Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad

Utskick FAQ

Frågor och svar kring CERT-SE:s utskick

I de fall CERT-SE får vetskap om incidenter som påverkar svenska intressen och organisationer skickar vi ut information om händelsen till påverkade parter.

Informationen kan till exempel röra sig om användarkonton som har läckt ut, datorer som kan vara infekterade eller annan information kring IT-säkerhetsincidenter.

Resterande delar av FAQ:n behandlar infekterade datorer.


Varför får jag e-post från CERT-SE?

Vad betyder informationen?

Varifrån kommer informationen?

Hur hittar jag datorn då adressöversättning (NAT) används?

Hur påverkar det om dynamiska adresser används?

Hur kopplas IP-adressen till ett Windows-namn?

Vilka andra loggar är användbara?

Hur kan jag få ut information från mina loggar?

Vad är centraliserad logghantering?

Vad är SIEM?

Vad är tidssynkronisering?

Hur åstadkomms mer avancerad loggning?

Hur undviker jag att bli smittad igen?

Vilka konsekvenser kan en smittad maskin få?

Vilka uppgifter behöver CERT-SE för att kunna göra utskick om infekterade datorer i mitt nät?

Varför får jag e-post från CERT-SE?

Vi samlar kontinuerligt in data över infekterade datorer i Sverige och filtrerar ut de som tillhör myndigheter, kommuner, landsting och andra samhällsviktiga organisationer. Då en "dålig" dator upptäcks skickas ett e-post till organisationen där de uppmanas att undersöka om deras nät innehåller exempelvis en Conficker-infekterad maskin.

Om du tycker vi har skickat till fel e-postadresser är det bara att svara på meddelandet och skicka med de uppdaterade e-postadresserna till <cert@cert.se>. Vi vill i första hand nå IT-avdelningen för att få problemet avhjälpt men även IT-chefen och säkerhetssamordnare. För att inte bli personberoende är en funktionsadress bäst, exempelvis <it-incident@example.se>.

Vad betyder informationen?

Med i mejlet finns oftast länkar som leder till information om hur loggraderna skall tolkas.

För att underlätta denna tolkning kommer här några exempel.

I exemplen nedan används xxx, yyy samt zzz för att maskera adressen till organisationen som exemplet tagits från och är egentligen värden mellan 0 och 255.

Exempel 1

IP-block: 194.zzz.xxx.yyy-194.zzz.xxx.yyy
Timestamp: 2012-10-31 14:27:51 UTC
Log entry: 194.zzz.xxx.yyy

Detaljerad beskrivning

Exempel 2

Timestamp,IP,Port,ASN,Geo,Region,City,Hostname,Type,Infection,Url,Agent,CC,CC\_port,CC\_ASN,CC\_geo,CC\_DNS,Count,Proxy

"2012103006:46:53","81.94.xxx.yyy",,zzz47,"SE","LAN","ORT","host.domain.se",,"Torpig",,,"74.208.158.3",0,8560,"US","bexbfbef.com",1,,,,,

Detaljerad beskrivning

Exempel 3

Problemtyp: openresolvers  
IP: 193.xxx.yyy.zzz  
Datornamn:   
AS-nummer: xxx  
Tid: 2012-10-28 12:23:29 UTC

Detaljerad beskrivning

Varifrån kommer informationen?

Vi använder till största del publika datakällor, såsom Shadowserver, ZeuS Tracker, MalwarePatrol, DroneBL och Autoshun. RBL-listor (Realtime blacklist) används också, till exempel SORBS. Data från icke-publika källor processas också.

Hur hittar jag datorn då adressöversättning (NAT) används?

NAT eller adressöversättning innebär att den IP-adress som finns med i utskicket inte direkt visar vilken dator på "insidan" som är infekterad. För att hitta den infekterade maskinen krävs att NAT-utrustningen loggar förhållandet mellan publika och interna adresser.

Exempel NAT-logg (Cisco):

12:17:12.503: %IPNAT-6-NAT_CREATED: Created tcp 10.0.0.1:43800 10.17.3.32:1024 192.168.0.1:80 10.17.3.2:80  
12:18:47.751: %IPNAT-6-NAT_DELETED: Deleted tcp 10.0.0.1:43800 10.17.3.32:1024 192.168.0.1:80 10.17.3.2:80

Om NAT-loggar inte finns att tillgå kan uppgifter från utskicket användas för att spåra datorn, till exempel:

  • Tidsstämpel: Vilka maskiner kommunicerade vid den aktuella tidpunkten? Då flera tidsstämplar finns kan uteslutningsmetoden användas för att ringa in den smittade maskinen. Tänk på att använda flera typer av loggar, exempelvis brandväggsloggar och webbproxy-loggar. Glöm inte att ta hänsyn till icke-synkroniserade klockor samt tidszonen till tidsstämplarna.

