Autoreporter-kategoriat

Advanced persistent threat eli kohdistettu hyökkäys. Kohdistetuissa hyökkäyksissä käytetään samoja keinoja kuin tavallisissa kohdistamattomissa tietoturvaloukkauksissa (haittaohjelmia, tietojen kalastelua, murrettuja sivustoja ja niin edelleen), mutta hyökkäyksen kohteet ovat valikoituja. Tavallisissa tietoturvaloukkauksissa hyökkääjät vain toivovat hyökkäyksen osuvan keneen tahansa.

Tämän kategorian havainnot ovat tyypillisesti yritysvakoilussa käytettyjen haittaohjelmien komentopalvelinliikennettä tai komentopalvelimia.

Havainto haittaohjelman saastuttaman tietokoneen viestinnästä bottiverkon komentopalvelimen kanssa.

Eräät raportoidut haittaohjelmat ovat poistettavissa käyttäen hyväksi Microsoftin Malicious Software Removal Tool (MSRT) -työkalua.

Tietokone tai verkko, josta pyritään murtautumaan muihin tietokoneisiin tai palveluihin salasanoja tai muita pääsytunnisteita arvaamalla.

Havainto bottiverkon komentopalvelimesta (engl. command and control server).

Hajautetun palvelunestohyökkäyksen (engl. distributed denial of service attack) toteuttamiseen käytetty palvelin tai verkko.

Havainto palvelimesta tai sivustosta, jonka informaatiosisältöä hyökkääjä on muokannut tai vaihtanut omaksi sisällökseen. Tällä luokalla ei ole alikategorioita.

Sivusto, jossa jaellaan ohjelmistohaavoittuvuutta hyväksi käyttävää ohjelmakoodia.

Havainto URL-linkistä, jonka kohteessa jaellaan tunnettua haittaohjelmaa tai joka on mainittu bottiverkon hallintakanavalla. Tällä luokalla on vain yksi alikategoria: "malware hosting".

Havainto murretusta palvelimesta, joka ohjaa siellä vierailijat haittaohjelmaa jakelevalle sivulle.

Autoreporterin raportissa ei tyypillisesti mainita haitan tyyppiä, mutta tyypin saa yleensä hyvin nopeasti selville käyttäen hyväksi esimerkiksi verkkosivujen analysointiin erikoistuneita sivustoja käyttäen. Ongelmallisia verkkotunnuksia ja verkko-osoitteita voi hakea myös eri tietokannoista.

Tietojenkalastelusivu. Sivusto on yleensä murrettu ja hyökkääjä on lisännyt sinne omaa sisältöään ja ohjelmakoodiaan. Autoreporterin raportti sisältää huijaussivun URL-osoitteen, mikäli osoite on tiedossa.

Palvelin voi sisältää rikostutkinnan kannalta merkityksellistä tietoa, kuten kerättyjen tietojen edelleenvälityspisteen yhteysosoitteet. Asiakkaan ohjaaminen tekemään tutkintapyyntö poliisille on erittäin toivottavaa.

Avoin välityspalvelin. Verkkorikolliset pyrkivät usein peittämään jälkensä ja vähentämään kiinnijäämisen riskiä käyttämällä avoimia välityspalvelimia haitallisen liikenteensä välittämiseen.

Avoimia tietoliikenneportteja muista tietokoneista skannaava tietokone. Avointen porttien skannausta käytetään usein hyväksi muiden kyberhyökkäysten valmistelussa.

Eri portteihin liittyviä palveluita, haavoittuvuuksia sekä yleisiä skannaustilastoja voi tarkistella osoitteessa http://isc.sans.org/port.html?port=X, missä X on portin numero.

Havainto roskapostin levittämiseen tai hyödyntämiseen käytetyistä palvelimista, verkoista tai sivustoista.

Tunnetun haavoittuvuuden tai vaarallisen konfiguraation sisältävä palvelu tai palvelin, jota jokin kolmas osapuoli voisi käyttää luvatta hyväkseen. Avoimet välityspalvelimet (ns. proxy) on kategorisoitu erikseen.

