Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 17. november 2009

Passordskifte i utide

SANS Handler's Diary skrev for en tid tilbake en blogpost angående passordbytte, der vi i Telenor SOC er enig:

Veldig mange driftsorganisasjoner praktiserer en policy om at brukere må bytte passord flere ganger i året, typisk 4 ganger i året. Men hvorfor?

De vanlige måtene for å lure til seg et passord fra en bruker er enten å spørre etter det (phishing eller social engineering), bruteforce av forskjellige slag eller keylogging. Men hvilke av disse metodene blir mindre vellykket om man skifter passord ofte?

Ingen!

Har en bruker lagd et passord som er svakt, vil han mest sannsynlig lage et like svakt passord neste gang. Har derimot en bruker laget et godt passord, så vil han bli irritert over å måtte lage et like bra passord neste gang. Og da vil enten passordet blir en variant av forrige passord eller rett og slett et dårligere passord.

I tillegg blir det da lett for brukere å benytte seg av det samme passordet flere steder, noe som gjør det lettere for en angriper å få tak i passordet.

Hvorfor praktiserer så mange denne regelen angående passordbytte? Vel, den har hengt med fra tidenes morgen, da passord var et lite kort ord som lett kunne knekkes. Nå er derimot ikke dette tilfellet lengre, men regelen er her fortsatt. Én positiv ting med passordbytte er hvis noen allerede har fått tak i passordet ditt og har tilgang, så vil jo de stenges ute (for en viss tid i alle fall).

Spørsmålet er derimot om det er bedre med et godt og langt passord som er tilnærmet umulig å bryte, enn et passord som en angriper knekker og dermed får tilgang til systemer inntil brukeren må bytte passord igjen..

tirsdag 3. november 2009

De to nye (del 2)

Forrige uke skrev jeg første post angående forslag til to nye regler når det gjelder sikkerhet på datamaskiner. Sammen med de tre tidligere reglene var vi da opp i fire:

1. Beskytt PC'en din ved hjelp av en brannmur
2. Ha installert antivirus med oppdaterte definisjoner
3. Ha alltid oppdatert programvare
4. Stol ikke på noen

Her er del to og den femte regelen:

5. Gjør deg kjent med Windows Update, ditt antivirus-program og lignende.

Alle som kjører Microsoft Windows har Windows Update. De fleste har også et antivirus-program og kanskje også et eget program for å finne og fjerne malware. Men er du som bruker kjent med programmene og vet hvordan de ser ut og opererer?

Det er to ting en bør vite om slike viktige programmer og det første er hvordan de ser ut. For også her prøver de kriminelle på Internett å lure deg: De forsyner deg med vinduer som ligner på kjente AV-programmer og Windows Update, der man både varsler om oppdateringer eller angivelig malware som har blitt funnet. Og nettopp her er det veldig viktig at du som bruker med sikkerhet kan skille mellom det virkelig programmet du har installert og et vindu som ligner. Ofte vil angriperne vise et vindu som egentlig er lureri, der man håper på at du skal svare bekreftende. For gjør man det er det stor sannsynlighet for at angriperne tar kontroll over maskinen din.

Det andre poenget er å være klar over hvordan programmene oppdateres. Vi ser ofte at det spretter opp et vindu med melding om at et installert program eller Windows selv trenger en oppdatering. Men hvordan vet vi at det faktisk er programmet selv som kommer med denne meldingen? Da er det veldig greit å vite at man bare kan trykke meldingen bort og selv oppdatere programmet manuelt som et valg i det aktuelle programmet. Slik kan en med sikkerhet vite at man ikke gjør noe feil eller havner i klørne til de som prøver å utnytte deg.




Et annet nyttig poeng med denne metoden, er å oppdage om man alt har blitt infisert. Mange malware-programmer i dag klarer å forhindre at Windows Update og antivirus-oppdateringer fungerer. Hvis du prøver å kjøre oppdateringer manuelt og det ikke ser ut til å fungere gjentatte ganger, har du en god indikasjon på at du alt er infisert.

Det skal ikke så mye til for å være mer sikker på Internett, men det gjelder å være bevist, ha kontroll og stole på egne programmer.

tirsdag 27. oktober 2009

De to nye (del 1)

Når det gjelder sikkerhet på personlige datamaskiner, så har det "alltid" vært tre grunnleggende regler å følge:

1. Beskytt PC'en din ved hjelp av en brannmur
2. Ha installert antivirus med oppdaterte definisjoner
3. Ha alltid oppdatert programvare

Disse tre reglene er fortsatt veldig gjeldende og noe alle og enhver burde følge. Dersom en følger de tre reglene over, blir det vanskelig for angriperne å ta kontroll over PCen din. Men ting forandrer seg, "de onde" vet om disse tre reglene og har tilpasset seg dem; hvorfor angripe selve PCen, når de heller kan få deg til å gi dem kontroll, helt frivillig? Før prøvde de å angripe svakheter i PCen din, nå prøver de å lure deg! (Se Social engineering [Wikipedia]) Derfor vil jeg foreslå to nye regler for å beskytte deg og din PC, det være seg på jobb eller hjemme:

4. Stol ikke på noen
5. Gjør deg kjent med dine sikkerhets-programmer

Denne bloggposten tar for seg punkt 4, mens del 2 kommer om noen dager og tar for seg punkt 5.

