Kartläggning av internetrelaterade hot Första kvartalet 2005 Patrik Nilsson 2005-06-30 0150/2005 1
Innehåll 1 Sammanfattning 3 2 Aktiviteter på samhällsnivå 4 3 Ursprungsland 5 4 Denial Of Service (DoS) 6 5 Intrångsförsök 7 6 Kartläggning 8 7 Webbattack 9 8 Annan attack 10 2
1 Sammanfattning Detta är den andra kvartalsrapporten avseende Kartläggning av Internetrelaterade hot som presenteras av Krisberedskapsmyndigheten (KBM) för att beskriva den hotbild som finns på Internet. KBM har sedan den 1 juli 2004 bedrivit ett arbete med att kartlägga den internetrelaterade hotbilden i form av ett övervakningssystem. I övervakningssystemet medverkar aktörer från näringslivet och statliga myndigheter. Sammanfattningen för första kvartalet 2005 påvisar inga större aktiviteter eller störningar inom övervakningsområdet. Under perioden har nya sensorer anslutits vilket i vissa fall kan förklara en viss ökning av vissa attacker. Det kan spekuleras i om den ökning som inträffat i slutet av perioden har något samband med de skollovsledigheter som är under denna period. Detta resonemang förstärks av att attackerna från Sverige har ökat markant i jämförelse med förra kvartalet. Det går inte i dagsläget att avgöra om det är ett trovärdigt resonemang, med tanke på att det saknas jämförelsedata. För att få en bra och stabil statistik har ett omfattande arbete bedrivits med att ta bort falsklarm, vilket är ett arbete som kommer att fortsätta. För synpunkter och frågor hänvisas till: Patrik Nilsson Tel: 08-593 710 67 E-post: patrik.nilsson@krisberedskapsmyndigheten.se 3
2 Aktiviteter på samhällsnivå Definitioner av de aktivitetsområden som analyseras: Denial Of Service (DoS): Attack med syfte att störa eller slå ut systemmiljön, antingen helt eller delvis. Kartläggning: Utforskningsförsök eller attacker med syfte att kartlägga och identifiera systemmiljön och eventuella brister. Intrångsförsök: Attacker med syfte att göra intrång i systemmiljön. Webbattack: Specifika attacker eller misstänkt åtkomstaktivitet mot webbaserade system och tjänster i systemmiljön. Annan attack: Övriga attacker som kan representera annan fientlig aktivitet mot systemmiljön. Generellt sett har även andra kvartalet varit relativt lugnt. Det utesluter inte att vissa organisationer kan ha haft viss påverkan eller varit utsatta för vissa störningar. Det är inget som har påverkat samhället i stort. I denna rapport har trojanattacker slagits samman med intrångsförsök för att få en bättre struktur. Under perioden har arbete genomförts med att optimera databasen, vilket har medfört att en hel del falsklarm har tagits bort. 4
3 Ursprungsland Nedan presenteras de 10 mest frekventa länder som finns representerade inom övervakningsområdet. Det har inte gjorts någon insats att spåra om någon har försökt dölja eller ändra sitt ursprungsland kopplat till IP-adress. Vid en analys av länderrepresentationen kan man se att antalet attacker från Kina har minskat avsevärt under detta kvartal och att antalet attacker från Sverige har ökat. USA ligger som tidigare stabilt kvar på samma nivå som tidigare och det kan också jämföras med den norska statistik som visar samma sak. När det gäller andra länder är inte variationen så stor. Dock kan nämnas att Norge ökade en del under detta kvartal. När det gäller den markanta ökningen från Sverige kommer det att analyseras under de olika avsnitten senare i rapporten. 5
4 Denial Of Service (DoS) DoS är en attack med syfte att störa eller slå ut systemmiljön, antingen helt eller delvis, genom t.ex. överbelastning, framtvingat systemfel m.m. Både misslyckade och lyckade attacker ingår i denna klass. När man tittar närmare på DoS ser vi en klar ökning under perioden v.5 till och med v.11 samt en viss uppgång v. 13. Anledningen till detta är något oklar. Det kan bero på att Sverigerepresentationens ökning och aktivitetsökningen vilket kan bero på skollovsledigheter som inträffar under perioden, men detta går inte i dagsläget att bekräfta. För att bekräfta att uppgifterna är korrekta krävs en djupare analys när det finns mer historisk data att jämföra med. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. DDOS shaft client to handler 2. WEB-MISC apache DOS attempt 3. DOS MSDTC attempt 6
5 Intrångsförsök Intrångsförsök är attacker med syfte att göra intrång i systemmiljön för att sedan t.ex. kunna extrahera, manipulera eller kartlägga information i de ingående systemen. Både lyckade och misslyckade attacker ingår i denna klass. Vad avser intrångsförsök syns det även här en klar ökning under perioden v.5 till och med v.9. Vidare kan konstateras att aktiviteten sjunker till samma nivå som före aktuell period. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. SMTP HELO overflow attempt 2. SHELLCODE x86 setuid 0 3. FTP CWD overflow attempt 7
6 Kartläggning Kartläggning är utforskningsförsök eller attacker med syfte att kartlägga och identifiera systemmiljön och eventuella brister, som ett första steg till eventuella intrångsförsök eller andra attacker. När det gäller kartläggningsaktiviteter ses även här en klar ökning. Ökningen sker under perioden v.6 till och med v.13. Det syns att aktiviteten går tillbaka lite under slutet av perioden, men aktivitetsnivån sjunker ändå inte tillbaka till samma nivå som innan. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. WEB-MISC http directory traversal 2. ATTACK-RESPONSES 403 Forbidden 3. WEB-CGI redirect access Den största aktiviteten var som tidigare portscaning, vilket har gjort att vi har valt att inte ha den på topplistan. Detta för att det är en så vanligt förekommande aktivitet och det är av större intresse att lyfta fram andra aktiviteter i stället. 8
7 Webbattack Webbattacker är specifika attacker eller misstänkt åtkomstaktivitet mot webbaserade system och tjänster i systemmiljön. Under perioden har det skett en viss ökning, vilket i detta fall kan förklaras av att det har anslutits nya sensorer. Även här har en ökning skett under perioden v.6 till och med v.12, som kan bero på att det har varit en ökad aktivitet, rent generellt. En ytterligare observation är att aktivitetsnivån sjunker tillbaka till en snarlik nivå under v.13. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. WEB-IIS cmd.exe access 2. WEB-FRONTPAGE /_vti_bin/ access 3. WEB-IIS view source via translate header 9
8 Annan attack Annan attack är typer av attacker eller misstänkta aktiviteter som kan representera annan fientlig aktivitet mot systemmiljön. Det går att utläsa en viss stabilitet under de två första månaderna i kvartalet för att senare öka radikalt. Anledningen till detta går i dagsläget inte att uttala sig om utan att genomföra en djupanalys. En djupare analys kan eventuellt genomföras om ökningen fortsätter även under nästa kvartal. De tre mest frekventa attacker som registrerats inom övervakningsområdet är följande: 1. MS-SQL Worm propagation attempt 2. BAD-TRAFFIC data in TCP SYN packet 3. BAD-TRAFFIC loopback traffic 10