• DynDNS: Joissakin kohdistetuissa hyökkäyksissä käytetään tiettyjä dynaamisia nimipalveluita hyökkääjän jälkien häivyttämiseksi. Tällainen Autoreporterin havainto kertoo liikenteestä tiettyihin dynaamisiin nimipalveluihin.
• Mirage: Windows-haittaohjelma, joka antaa hyökkääjälle täyden hallinnan saastuneessa tietokoneessa (ns. RAT, remote access trojan).
• Volatile Cedar: Volatile Cedar on tietoturvayhtiö Check Pointin antama nimi kohdistetulle haittaohjelmahyökkäyskampanjalle. Kohteita on mm. puolustusteollisuudessa ja viestintätekniikkayrityksissä.

• Andromeda: Tietoja varastava ja hämäräperäistä liikennettä uudelleenohjaava (ns. proxy) Windows-haittaohjelma.
• Bamital: Internethakutuloksia muokkaava Windows-haittaohjelma.
• Banatrix: Nettipankissa tehtäviä rahasiirtoja rikollisesti muokkaava Windows-haittaohjelma.
• BankPatch: Tietoja varastava Windows-haittaohjelma.
• Beagle: Beagle (toiselta nimeltään Bagle) antaa hyökkääjälle pääsyn saastuneeseen koneeseen (ns. backdoor) ja lähettää tyypillisesti roskapostia kolmansille osapuolille. Windows-haittaohjelma.
• Bedep: Haitallisten mainosten mukana ja sovellusten kylkiäisenä levitettävä yleiskäyttöinen Windows-haittaohjelma. Käytetään mainoshuijauksissa ja levittämään toisia haittaohjelmia koneille (ns. dropper).
• Beebone: Toisia haittaohjelmia lataava (ns. downloader) Windows-haittaohjelma.
• Bezigate: Tietoja varastava ja hyökkääjälle pääsyn saastuneeseen koneeseen antava (ns. backdoor) Windows-haittaohjelma.
• BlackEnergy: Monipuolinen sekä rikollisiin tarkoitusperiin että vakoiluun käytetty Windows- ja Linux-haittaohjelma-alusta.
• Bladabindi: Tietoja varastava Windows-haittaohjelma, joka voi myös ladata muita haittaohjelmia.
• Blaster: Toisia haittaohjelmia lataava ja hajautettuihin palvelunestohyökkäyksiin kolmansia osapuolia vastaan käytetty Windows-haittaohjelma.
• Bolek: Verkkopankkien käyttöön liittyviä tietoja varastava Windowsissa toimiva haittaohjelma. Tunnetaan myös nimellä Bolik.
• Caphaw: Caphaw eli Shylock on tietoja varastava Windows-haittaohjelma.
• Citadel: Tietoja varastava Windows-haittaohjelma on läheistä sukua haittaohjelma Zeusille.
• Citeary: Toisia haittaohjelmia lataava (ns. dropper) Windows-haittaohjelma.
• Conficker: Tietoturvaohjelmistoja sulkeva, tietoturvaan liittyville verkkosivuille pääsyn estävä ja tietokoneen ja verkon yleistä hitautta tai toimimattomuutta aiheuttava Windows-haittaohjelma. Conficker tunnetaan myös nimillä Downadup, Downup, Kido, DNS Changer ja Trafficconverter. Työasema (Windows/Mac OS X) tai kotireititin on tehnyt DNS-kyselyitä (UDP/53 tai TCP/53) sellaisiin IP-osoitteisiin jotka tiedetään liittyvän Confickeriin.
• Corkow: Tietoja - erityisesti verkkopankkitunnuksia - varastava Windows-haittaohjelma.
• CryptoWall: Tiedostot salaava kiristyshaittaohjelma. Huomaat varmasti, jos tämä on tarttunut koneeseesi.
• CryptPHP: Tämä haittaohjelma saastuttaa palvelimia, joilla suoritetaan sisällönhallintajärjestelmiä kuten WordPress, Joomla ja Drupal. Haittaohjelma leviää tyypillisesti sisällönhallintajärjestelmien liitännäisissä (ns. plugin), joita hyökkääjät ovat muokanneet ja laittaneet ilmaiseksi levitykseen. Haittaohjelma antaa hyökkääjälle pääsyn saastuneeseen palvelimeen.
