exploatare a funciei Autorun, posibilitatea de a accesa resursele partajate din reea, precum i deschiderea i meninerea unei linii de comunicare ntre mainile infectate i centrul de comand i control (structur de tip botnet). este un virus polimorfic cu capabiliti de backdoor i keylogging care infecteaz fiierele executabile (.EXE) i ncearc tergerea fiierelor asociate programelor anti-virus, anti-spyware i n unele cazuri firewall. Dup acest pas, Sality ruleaz un modul keylogger care colecteaz informaii despre sistemul infectat, nregistreaz parolele i conturile de login folosite dup care le trimite la o adres de e-mail predefinit. De asemenea, virusul creeaz un backdoor prin care atacatorul poate prelua controlul calculatorului. Ca metode de propagare virusul se rspandete n reea i pe alte medii de stocare copiindu-se cu denumiri aleatoare i crend o cale n fiierul autorun.inf pentru a fi sigur c va fi rulat. este un program maliios ce face parte din familia troienilor bancari (Zeus, SpyEye etc.) ce au ca scop manipularea tranzaciilor online. n plus, acesta permite susinerea unui atac informatic de tip DDoS prin intermediul sistemelor infectate sau executarea de la distan a unor programe maliioase de tip ransomware, respectiv scareware pe acestea (structur de tip botnet). este un troian care permite accesul i controlul neautorizat a unui calculator infectat. Atacatorul poate efectua un numr ridicat de aciuni remote printre care menionm: descrcarea i executarea de fiiere; upload-ul unor fiiere rezidente pe staia infectat; infectarea altor sisteme prin diverse metode de propagare; capabiliti de keylogging; modificarea setrilor sistemului de operare; tergerea de fiiere; executarea sau nchiderea unor aplicaii. cunoscut i sub denumirile max++ i Sirefef, este un malware de tip troian care afecteaz sistemele de operare Microsoft Windows. Scopul acestuia este de a descrca alte programe maliioase pe mainile compromise din cadrul unei reele de boi (botnet) de cele mai multe ori implicat n operaiuni de fraudare a click-urilor sau a monedelor virtuale (Bitcoin). este un vierme care odat ce infecteaz sistemul l transform ntr-un bot. Acesta se rspndete via programe de mesagerie instant printre care MSM Messenger, Yahoo Messenger i Skype. De asemenea se poate rspndi via