  • Destinations-IP och port: IP-adressen och porten med vilken datorn har kommunicerat med kan användas för att söka ut maskinen i fråga.

  • URL: Ibland finns URL:er med i utskicket vilka har använts av den smittade datorn och då kan dessa användas för sökningar i loggarna.

Vilka uppgifter som finns med i ett utskick varierar mycket. I vissa fall finns alla ovanstående uppgifter med, medan i andra fall finns endast en IP-adress. CERT-SE skickar med så mycket information vi kan.

Hur påverkar det om dynamiska adresser används?

Dynamiska adresser s.k. DHCP-adresser gör logghanteringen lite svårare då datorer kan ha olika IP-adresser vid olika tillfällen. För att hantera detta fenomen så är det viktigt att spara loggar från DHCP-servern och sedan försöka korrelera den informationen med andra loggar såsom brandväggsloggar, proxy-loggar eller liknande.

Exempel DHCP-logg (dhcpd):

Jan 15 14:09:22 proxy dhcpd: DHCPREQUEST for 192.168.0.10 from 00:40:05:6d:7c:a2 via eth1  
Jan 15 14:09:22 proxy dhcpd: DHCPACK on 192.168.0.10 to 00:40:05:6d:7c:a2 via eth1

Hur kopplas IP-adressen till ett Windows-namn (NetBIOS-namn)?

Använd kommandot nbtstat med rätt rättigheter i Windows-nätverket.

C:\\\>nbtstat -A 192.168.1.17

NetBIOS Remote Machine Name Table

Name Type Status  
---------------------------------------------  
DUMMY <00\> UNIQUE Registered  
WORKGROUP <00\> GROUP Registered  
DUMMY <03\> UNIQUE Registered  
DUMMY <20\> UNIQUE Registered  
WORKGROUP <1E\> GROUP Registered  
TEST TESTSSON <03\> UNIQUE Registered

MAC Address = 00-20-78-10-7D-3D

Windows-namnet är i detta exempel "DUMMY".

Som en bonus fås även användarnamnet på den användare (test testsson) som är inloggad för tillfället.

Vilka andra loggar är användbara?

Nedan följer exempel på andra loggar som är användbara.

Brandväggen bör spara loggar då den ofta är den centrala punkten för organisationens internet-kommunikation.

Exempel brandväggslogg (Checkpoint):

time=2010-03-02 23:59:57 action=drop orig=192.168.1.103 i/f\_dir=inbound i/f\_name=eth1c0 has\_accounting=0            
product=VPN-1 & FireWall-1 policy\_name=INTERNET src=1.2.3.4 s\_port=37586 dst=3.4.5.6 service=3384 proto=tcp 
rule=16 xlatesrc=8.9.10.11 xlatesport=57517 xlatedport=0 NAT\_rulenum=4 NAT\_addtnl\_rulenum=internal

En s.k. proxy-server är i det här fallet (om den finns inom organisationen) den tjänst som all surfning går igenom för att kunna kontrollera trafiken och som sådan bör den logga all trafik.

Exempel proxy-logg (SQUID):

1011164724.171 1337 10.0.0.1 TCP\_MISS/200 20110 GET \\http://images.google.com/images? - DIRECT/10.0.0.2 text/html  
1011164724.965 740 10.0.0.1 TCP\_MISS/200 26461 GET \\http://www.ia.hiof.no/informatikk/forelesning/historie/historie.html \\- DIRECT/10.0.0.3 text/html*

Genom att logga DNS förfrågningar går det exempelvis att hitta infekterade klienter genom att söka på kända ”dåliga” domäner. Det omvända fallet kan även förekomma då misstänkta domäner går att hitta baserat på att de försökt nås av infekterade klienter.

Exempel på DNS-logg (BIND):

10-Apr-2000 00:01:20.307 XX /10.2.3.4/1.2.3.in-addr.arpa/SOA/IN  
10-Apr-2000 00:01:20.308 XX+/10.4.3.2/host.foo.com/A/IN

Hur kan jag få ut information från mina loggar?

För att sortera ut information ur textfiler på ett UNIX-baserat system kan grep med fördel användas:

$ grep -w 192.168.1.10 logg.txt  
<date\> 192.168.1.10 <text\>

Exempel på mer avancerade sökningar kan ses här: https://isc.sans.edu/diary.html/?storyid=8347.

Vad är centraliserad logghantering?

Vi rekommenderar att man gör en insats för att samla alla loggar på en separat system som har konfigurerats till att vara mer härdat mot angrepp. En anledning till att spara loggarna på ett separat system är att om en angripare kan ta kontroll över ett system så kan denne troligen också radera loggar som visar på ett intrång men inte på en extern loggserver som har härdats för att stå emot just sådana angrepp.