• Cutwail: Toisia haittaohjelmia lataava (ns. dropper), roskapostia kolmansille osapuolille lähettävä ja tietoja varastava Windows-haittaohjelma. Cutwail tunnetaan myös nimellä Pushdo.
• Cycbot: Windows-haittaohjelma, joka antaa hyökkääjälle täyden hallinnan saastuneeseen tietokoneeseen.
• DirtJumper: Hajautettujen palvelunestohyökkäysten (DDoS) kolmansia osapuolia vastaan tekemiseen käytetty Windows-haittaohjelma.
• Dofoil: Toisia haittaohjelmia lataava (ns. dropper) Windows-haittaohjelma.
• Dorkbot: Toisia haittaohjelmia lataava (ns. dropper) ja joillekin tietoturva-aiheisille verkkosivuille pääsyn estävä Windows-haittaohjelma.
• Downloader.BOT: Vanhoja Windows-versioita saastuttava tietoja varastava ja toisia haittaohjelmia lataava (ns. dropper) haittaohjelma.
• Dridex: Tietoja - erityisesti pankkitunnuksia - varastava Windows-haittaohjelma.
• Dynamer: Windows-tietokoneen tiedostot salaava kiristyshaittaohjelma.
• Esfury: Käyttöjärjestelmän tietoturvaominaisuuksia ja verkkoasetuksia muuttava Windows-haittaohjelma, joka voi ladata koneeseen muita haittaohjelmia.
• Expiro: Tietoja varastava ja tietokoneen tietoturva-asetuksia muuttava Windows-haittaohjelma.
• FakeAV: Joukko Windows-haittaohjelmia, joiden uskotellaan olevan haittaohjelmien torjuntaohjelmia, mutta jotka todellisuudessa antavat hyökkääjälle pääsyn saastuneeseen koneeseen (ns. backdoor).
• Flashback: Tietoja varastava Mac OS X -haittaohjelma.
• Fynloski: Windowsissa toimiva haittaohjelma, joka kaappaa tietokoneen hyökkääjän hallintaan (ns. remote access trojan, RAT). Tunnetaan myös nimellä DarkComet.
• Gamarue: Tietoja varastava ja hyökkääjälle pääsyn saastuneeseen koneeseen antava (ns. backdoor) Windows-haittaohjelma.
• Gameover Zeus: Tietoja varastava ja toisia haittaohjelmia lataava (ns. dropper) Windows-haittaohjelma. Samaan haittaohjelmien sukuun kuuluvat myös ZeuS, Zbot ja Zitmo.
• GootKit: Tämä tietoja varastava haittaohjelma saalistaa erityisesti ranskalaisten pankkien verkkopalveluiden käyttäjien tietoja.
• Gozi: Tietoja varastava Windows-haittaohjelma.
• GozNym: Verkkopankkien käyttöön liittyviä tietoja Windows-tietokoneissa varastava haittaohjelma.
• Hesperbot: Tietoja varastava ja hyökkääjälle pääsyn saastuneeseen koneeseen antava (ns. backdoor) Windows-haittaohjelma.
• IRCbot: Ryhmä toisia haittaohjelmia lataavia (ns. dropper) ja hyökkääjälle pääsyn saastuneeseen koneeseen antavia (ns. backdoor) Windows-haittaohjelmia. Yhteinen nimittäjä ryhmän haittaohjelmille on, että hyökkääjät ohjaavat niiden toimintaa IRC-kanavien kautta.
• Jadtre: Windowsin haittaohjelma, joka yrittää ladata muita haittaohjelmia internetistä (ns. dropper) ja levitä paikallisesti levyjakojen ja siirrettävien massamuistien kautta.
• Jenxcus: Windows-haittaohjelma, joka antaa hyökkääjälle täyden hallinnan saastuneeseen tietokoneeseen. Siinä on myös toimintoja tietojen varastamiseen.
• KINS: Tietoja - erityisesti verkkopankkitunnuksia - varastava Windows-haittaohjelma.
• Kovter: Monikäyttöinen Windows-haittaohjelma, joka heikentää tietokoneen suojausasetuksia ja valjastaa sen osaksi verkkomainonnalla tehtäviä petoksia. Kovter voi myös asentaa tietokoneelle muita haittaohjelmia, kuten kiristyshaittaohjelmia.
• Locky: Tiedostot salaava kiristyshaittaohjelma. Huomaat varmasti, jos koneesi on saastunut tällä.
• Machbot: Windows-haittaohjelma, jota käytetään hajautettujen palvelunestohyökkäyksien tekemiseen kolmansia osapuolia vastaan.