DA

DA

DA

DA

DA

DA

DA

NU

DA DA

DA NU

http://www.cert-ro.eu

Afecteaza Integritatea

NU

DA

DA

DA

DA DA

7 8

Virut kelihos

Virus Troian

9 10

IRCBot Zeus

Troian Troian

11

Trafficconverter

Troian (Conficker) Troian Troian

12 13

Grum Torpig

14 15 16 17 18

Ransomware Blackenergy Tdss Trojan.Iframe.BMY Neurevt

Troian/ Vierme Troian Troian Troian Troian

dispozitive de stocare sau exploatnd vulnerabilitatea MS06-040. n urma infectrii acesta se conecteaz la un canal IRC, iar sistemul victim poate fi comandat de ctre un server de comand i control. este un program maliios de tip botnet care este utlizat pentru distribuirea de malware, iniierea unor atacuri informatice de tip DDoS, spam, furt de date etc. prin intermediul sistemelor compromise. O caracteristic specific a acestuia este rspndirea prin infectarea fiierelor executabile. este un troian care distribuie mesaje de spam via email. Mesajele de spam pot conine hyperlinkuri pentru a instala malware-ul Kelihos. Malware-ul poate comunica cu servere remote pentru a oferi informaii despre victim i pentru a executa diverse sarcini precum: trimiterea de spam; capturarea unor informaii sensibile; download-ul i executarea unor fiiere. reprezint o familie de troieni cu capabiliti de backdoor care vizeaz sistemele de operare Microsoft Windows. Troianul are posibilitatea de a descrca o gam de aplicaii maliioase pe sistemul infectat i realizeaz o conexiune ctre servere de IRC. Troianul poate menine multiple conexiuni pentru a primi comenzi de la atacatori. aceasta familie de troieni sunt folosii pentru a fura informaii cu caracter personal i ofer atacatorilor control asupra staiei respective. Aciunile de furt de informaii vizeaz n special instituiile financiare. Acesta poate ncetini conexiunea la internet, opri firewall-ul, descrca i executa fiiere. Principalele modaliti de propagare sunt via email-uri spam, site-uri web compromise sau aplicaii freeware care execut i alte operaii dect cele din descriere. provine de la denumirea domeniului trafficconverter.biz, domeniu de unde mainile infectate cu viermele Conficker i descrcau versiunile actualizate. O alt utilitate a acestui domeniu a fost de nelare a utilizatorilor sistemelor compromise s descarce soluii false de scanare/devirusarea a lui Conficker n schimbul unei sume de bani. este un troian care n urma infeciei permite atacatorilor s foloseasc staia infectat ca i server proxy pentru a accesa Internetul. Acest virus este distribuit via email-uri spam sau driveby download. cunoscut i sub denumirile de Sinowal sau Anserin, este un malware de tip de botnet distribuit de o varietate de troieni care afecteaz maini care au instalate sisteme de operare Microsoft Windows. Acesta scaneaz mainile infectate pentru a obine credeniale, informaii despre conturi sau parole, permind astfel accesul deplin al atacatorului la acestea. Torpig este recunoscut pentru fraudele din domeniul bancar online. reprezint o clas de malware care restricioneaz accesul la staia infectat i oblig utilizatorul s plteasc pentru a primi acces din nou. Unele variante cripteaz doar fiiere sau poriuni din dispozitivul de stocare, iar altele restricioneaz accesul la sistemul de operare i afieaz un mesaj cu cerinele atacatorului. este un malware HTTP-based de tip botnet utilizat n principal pentru iniierea atacurilor de tip DDoS. O caracteristic a acestuia este c spre deosebire de un botnet comun, Blackenergy nu comunic cu serverul de comand i control prin canale de tip IRC. cunoscut i sub denumirea de Alureon, este un malware de tip troian dezvoltat cu scopul de a sustrage date de pe mainile compromise prin interceptarea traficului din reea i cutarea de nume de utilizatori, parole sau date referitoare la conturile bancare. este un troian care identific pagini web hostate pe staia respectiv i le infecteaz insernd un iframe ascuns la finalul codului de html. Iframe-ul ascuns poate conine un link ctre o pagin web. cunoscut i sub numele de Beta Bot, este un malware HTTP-based de tip botnet care n urma infeciei schimb anumite setri ale sistemului compromis i sustrage date sensibile. De asemenea, acesta poate permite unui

DA DA DA

DA NU NU

DA DA DA

DA

DA

DA

NU DA DA

NU DA NU

DA NU NU

NU NU DA NU DA

DA DA DA NU DA

NU NU NU DA DA

29 / 30

atacator s controleze de la distan maina compromis.

19 20 21

Trojan.Script.CEV Hermes Dorkbot

Troian Vierme Vierme

Nu exista descriere disponibila. este un vierme pentru mass-mailing. Un vierme de mass mailing reprezint un cod maliios care se propag prin trimiterea acestuia via email. Acesta folosete propriul motor de SMTP astfel copii ale viermelui trimise via email nu apar pe staia utilizatorului sau in folder-ul send a aplicaiei de email. este denumirea unei familii de viermi informatici care comunic prin canale de tip IRC i se rspndesc prin dispozitive USB, programe de mesagerie instant i reele sociale. Variante de Dorkbot pot captura numele utilizatorilor i parolele acestora prin spionarea traficului din reea i pot bloca site-uri utilizate pentru actualizri de mainile compromise. este un troian care n urma infeciei transform staia ntr-un bot n cadrul unui botnet. Principalul obiectiv a acestui troian este de a executa atacuri DoS prin realizarea de trafic HTTP. este un troian care n urma infeciei transform staia ntr-un bot n cadrul unui botnet. Principalul obiectiv a acestui troian este de a executa atacuri DoS prin realizarea de trafic HTTP. reprezint o familie de virui care pot descrca i fura informaii despre staia infectat. Acestea sunt distribuite via kituri de exploit i spammed email. Anumite variante ale malware-ului sunt viermi i se pot rspndi prin infectarea unor dispozitive de stocare mobile. este un troian care identific pagini web hostate pe staia respectiv i le infecteaz insernd un iframe ascuns la finalul codului de html. Iframe-ul ascuns poate conine fie un link ctre o pagin web.

NU DA NU NU DA NU

DA NU DA DA NU NU

NU DA NU NU NU DA

22 23 24 25

DDoS_Khan DDoS_DirtJumper Gamarue Trojan.Iframe.BZW

Troian Troian Virus Troian

30 / 30