En annan fördel med att samla sina loggar centralt är att sökningar och korreleringar blir betydlig enklare då allt finns på ett och samma ställe.

Vad är SIEM?

För att kunna överblicka en händelse som spänner över multipla loggkällor så är det användbart att kunna korrelera loggar. Ett absolut krav för korrelering är tidssynkronisering (se Vad är tidssynkronisering nedan).

Ett samlingsnamn på produkter som kan vara till hjälp med loggkorrelation är SIEM.

Mer information: https://en.wikipedia.org/wiki/Security_information_and_event_management

Vad är tidssynkronisering?

Tidssynkronisering åstadkoms genom att använda samma tidskälla till samtliga utrustningar som genererar loggar och är nödvändigt för att kunna bygga hädelseförlopp som involverar olika system. Mer information: https://en.wikipedia.org/wiki/Network_Time_Protocol

Hur åstadkoms mer avancerad loggning?

Avancerad loggning avser i detta fallet mer detaljerad loggning som gör det möjligt att mer precist få reda på vad som egentligen har hänt och vilka system som har varit inblandade.

För att lättare åskådliggöra trafikloggar kan NetFlow användas.

Och för att få maximal information om händelsen (från ett nätverksperspektiv) är det lämpligt att spela in trafiken i s.k. pcap-filer som sen kan analyseras. Att spela in trafik kan snabbt kräva resurser för lagring samt kan upplevas som obehagligt av användare, se till att få med hela organisationen innan ni rutinmässigt börjar spela in trafik.

Mer information: https://en.wikipedia.org/wiki/Pcap

Hur undviker jag att bli infekterad igen?

För att en dator skall kunna bli infekterad så krävs oftast någon av följande omständigheter:

  • En användare har tillåtit ett illasinnat program att exekvera (lurad eller inte).
  • En dator har inte blivit uppdaterad ordentligt och har därför kända svagheter i program som en angripare kan utnyttja.
  • En svaghet finns i program som inte är allmänt känd och det finns ingen rättning till, en så kallad "0-day".

Av dessa är icke-uppdaterade datorer vanligast och därför rekommenderar vi att se över "patch"-hanteringen.

Speciellt drabbade är program som är exponerade via användarens webbläsare, exempelvis insticks-Java, insticks-Acrobat, Flash, ActiveX-moduler och andra insticksprogram. För att ta reda på hur smittan kom in kan en IT-forensisk undersökning göras. CERT-SE kan i vissa fall utföra en sådan analys.

Vilka konsekvenser kan en infekterad maskin få?

Då en infekterad dator upptäckts bör ni ser över om någon skada skett och i så fall gå igenom vad som kan mildra denna skada. CERT-SE kan i vissa fall hjälpa till vid denna analys.

Skadlig kod kan bland annat ha följande negativa konsekvenser:

  • Informationsstöld: Filer på den lokala hårddisken laddas upp till angriparen. Viss skadlig kod kan även stjäla filer som ligger på gemensamma nätverksdiskar.

  • Lösenordsstöld: Modern skadlig kod innehåller ofta en "keylogger", det vill säga kod för att spara allt användaren skriver på tangentbordet. På detta sätt kan angriparen få reda på lösenord. Skadlig kod kan även skicka upp sparade lösenord samt inloggningskakor ("cookies") till angriparen.

  • Bedrägerier: Om det rör sig om en banktrojan och datorn har använts för att utföra bankärenden bör kontosaldo kontrolleras. Eventuella inloggningscertifikat, till exempel BankID, bör revokeras. Inloggningar till andra finansiella webbtjänster, exempelvis Paypal och nätmäklare, bör bytas.

Vilka uppgifter behöver CERT-SE för att kunna göra utskick om infekterade datorer i mitt nät?

För att vi ska kunna hitta så många "dåliga" maskiner som möjligt i ditt nät måste vi ha så uppdaterade och detaljerade nätuppgifter som möjligt. Skicka in följande uppgifter om du misstänker att vi har gamla uppgifter:

  • Domäner: Alla domäner som din organisation har registrerade. Exempel: cert.se, it-incident.se.

  • IP-intervall: IP-intervall för organisationen. Kan vara flera intervall men undvik småintervall. Ange inte intervall som ägs av din ISP. Kontrollera gärna mot RIPE-databasen. Exempel: 192.121.218.0/24

  • AS-nummer: Organisationens "Autonomous System Number". Många organisationer saknar AS-nummer. Exempel: AS41884.

  • E-postadress: En eller flera e-postadresser till de som ska ha våra utskick. Helst bör det vara en funktionsadress, exempelvis <it-incident@example.se> eller <abuse@example.se>.