• Mirai: Älykkäisiin laitteisiin (internetiin kytkettävät esineet, Internet of Things- eli IoT-laitteet) tarttuva haittaohjelma, jota käytetään ennen kaikkea hajautettuihin palvelunestohyökkäyksiin kolmansia osapuolia vastaan. Haittaohjelma tarttuu ainoastaan laitteisiin, joiden hallintasalasanoja ei ole muutettu laitetta käyttöön otettaessa.
• MKero: Android-käyttöjärjestelmässä toimiva troijalaistyyppinen haittaohjelma, joka tilaa käyttäjälle kalliita tekstiviestipalveluita.
• Multiple malware: Kohteessa on havaittu useiden haittaohjelmien toimintaa.
• Necurs: Tämä haittaohjelma sulkee tietokoneen tietoturvatoimintoja ja lähettää kolmansille osapuolille roskapostiviestejä, jotka sisältävät muita haittaohjelmia kuten Locky.
• Neurevt: Tietoja varastava, tietokoneen asetuksia muuttava ja hyökkääjälle pääsyn saastuneeseen koneeseen antava (ns. backdoor) Windows-haittaohjelma.
• Nivdort: Tietoja varastava ja tietokoneen asetuksia muokkaava Windows-haittaohjelma.
• Nymaim: Windowsissa toimiva kiristyshaittaohjelma, joka voi myös ladata tietokoneelle muita haittaohjelmia.
• PadCrypt: Tiedostot salaava kiristyshaittaohjelma. Huomaat varmasti, jos tämä on tarttunut tietokoneeseesi.
• Palevo: Monikäyttöinen Windows-verkkomato muun muassa varastaa käyttäjän tietoja ja lataa tietokoneelle muita haittaohjelmia.
• Patcher: Verkkoselainten ja käyttöjärjestelmän toimintaa muokkaava Windows-haittaohjelma varastaa käyttäjän tietoja - erityisesti tiettyjen verkkopankkien kirjautumistietoja.
• PcClient: Tietoja varastava ja hyökkääjälle pääsyn saastuneeseen koneeseen antava (ns. backdoor) Windows-haittaohjelma.
• Ponmocup: Toisia haittaohjelmia (ns. dropper) lataava Windows-haittaohjelma.
• Pony: Tietoja varastava Windows-haittaohjelma.
• Pushdo: Toisia haittaohjelmia lataava (ns. dropper), roskapostia kolmansille osapuolille lähettävä ja tietoja varastava Windows-haittaohjelma. Pushdo tunnetaan myös nimellä Cutwail.
• Pykspa: Toisia haittaohjelmia lataava (ns. dropper) Windows-haittaohjelma. Pykspa lataa erityisesti samannimistä verkkomatoa, joka leviää itsenäisesti muihin tietokoneisiin ja antaa verkkorikollisten suorittaa mielivaltaisia komentoja saastuneessa tietokoneessa.
• Qakbot: Tietoja varastava, toisia haittaohjelmia lataava (ns. dropper) ja hyökkääjälle pääsyn saastuneeseen koneeseen antavia (ns. backdoor) Windows-haittaohjelma.
• Ramdo: Tietoja varastava Windows-haittaohjelma.
• Ramnit: Siirrettävien muistilaitteiden, kuten USB-muistien kautta leviävä Windows-mato, joka varastaa tietoja ja antaa hyökkääjälle pääsyn saastuneeseen tietokoneeseen (ns. backdoor).
• Ranbyus: Tietoja varastava Windows-haittaohjelma.
• Rebhip: Tietoja varastava Windows-troijalainen.
• Redyms: Selainten internethakutuloksia Windowsissa muokkaava haittaohjelma. Muokatut hakutulokset voivat osoittaa tekaistuihin ohjelmistopäivityksiin, joita asentamalla käyttäjä itse saastuttaa tietokoneensa muilla haittaohjelmilla.
• Rovnix: Tietoja varastava, toisia haittaohjelmia tietokoneelle lataava (ns. dropper) ja hyökkääjälle pääsyn tietokoneelle antava (ns. backdoor) Windows-haittaohjelma. Rovnix tunnetaan myös nimellä ReactorBot.
• Sality: Monipuolinen Windows-haittaohjelma, joka voi muun muassa varastaa tietoja ja antaa hyökkääjälle pääsyn saastuneeseen tietokoneeseen (ns. backdoor).
