foto1
foto1
foto1
foto1
foto1

Saugumo testavimai

Botnetų stebėjimas

DDOS gynyba

WEB svetainių apsauga

Kibernetinio saugumo tyrimai

   Jūs naršote internete, ir staiga:

  • Užšifruojamas Jūsų kompiuteris
  • Iš Jūsų banko sąskaitos dingsta pinigai
  • Jūsų kompiuteris dalyvauja DDOS atakose 

 

   Kas gi nutiko ? Viskas gana paprasta - Jūs apsilankėte užkrėstoje svetainėje, ir Jūsų kompiuteris buvo atakuotas. Visa tai labai realu ir vyksta Lietuvoje dabar. Įliustracijai pateikiame porą vaizdo įrašų, kaip užkrėstos lietuviškos svetainės atakuoja savo lankytojus ( video įrašuose pateikta informacija turi tai patvirtinančius įrodymus ).

 

Video įrašas iš svetainės anglonas.fotonija.lt.  Cerber botnetas. Ataka prieš šios svetainės lankytojus užfiksuota 2017 vasario 12 d. 

 

 

Video įrašas iš svetainės www.svara.lt. Cryptomix botnetas. Ataka prieš šios svetainės lankytojus užfiksuota 2017 vasario 9 d.

 

 

 

   Tokių, savo lankytojus atakuojančių svetainių Lietuvoje yra labai daug. Šio straipsnio publikavimo dienai turime informacijos apie maždaug 150-200 aktyviai Lietuvoje veikiančių tokio pobūdžio svetainių. Ką gi šios svetainės daro savo lankytojams ? Šiuo metu pagrindinė ataka prieš lankytojus - lankytojo kompiuteryje saugomos informacijos užšifravimas ir išpirkos reikalavimas. Pagrindiniai ir aktyviausiai šiuo metu Lietuvoje aptinkami botnetai yra šie:

  • Cerber - labiausiai paplitęs Lietuvoje. Cerber šifravimo raktą generuoja / atsineša su savimi - tai dažniausiai 3 / 4 atakos žingsniai. Tikėtina, kad šį raktą galima surasti / išskaičiuoti. 
  • Osiris - žymiai retesnis, šifravimo rakto užklausiama iš raktų serverio. Raktai kinta dinamiškai. Infekcijos žingsniai - 6 / 7. Dekodavimas turėtų būti komplikuotas / neįmanomas.
  • Cryptomix/CryptoShield - tik neseniai užfiksavome Lietuvoje, stebimas jo augimas.

   Štai kaip jie atrodo vartotojui:

 

Cerber 

 

 

 

Osiris

 

 

 

 Cryptomix 

 

 

 

   Užkrėstos svetainės savo lankytojus atakuoja per kelis žingsnius - visų pirma kažkokioje svetainėje yra patalpinamas žemiausio lygio kodas ( jis vartotojo naršyklę nukreipia į taip vadinamą "landing page" ), kuris vartotoją nukreipia į aukštesnio lygmens svetainę, kuri vartotoją atakuoja. Jei ataka sėkminga, kenkėjiškas kodas kreipiasi į dar aukštesnio lygmens svetainę, kad atsisiųstų papildomą kodą, kuris ir atliks galutinius veiksmus ( užšifruos bylas, perims slaptažodžius / sąskaitas ir pan. ). Atakos lygmenys abstrakčiai ( be žemiausio lygmens užkrėstų svetainių ) pavaizduoti šiame paveikslėlyje:

 

 

   Šie atakos lygmenys sudaro kaip ir piramidę, kur žemiausiame lygyje yra didelis kiekis užkrėstų svetainių, o aukštesnio lygio svetainės aptarnauja daug žemesniame lygmenyje esančių svetainių. Kuo aukštesnis lygmuo, tuo svetainių skaičius mažesnis. 

  Užkrėstas svetaines aptikti gana sudėtinga, nes kenkėjiškas kodas sudėtingas ir slepiasi nuo tyrinėtojų. Nepaisant to, mums pavyko identifikuoti ir aukštesnio ( 2 ir 3  ) hierarchinio lygmens kenkėjiškas svetaines bei jų tinklus. Mūsų vertinimais, naudojant turimą informaciją, galima būtų sustabdyti apie 70-80% šių botnetų atakų Lietuvoje, o tai mūsų vertinimais sudarytų apie 50-60%  atakų prieš Lietuvos vartotojus. Tokios atakos prieš vartotojus jau yra blokuojamos įmonėse / įstaigose, kurių gynybai naudojamos mūsų technologijos ( plačiau žr. paslaugų skiltį)

    Taip yra užfiksuota keletas taip vadinamų infekuotų svetainių spiečių - t.y. dideli kiekiai infekuotu svetainių pas tam tikrus ryšio tiekėjus ar įstaigas. Kai kurios svetainės savo lankytojus atakuoja ilgiau nei metus.

 

 Pagrindinės rekomendacijos

 

  • Naudokite legalią, su naujausiais saugumo pataisymais, programinę įrangą
  • Naudokite ugniasienę
  • Naudokite kokybišką antivirusinę programinę įrangą. Dažniausiai kokybiškos antivirusinės programinės įrangos už dyką negausite. 
  • Jei bandydami atidaryti svetainę, naršyklėje gaunate perspėjimą apie pavojų  – neikite į ją.
  • Neatidarinėkite įtartinų, iš nežinomų asmenų gautų laiškų.
  • Iškylančius langus (pop-up) uždarinėkite per kryžiuką dešiniajame viršutiniame kampe
  • Naudodamiesi ebanku ar kita jautria sistema, atkreipkite dėmesį, ar yra „spynelės“ piktograma
  • Kilus menkiausiam įtarimui, dėl keisto kompiuterio darbo, esant neaiškumams – kreipkitės į specialistą