Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Tietoturva nyt! > 2007 > Maaliskuu > "Ikuinen" palvelunestohyökkäys - tapaus Allaple ja outo ICMP-liikenne

Tietoturva nyt!

14.3.2007

"Ikuinen" palvelunestohyökkäys - tapaus Allaple ja outo ICMP-liikenne

CERT-FI on käsitellyt heinäkuusta 2006 lähtien tapausta, jossa suomalainen organisaatio on ollut sitkeän palvelunestohyökkäyksen kohteena.

Tapaukseen liittyen on viime aikoina useilla tietoturva-aiheisilla foorumeilla käyty keskustelua ICMP-protokollaliikenteen kohonneista määristä. Määrän kasvun uskotaan suureksi osaksi selittyvän Allaple-verkkomadon aiheuttamalla verkon skannauksella. CERT-FI on seurannut tilannetta hyvin aktiivisesti jo kahdeksan kuukauden ajan. Olemme myös tehneet aktiivista yhteistyötä hyökkäyksen kohteena olleiden suomalaisorganisaatioiden kanssa. CERT-FI julkaisi tapaukseen liittyen Tietoturva nyt! -artikkelin viime joulukuussa.

Allaple on polymorfinen verkkomato, joten jokainen haittaohjelman esiintymä poikkeaa muista esiintymistä. Haittaohjelmassa ei ole komentokanavaa, joten haittaohjelmaa ei voi etäohjata. Allaplen ensimmäiset versiot levisivät Radmin-etähallintaohjelmien heikkoja salasanoja arvaten. Myöhemmät versiot käyttävät hyväkseen Windowsissa olevia vanhoja haavoittuvuuksia. Kaikkiin tähän asti tunnistettuihin Allaple-varianttien käyttämiin hyökkäysvektoreihin on saatavilla haavoittuvuuden poistava korjaus. Jokainen haittaohjelman versio etsii kovalevyltä html-tiedostoja, ja lisää OBJECT-tagin viittamaan itseensä. Tällä tavoin haittaohjelma pyrkii varmistamaan aktivoitumisen.

Lisääntyneen ICMP-protokollaliikenteen lisäksi haittaohjelma aiheuttaa palvelunestohyökkäyksen kolmea sivustoa kohtaan. Yksi sivustoista sijaitsee suomalaisen palveluntarjoajan verkossa. Komentokanavan puuttuminen aiheuttaa sen, että palvelunestohyökkäys tulee jatkumaan niin kauan kun verkossa on haittaohjelman saastuttamia koneita. Palvelunestohyökkäys on toteuttu tyypillisesti lähettämällä suuri määrä SYN-paketteja tai HTTP GET -pyyntöjä.

Allaplen voi havaita verkkoliikenteestä muun muassa seuraavin keinoin:

  • Verkkoliikenteessä esiintyy ICMP-paketteja, joissa on sisältönä teksti "Babcdefghijklmnopqrstuvwabcdefghi"
  • ICMP ECHO -paketteja, joissa on kohteina muiden osoitteiden lisäksi myös oktetteihin 255 ja 0 päättyviä osoitteita, esimerkiksi 192.168.1.255 tai 192.168.1.0

CERT-FI on tiedottanut tapauksesta suomalaisille verkkopalvelujen tarjoajille sekä kansainväliselle CERT-yhteisölle. CERT-FI on kiinnostunut kaikista palvelunestohyökkäykseen ja haittaohjelmaan liittyvistä havainnoista ja lisätiedoista. Suosittelemme ottamaan yhteyttä päivystäjäämme sähköpostitse.

Lisätietoa

 Kommentoi 
Sivua päivitetty 16.03.2007   Tulostusversio Tulostusversio