• Sdbot: Windows-tietokoneen hyökkääjän hallintaan kaappaava haittaohjelma.
• Simda: Monipuolinen Windows-haittaohjelma, joka voi muun muassa varastaa tietoja ja ladata tietokoneelle muita haittaohjelmia (ns. dropper). Tunnetaan myös nimellä Shiz.
• SpyEye: Tietoja varastava ja toisia haittaohjelmia tietokoneelle lataava (ns. dropper) Windows-haittaohjelma.
• Srizbi: Tätä bot-asiakasohjelmaa käytettään roskapostin lähettämiseen hyökkääjän antamien käskyjen mukaisesti. Haittaohjelma hakee käskyt tietyistä kiinteistä URL-osoitteista.
• Stealrat: Roskapostia kolmansille osapuolille lähettävä Windows-haittaohjelma.
• TDSS: Tämä on kehittynyt bot-asiakasohjelma joka käyttää rootkit-ominaisuuksia piiloutuakseen tartunnan saaneella työasemalla. Saastuneita työasemia käytettään välityspalvelimina anonyymejä Internet-yhteyksiä varten. TDSS tunnetaan myös nimillä Alureon ja Tidserv.
• Tinba: Tietoja varastava Windows-haittaohjelma tunnetaan myös nimillä Tinybanker ja Zusy.
• Torpig: Torpig ladataan yleensä saastuneelle työasemalle yhdessä Mebroot-haittaohjelman kanssa. Yhdessä nämä haittaohjelmat varastavat saastuneen koneen käyttäjiltä henkilökohtaisia tietoja kuten pankkitunnuksia. Haittaohjelma käyttää HTTP-protokollaa palauttaessaan varastetut tiedot hyökkääjälle sekä hakiessaan uusia käskyjä. Torpig tunnetaan myös nimellä Sinowal.
• "Unknown" ja "Unspecified bot": Sekalaisia havaintoja haittaohjelmien tuottamaksi epäillystä liikenteestä, joista ei ole kuitenkaan pystytty yksilöimään, mistä haittaohjelmasta kulloinkin on kysymys. "Unknown (avalanche)" viittaa Avalanche-bottiverkon kautta jaeltuihin haittaohjelmiin.
• Vawtrak: Windows-haittaohjelma, joka antaa hyökkääjille salaisen pääsyn saastuneeseen tietokoneeseen (ns. backdoor). Ohjelma myös varastaa tietoja.
• VBInject: Joukko erilaisia haittaohjelmia, jotka pyrkivät piiloutumaan havainnoinnilta ja analysoinnilta tietyllä tavalla. Haittaohjelmien käyttötarkoitukset vaihtelevat laidasta laitaan.
• Virut: Toisia haittaohjelmia lataava (ns. dropper) Windows-haittaohjelma käyttää IRC-kanavaa komentojen vastaanottamiseksi hyökkääjältä.
• Wapomi: Windows-verkkomato.
• XCodeGhost: Applen valmistamiin laitteisiin tarttuva tietoja varastava haittaohjelma. XcodeGhost ei leviä itsenäisesti vaan se tarttuu sovellusten kylkeen jo niiden kehittämisvaiheessa ohjelmoijien saastuneesta työkaluohjelmistosta.
• Xpaj: Windows-tietokoneiden ja verkkolevyjen tiedostoihin tarttuva virus, joka lataa muita haittaohjelmia (ns. downloader). Jotkin tämän viruksen versiot tarttuvat tietokoneen kiintolevyn käynnistyslohkoon (MBR) ja niiden poistaminen koneesta on erityisen hankalaa.
• Yash RAT: Muita haittaohjelmia koneelle lataava haittaohjelma (ns. dropper), joka antaa hyökkääjille myös salaisen pääsyn saastuneeseen koneeseen (ns. backdoor tai Remote access trojan).
• ZeroAccess: Toisia haittaohjelmia lataava (ns. dropper) ja hyökkääjälle pääsyn saastuneeseen tietokoneeseen antava (ns. backdoor) Windows-haittaohjelma.
• Zeus: Tietoja - erityisesti verkkopankkitunnuksia - varastava Windows-haittaohjelma. Hyökkääjä pystyy myös jossain määrin hallitsemaan saastunutta tietokonetta (ns. backdoor) ja välittämään epäilyttävää verkkoliikennettä saastuneen tietokoneen kautta (ns. proxy). Zeus tunnetaan myös nimellä Zbot.

