Kartläggning av internetrelaterade hot. Fjärde kvartalet 2004

Transkript

1 Kartläggning av internetrelaterade hot Fjärde kvartalet 2004 Patrik Nilsson Dnr: 0150/2005 1

2 Innehåll 1 Sammanfattning 3 2 Aktiviteter på samhällsnivå 4 3 Ursprungsland 5 4 Denial Of Service (DoS) 6 5 Intrångsförsök 7 6 Kartläggning 8 7 Trojanattack 9 8 Webbattack 10 9 Annan attack 11 2

3 1 Sammanfattning Detta är den första kvartalsrapporten avseende Kartläggning av Internetrelaterade hot som presenteras av Krisberedskapsmyndigheten (KBM) för att beskriva den hotbild som finns på Internet. KBM har sedan den 1 juli 2004 bedrivit ett arbete med att kartlägga den internetrelaterade hotbilden. I övervakningssystemet är både aktörer från näringslivet och statliga myndigheter anslutna. Sammanfattningen för fjärde kvartalet 2004 påvisar inga större aktiviteter eller störningar inom övervakningsområdet. De går inte i dagsläget att uttala sig om redovisade nivåer i diagrammen beroende på att det inte finns tillräckligt med jämförelsedata. Däremot kan konstateras att övervakningssystemet genererar unik information, vilken kommer att skapa möjligheter att i framtiden kunna göra jämförelser och trendanalyser. En del av rapporterna kommer att innehålla ett avsnitt som benämns som speciella händelser. Avsnittet kommer att innehålla en eller flera djupare analyser av olika speciella händelser som inträffat under det senaste kvartalet alternativt andra intressanta analyser som har gjorts i eller kring övervakningssystemet. Det kan t.ex. röra sig om annan misstänkt aktivitet som sannolikt inte utgör attacker mot systemmiljön, men som har fångats upp av trafiksensorn och kan få säkerhetsmässiga konsekvenser för systemmiljön och organisationen. För synpunkter och frågor hänvisas till: Patrik Nilsson Tel: E-post: patrik.nilsson@krisberedskapsmyndigheten.se 3

4 2 Aktiviteter på samhällsnivå Definitioner av de aktivitetsområden som analyseras: Denial Of Service (DoS): Attack med syfte att störa eller slå ut systemmiljön, antingen helt eller delvis. Kartläggning: Utforskningsförsök eller attacker med syfte att kartlägga och identifiera systemmiljön och eventuella brister. Trojanattack: Attacker med syfte att införa eller utnyttja trojaner i systemmiljön. Intrångsförsök: Attacker med syfte att göra intrång i systemmiljön. Webbattack: Specifika attacker eller misstänkt åtkomstaktivitet mot webbaserade system och tjänster i systemmiljön. Annan attack: Övriga attacker som kan representera annan fientlig aktivitet mot systemmiljön. Denna rapport visar att det inte går att göra någon djupare analys av ovanstående diagram på grund av att det saknas tillräckligt med jämförelsedata. Det har inte skett någon större påverkan eller aktiviteter inom övervakningsområdet. Däremot under mätperiodens sista vecka kan noteras en uppgång inom alla områden, vilket i dagsläget inte går att hänföra till någon speciell händelse. 4

5 3 Ursprungsland Nedan presenteras de 10 mest frekventa länder som finns representerade inom övervakningsområdet. Det har inte gjorts någon insats för att spåra om någon har försökt att dölja eller ändra sitt ursprungsland kopplat till IP-adress. I de kommande rapporterna kommer vi att kunna analysera om aktiviteter från ursprungsländer ökar eller minska och om möjligt kunna utvisa trender i att vissa länder ökar och andra minskar i aktivitet. Det som hittills har framkommit är att en övervägande del av trafiken kommer från Kina. När det gäller fördelningen av ursprungsland kan vi göra viss jämförelse med den norska statistiken som presenteras av Nasjonal sikkerhetsmyndighet, där man kan konstatera att USA visar på ungefär samma fördelning i Norge som i Sverige, men att Kina inte utmärker sig i samma utsträckning som i Sverige. Vidare kan man se en stor variation mellan olika länders aktiviteter. 5

