Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

fredag 24. oktober 2008

Utnyttelse av MS08-067

Som de fleste sikkert nå vet, slapp Microsoft igår kveld en "out of cycle" oppdatering som fikser en svært alvorlig svakhet i Server Service. Svakheten kan utnyttes vha RPC-kall gjennom port 139/tcp og 445/tcp uten autentisering (for Windows 2000/XP/2003). For flere detaljer rundt svakheten, les Microsofts sikkerhetsbulletin på http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.

Svakheten er spesielt kritisk da dette er en ideell angrepsvektor for automatisert spredning av malware (ormer).

For å utnytte svakheten kreves det at brannmuren enten er slått av, eller at File/Printer Sharing er slått på. De aller fleste brukere vil være beskyttet av ekstern brannmur/router mot internett, men interne nettverk vil være svært utsatt hvis en slik orm først kommer på innsiden.

Det er allerede blitt observert en slik orm det siste døgnet, og denne har fått navnet Gimmiv.A.

Når denne ormen eksekveres på et system droppes det en fil under \windows\system32\wbem\sysmgr.dll, samt at den blir installert som en service på systemet.



Når sysmgr-servicen starter samles det inn blant annet forskjellige brukernavn/passord fra systemet, som så sendes kryptert til C&C-server.

I tillegg sjekkes det for enkelte spesifikke antivirus-produkter før det blir lastet ned og eksekvert oppdateringer for denne ormen.



Etter oppdateringen blir det droppet tre dll-filer under \windows\system32\wbem; syicon.dll, basesvc.dll og winbase.dll.

Disse dll-filene injectes i svchost-prosessen og kommuniserer mot C&C. Spesielt interessant er basesvc.dll som inneholder selve exploit-koden for denne svakheten:




C&C-servere:
Når Gimmiv.A eksekveres forsøker den å kontakte følgende adresser på port 80/tcp:

59.106.145.58
perlbody.t35.com
summertime.1gokurimu.com
doradora.atzend.com

I tillegg sendes det Icmp Echo til følgende adresser:

212.227.93.146
64.233.189.147
202.108.22.44

med payload "abcde12345fghij6789".

Anbefalinger:
Først og fremst anbefaler vi å få installert den siste oppdateringen fra Microsoft så fort som mulig. Det er allerede observert malware som utnytter svakheten, og det har blitt publisert proof-of-concept som viser hvordan denne kan utnyttes. Man kan forvente at denne svakheten vil bli utnyttet i større skala innen forholdsvis kort tid.

I tillegg anbefales å logge og blokkere trafikk mot ip-adressene nevnt over for å finne eventuelle infiserte Gimmiv.A-klienter.

For mer info om svakheten, se også http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

mandag 13. oktober 2008

Malware og drive-by exploits

I mange tilfeller hvor vi ser at klient-PC'er blir infisert, skjer dette gjennom såkalte "drive-by exploit"-angrep. Denne typen angrep skjer ved at kriminelle, f.eks ved å utnytte sårbarheter i webapplikasjoner eller benytte stjålne brukernavn/passord, legger inn fiendtlig kode på uskyldige tredjeparts nettsteder.

Når brukere besøker disse nettstedene blir de typisk redirigert til nettsteder som er kontrollert av angriper, og det blir forsøkt utnyttet sårbarheter i nettleseren og eventuelle tillegg til denne. Er angrepet vellykket blir det installert trojanere som gir kriminelle kontroll over PC'en og data som måtte ligge på denne. Alt dette foregår som regel godt skjult i bakgrunnen, og vil ikke være merkbart for brukeren.

Ut ifra vår erfaring her på TSOC har vi forsøkt å lage en oversikt over hvilke exploits typiske norske brukere blir utsatt for om dagen, hvilke nettsteder som er involvert og hva slags malware det er snakk om i disse tilfellene.

Det er på ingen måte en enkel oppgave å få full oversikt over dette. Enkelte drive-by exploits har mange hopp/redirigeringer før brukeren til slutt blir utsatt for selve exploiten. Denne redirigeringen er sannsynligvis en del av "affiliation-sporing" (kjøp og salg av trafikk) og for statistikkens skyld. Dette gjør det også vanskeligere for oss å spore tilbake til de kompromitterte nettstedene brukerne besøkte i utgangspunktet.

Under vises en oversikt over hvilke nettsteder og malware som er involvert når brukere besøker kompromitterte nettsteder som redirigerer til gcounter.cn og add-content-block.net:


Trykk på bildet for full størrelse

Forklaring til bildet:
Blå representerer et legitimt, men kompromittert nettsted.
Gul representerer nettside som ikke inneholder exploit-kode, men redirigerer til en annen nettside.
Oransj representerer nettside som inneholder skadelig exploit-kode.
Rød representerer trojan-aktivitet, som følge av vellykket eksekvering av exploit-kode. Det er også oppgitt score fra VirusTotal (VT) for hver enkelt malware i disse tilfellene.

Det er også interessant å se her at to tilsynelatende ikke-relaterte kompromitteringer (gcounter.cn og add-content-block.net) peker til felles exploit-servere (golpii.com og likelikeless.cn).

Her er en oversikt over domener/ip-adresser som for øyeblikket er relatert til gcounter.cn og add-content-block.net:

gcounter.cn (92.241.176.101, WEBALTA-AS Wahome networks, RU)
add-content-block.net (195.24.78.243, ROOT-AS root eSolutions, LU)
busyhere.ru (91.203.93.16, BTG12-AS UATELECOM LLC, UA)
xdrv.info (85.17.94.16, LEASEWEB LEASEWEB AS, NL)
analystic.org (209.160.64.65, HOPONE-GLOBAL - HopOne Internet Corporation, US)
essentialmix.eu (58.23.64.198, CHINA169-BACKBONE CNCGROUP China169 Backbone, CN)
fstat.cn (59.125.229.71, HINET Data Communication Business Group, TW)
divinets.cn (89.187.48.131, MONITORING-AS Monitoring AS, Bendery, Moldova, MD)
toozi.pageranks.gotdns.org (58.65.236.41, HOSTFRESH-AS-AP HostFresh Internet, HK)
engine-global-online.com (88.214.198.8, ISPRIME - ISPrime, Inc., GB)
vipsimpa.com (74.50.110.156, HVC-AS - HIVELOCITY VENTURES CORP, US)
likelikeless.cn (91.203.93.16, BTG12-AS UATELECOM LLC, UA)
golpii.com (196.32.220.3, MEGALAN Megalan Autonomous system of Megalan Ltd., SC)
lite.ff-freehosting.com (94.102.50.130, ECATEL-AS AS29073, Ecatel Network)
66.212.19.146 (SPNW - Secured Private Network, US)
196.32.220.3 (NA)
89.187.48.131 (MONITORING-AS Monitoring AS, Bendery, Moldova, MD)


IP-adresser relatert til malware (C&C):

195.93.218.61 (BUILDHOUSE-AS Buildhouse Ltd., RU)
66.232.116.2 (HVC-AS - HIVELOCITY VENTURES CORP, US)
66.232.113.61 (HVC-AS - HIVELOCITY VENTURES CORP, US)
216.245.213.162 (COLOGUYS - ColoGuys, US)
69.162.79.82 (COLOGUYS - ColoGuys, US)
69.162.64.146 (COLOGUYS - ColoGuys, US)
69.162.66.26 (COLOGUYS - ColoGuys, US)
208.66.193.135 (MCCOLO - McColo Corporation, US)

 
>