• Unspecified brute-force: hyökkääjä, joka pyrkii murtautumaan tarkemmin määrittelemättömiin palveluihin.
• SSH: Secure shell -palvelimiin salasanoja arvaamalla murtautumista yrittävä hyökkääjä.
• MySQL: MySQL-tietokantapalvelimen salasanoja arvaamalla murtautumista yrittävä hyökkääjä.
• WordPress: WordPress-sisällönhallintajärjestelmää käyttäviin verkkosivuihin salasanoja arvaamalla murtautumista yrittävä hyökkääjä.

• komentopalvelin: Bottiverkon komentopalvelimen IP-osoite, verkkotunnus tai muu tekninen tunniste.
• komentokanava: Bottiverkon komentokanavan tekninen tunniste kuten IRC-kanavan nimi.
• config: Bottien asetustiedosto.
• dropsite: Sivusto, johon botit lähettävät keräämiään hyökkääjän haluamia tietoja.

Ei alikategorioita.

• Amplifier: tarkemmin määritellyn palvelun tai sovelluksen käyttöä hajautetun palvelunestohyökkäyksen vahvistamiseen.
• Chargen: Chargen-protokollan hyväksikäyttöä palvelunestohyökkäyksen vahvistamiseen.
• DDoS: tarkemmin määrittelemätön hajautettu palvelunestohyökkäys.
• DNS: Internetin nimipalvelujärjestelmä DNS:n hyväksikäyttöä palvelunestohyökkäyksen vahvistamiseen. Kohde on todennäköisesti huonosti suojattu tai väärin konfiguroitu verkkolaite.
• NTP: aikatietoprotokollan hyväksikäyttöä palvelunestohyökkäyksen vahvistamiseen.
• SNMP: SNMP-verkonhallintaprotokollan hyväksikäyttöä palvelunestohyökkäyksen vahvistamiseen.
• SSPD: Simple Service Discovery -protokollan hyväksikäyttöä palvelunestohyökkäyksen vahvistamiseen.
• Wordpress Pingback: Sisällönhallintajärjestelmä WordPressin sisäänrakennetun "takaisinsoittotoiminnon" hyväksikäyttöä palvelunestohyökkäyksen vahvistamiseen.

Ei alikategorioita.

Ainoa alikategoria on "Malware hosting": verkkosivusto, jolta jaellaan haittaohjelmia.

Tarkempia tietoja ei ole tarjolla.

Alikategoria tarkentaa palvelua tai brändiä, johon liittyviä käyttäjien tietoja huijarit pyrkivät keräämään.

Alikategoria tarkentaa sovellusta tai protokollaa, jota välityspalvelin välittää.

• porttinumero: TCP- tai UDP-portti, jota kohde erityisesti on skannannut.

• Unspecified spam infrastructure: tiedonlähde ei ole eritellyt tarkemmin, miksi kohdetta pidetään roskapostin lähettäjänä.

• Cisco Smart install: rapid7 blogi-kirjoitus: Cisco Smart Install (SMI) Remote Code Execution: What You Need To Know  ja Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability