Conficker w analizach CERT Polska

przez | 07/04/2009

Od pierwszego kwietnia działający w strukturach NASK zespół CERT Polska monitoruje ruch sieciowy do części domen „.pl”, które mogły zostać wykorzystane przez najgroźniejszego w ostatnim czasie robaka Conficker do pobrania własnej aktualizacji. Na stronach www.cert.pl opublikowany został raport z obserwacji dokonanych przez pierwsze 32 godziny.

Pierwszy kwietnia był już od kilku tygodni zapowiadany przez dużą część mediów jako dzień, w którym może się wydarzyć coś spektakularnego, zagrażający bezpieczeństwu Internetu. Tymczasem można było być pewnym jednego: pierwszego kwietnia miała nastąpić zmiana algorytmu wyszukiwania aktualizacji przez robaka.

Należy zwrócić uwagę na fakt, że sposób wyszukiwania nowszych wersji robaka jest bardzo nowatorski – mówi Piotr Kijewski z CERT Polska. – Zamiast szukać aktualizacji pod jednym numerem IP bądź jedną domeną każda instancja robaka szuka jej na losowym zbiorze 500 domen z puli 50 000 możliwych dla danego dnia.

Z obserwacji zespołu wynika, że pierwszego kwietnia tak właśnie się stało. Dzięki rozpracowaniu algorytmu wytwarzania domen używanego przez robaka, możliwe stało się podstawienie „pułapek” przechwytujących zapytania HTTP szukających aktualizacji.  Poza zmianą algorytmu nie nastąpiło żadne dodatkowe działanie, nie odnotowano też umieszczenia aktualizacji na którejkolwiek z domen.

Obecnie szacuje się, że w sieci jest około 3,5 miliona infekcji Conficker.C. Jak na tym tle prezentuje się Polska? Na podstawie obserwacji w dniu 1 kwietnia ruchu do serwerów-pułapek dla wybranych polskich domen  NASK zaobserwował 165 tysięcy unikalnych zainfekowanych IP z całego świata. Po odfiltrowaniu ruchu, który nie mógł pochodzić od robaka, okazało się, że najwięcej komputerów łączących się do obserwowanych przez CERT Polska domen miało adresy IP wskazujące na terytorium Chin (ponad 20%). Następne kraje w kolejności to: Rosja (ok. 13%), Brazylia (ok. 12%), Korea (ok. 6%), Wietnam i Ukraina (ok. 5%), oraz Indie i Indonezja (po. 4%). Polska plasuje się na tej liście stosunkowo nisko – jedynie 1420 zanotowanych przypadków (mniej niż 1%).

To potwierdza wcześniejsze obserwacje CERT Polska przeprowadzone z użyciem systemu ARAKIS (http://www.arakis.pl), który monitorował proces propagacji Confickera przez Internet. Można więc przypuszczać, że w Polsce jest stosunkowo niewiele maszyn przejętych przez robaka. Podobne są wyniki obserwacji prowadzonych przez innych specjalistów zajmujących się monitorowaniem aktywności robaka, w tym ze specjalnie powołanej grupy zwalczającej jego aktywność – Conficker Working Group. Najwięcej zarażonych komputerów pochodziło z sieci Telekomunikacji Polskiej. Następny w kolejności Dialog był źródłem zaledwie nieco ponad 1/5 liczby połączeń w stosunku do Telekomunikacji Polskiej.

Jeżeli obecny trend ilości połączeń „per domena” będzie się utrzymywał, można przyjąć, że raczej nie ma zagrożenia niezamierzonego „zalania” połączeniami istniejących i działających produkcyjnie witryn, których nazwy domenowe pokrywają się z tymi wytworzonymi przypadkowo przez algorytm robaka – prognozuje Piotr Kijewski. – Nie oznacza to jednak, że zagrożenia ze strony robaka już nie ma – zainfekowane komputery cały czas znajdują się w sieci.

Obszerna analiza obserwacji aktywności robaka znajduje się na stronie: http://www.cert.pl/news/1645