6 4 Denial Of Service (DoS) DoS är en attack med syfte att störa eller slå ut systemmiljön, antingen helt eller delvis, genom t.ex. överbelastning, framtvingat systemfel m.m. Både misslyckade och lyckade attacker ingår i denna klass. Det finns inte så mycket att säga om detta område i dagsläget, men det kan konstateras en viss tillfällig ökning under perioden från mitten av november till slutet av december, vilket i dagsläget inte kan kopplas till någon speciell händelse. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. DOS MSDTC attempt 2. WEB-MISC SSLv3 invalid data version attempt 3. DDOS shaft client to handler DoS attacker har skett genom punktinsatser vid specifika tidpunkter, oftast räknat i minuter på en viss dag Ett fåtal sensorer hade en hög attacksekvens under en viss period vilken motsvarar höjdpunkten i diagrammet. Utan denna punkt skulle diagrammet visa på en låg nivå med nollpunkter under vissa veckor. 6

7 5 Intrångsförsök Intrångsförsök är attacker med syfte att göra intrång i systemmiljön för att sedan t.ex. kunna extrahera, manipulera eller kartlägga information i de ingående systemen. Både lyckade och misslyckade attacker ingår i denna klass. De mest utmärkande attacker som registrerats inom övervakningsområdet är följande: 1. SHELLCODE x86 NOOP 2. WEB-CLIENT Javascript URL host spoofing attempt Diagrammet visar på en kraftig variation i aktiviteter under perioden. Det kan bero på att attackerna kommer i intervaller. När attacken startar sker många aktiviteter på kort tid och som sedan går ner i aktivitet. Den verkliga nivån för diagrammet borde ligga i paritet med siffrorna för november till och med december. Under oktober var nivån lägre, vilket kan härröras till visst sensorbortfall. Mönstret är i likhet med siffrorna för samma period, avseende nivå och variationer, som för 3:e kvartalet

8 6 Kartläggning Kartläggning är utforskningsförsök eller attacker med syfte att kartlägga och identifiera systemmiljön och eventuella brister, som ett första steg till eventuella intrångsförsök eller andra attacker. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. Portscan attack 2. DNS zone transfer UDP 3. WEB-CGI redirect access Det kan konstateras att en stor del av kartläggningsaktiviteterna är portscanning. Det förefaller som om kartläggningsaktiviteterna generellt har ökat konstant under perioden. 8

9 7 Trojanattack Trojanattacker är attacker med syfte att införa eller utnyttja trojaner i systemmiljön, t.ex. back-door funktionalitet. Både lyckade och misslyckade attacker ingår i denna klass. När det gäller trojanattacker finns det inte så mycket att säga i dagsläget. Diagrammet har stora variationer som inte kan kopplas till speciella händelser. I framtiden kan vi kanske se hur den normala nivån är. Däremot kan det konstatera att den mest frekventa attacken som har registrerats inom övervakningsområdet är Backdoor typot trojan traffic. 9

10 8 Webbattack Webbattacker är specifika attacker eller misstänkt åtkomstaktivitet mot webbaserade system och tjänster i systemmiljön. Avser webbattacker har det varit relativt lugnt under kvartalet, förutom sista veckan som påvisade en ökning, vilket kräver en djupare och vidare analys av vad som händer framöver. De tre mest frekventa attacker som har registrerats inom övervakningsområdet är följande: 1. WEB-IIS cmd.exe access 2. WEB-MISC WebDAV search access 3. WEB-PHP read_body.php access attempt Intressant är att observera nivån som ligger ca 30-40% lägre jämfört med nivån för 3:e kvartalet

11 9 Annan attack Annan attack är attacktyper eller misstänkta aktiviteter som kan representera annan fientlig aktivitet mot systemmiljön. Diagrammet visar på en konstant ökning under kvartalet. Det kan konstateras en större ökning under sista veckan av året. De tre mest frekventa attacker som har registrerats i systemet inom området är följande: 1. MS-SQL Worm propagation attempt 2. BAD-TRAFFIC data in TCP SYN packet 3. IMAP login literal buffer overflow attempt 11