4. Stol ikke på noen.
I dag bruker angriperne primært tre forskjellige metoder til å lure deg til frivillig å installere deres skadelige programmer. Metodene endrer seg hele tiden, derfor lønner det seg å følge med.

Den ene er rett og slett å fortelle en bruker at vedkommende har fått virus på PCen og tilby en gratis skanning av PCen. En slik beskjed kan dukke opp ved surfing på et helt vanlig nettsted. Brukeren vil hver gang få beskjed om en mengde virus som er installert, i tillegg til et godt tilbud på et antivirus-produkt. Da tenker mange at dette må selvfølgelig være bra! For det første fant programmet virus som ditt allerede eksisterende AV-program ikke fant. I tillegg koster det penger og det er jo ofte et tegn på kvalitet!

Og kvalitet er det! Programmet ser ut og oppfører seg som et helt vanlig antivirus-program. Det etterligner Windows i både form og farge, det har de riktige navnene og ikonene, og det har til og med sin egen oppdateringsmekanisme. Men hele programmet er bare juks og er egentlig en trojaner som nå har forbigått din brannmur, slått din eksisterende antivirus ut av spill og forhindrer at du får oppdatert programvare. I tillegg er det mange som faktisk har betalt for dette programmet, med et personlig eller firmaets kredittkort.

Vi omtalte slike programmer alt i 2008 og da programvaren Antivirus XP 2008:



Men selv om dette er over ett år siden, ser vi fortsatt en mengde klienter som har dette og tilsvarende programmer installert.

Den andre metoden for å spre ondsinnet kode er å fortelle deg at du må laste ned siste versjon av et program (gjerne Flash Player) for å spille av en morsom filmsnutt på en web-side.



Beskjeden dukker gjerne opp på sosiale nettverk som Facebook eller Twitter og kommer tilsynelatende fra en av dine kontakter. Denne metoden ble også beskrevet av oss i 2008, men er like aktuell i dag, og det er lett å sikre seg mot dette! Ber de deg laste ned siste versjon av Flash, gå vekk ifra siden og last ned siste versjon av Flash selv. Ber de deg fortsatt oppdatere Flash, eller ber deg laste ned et program eller codec du ikke har hørt om før, la være! Sjansen er alt for stor for at du lures i fella.

Den tredje metoden er å sende ut spam-e-poster med beskjed om å følge en lenke for å installere en oppgradering eller lignende til PCen. E-posten er gjerne forfalsket slik at den ser ut til å komme fra din systemadministrator eller Internett-leverandør. Installér aldri oppgraderinger etter å ha fulgt lenker i e-poster! Noen ganger ligger også filen som et vedlegg til e-posten. Husk å aldri installere programmer som blir mottatt i e-poster. Disse er nesten alltid skadelige. Gi heller ikke fra deg personlig informasjon, dersom en lenke i en e-post ber deg gjøre dette.

Generelt kan en ikke svare ukritisk ja på forespørsler som plutselig dukker opp på skjermen! Dersom du skal oppdatere Flash Player, andre programmer eller operativsystemet, lønner det seg å gå direkte til leverandørens web-sider og gjøre det selv. Ellers kan man ikke vite hva man installerer eller hvor det kommer fra. Installér kun kjente programmer fra kjente leverandører. Men gjelder dette din jobb-PC er det også viktig å følge bedriftens egne retningslinjer. I de fleste tilfeller vil driftsavdelingen både oppdatere og holde ved like programmer installert på din PC.

Uansett, vær kritisk, ikke la deg lure!

tirsdag 13. oktober 2009

DEP – Data Execution Prevention

Før helgen ble det meldt om en ny svakhet i Adobe Reader. Denne svakheten benytter seg av en buffer-overflow. Utnyttelse av mange av disse svakhetene, også denne, kan utbedres ved å skru på en lite kjent funksjon i Windows kalt DEP – Data Execution Prevention.

Hva er DEP og hvorfor bør det skrus på?
Exploits (kodesnutter som tar kontroll over systemet ved å utnytte sårbarheter) bygger ofte opp instruksjonene sine i et område av minnet som egentlig er avsatt for data. De får deretter "instruksjonspekeren” til å peke inn i dataområdet der instruksjonene er klargjort, slik at disse blir kjørt. DEP sørger for å terminere programmer som prøver å kjøre instruksjoner fra minneområder som er avsatt for data og ikke instruksjoner. Dette kan hindre utnyttelse av mange buffer-overflow svakheter.

Noen nye CPUer har hardware-støtte for DEP. Dersom CPUen i din maskin ikke har støtte for DEP, benytter Windows seg av en software-basert versjon av DEP som er noe mindre effektiv.

Hvordan skrur en på DEP?

  • Windows XP
    Start – Control Panel – System – Advanced – velg ”Settings” under “performance” – velg fanen (tab’en) Data Execution Prevention – ”Turn on DEP for all programs and services except those I select” - OK
  • Windows Vista/7
    Start - Control Panel – System and Security – System – Advanced System Settings - – velg ”Settings” under performance – velg fanen (tab’en) Data Execution Prevention – ”Turn on DEP for all programs and services except those I select” – OK


Endringen må utføres som en administrator på maskinen. Dersom du ikke er innlogget som en administrator, høyreklikk på ”System” fra listen over, velg ”Run as Administrator” og skriv inn passordet.

Kjør en omstart av maskinen etter å ha endret innstillingen.

Endringen kan også gjøres ved å kjøre følgende kommando som administrator i et kommandovindu:
bcdedit.exe /set {current} nx OptOut

Hva kan være negative konsekvenser av å skru på DEP?
Enkelte eldre spill og antivirus-programmer er laget på en måte som gjør at de blir stoppet av DEP.



Dersom du vet at du kan stole på programmet, og det fortsatt blir stoppet av DEP, kan du legge det til i en liste over unntak fra DEP-beskyttelsen

Hvordan skrur en på DEP for alle maskiner i nettverket?
Oppsettet av DEP styres gjennom en kommando i boot.ini. Denne kan endres på alle PCer i en bedrift slik at DEP er skrudd på som standard. Se følgende side hos Microsoft for mer informasjon.

Før en skrur på dette for mange maskiner på én gang anbefales det å kjøre test på et mindre antall standard-klienter for å se at alt fungerer som det skal. Dersom noen applikasjoner i organisasjonens klient-PC fungerer dårlig med DEP kan disse legges inn som unntak.

DEP støttes foreløpig ikke av Group Policy.

Oppsummering
DEP vil først hjelpe etter at exploit-koden har kommet inn på systemet og faktisk prøver å utnytte en sårbarhet, enten i operativsystem eller andre programmer. Det beste er såklart å unngå å få exploit-koden inn på systemet og ikke å ha sårbarheter i systemet.

Uansett hvor godt en er sikret, kan en alltid bli utsatt for en exploit som det enda ikke finnes noen patch for. Da er DEP god å ha som en siste forsvarsmur.

Her er en detaljert beskrivelse fra Microsoft rundt DEP.

tirsdag 22. september 2009

Koobface benytter exploits

I tillegg til de vanlige falske Flash-oppdateringene, har vi nå observert at bakmennene bak Koobface benytter exploits for å spre denne ormen.

De ferskeste linkene til Koobface har også en oppdatert side som skal lure brukere til å installere en falsk oppdatering av Flash. Tittelen på de nye sidene er "Video posted by * SpyCam *", og ser slik ut:



Dessverre har vi i det siste døgnet også sett tilfeller hvor brukere blir automatisk redirigert til sider som inneholder exploit-kode som forsøker å utnytte flere kjente svakheter på brukerens PC. Dette er en ny utvikling fra banden bak Koobface, som tidligere bare har benyttet seg av social engineering for å lure brukere til å installere ormen.



Siden inneholder et obfuskert javaskript som fyrer av fem exploits:



Exploitene som forsøkes er:

  • MS06-014 Microsoft Data Access Components Exploit
  • MS08-041 Microsoft Access Snapshot Viewer Exploit
  • MS08-078 Internet Explorer XML Memory Corruption Exploit
  • CVE-2008-2992/CVE-2007-5659 Adobe Acrobat PDF Exploits (printf, collectEmailInfo)
  • MS09-002 Internet Explorer 7 Uninitialized Memory Corruption Exploit

Kort om Koobface

For fjorten dager siden postet vi en presentasjon rundt falske sikkerhetsprodukter på bloggen. I dag poster vi en tilsvarende presentasjon rundt ormen Koobface, som har spredd seg via sosiale nettverk som Facebook og Twitter i snart ett år.

Disse to typene malware er blant de største truslene mot norske nettbrukere akkurat nå. Koobface vil også installere falske sikkerhetsprodukter på PCer den klarer å infisere.

Presentasjonen inneholder følgende:

  • Fakta og historikk rundt Koobface.
  • Hvordan oppdage at ormen prøver å infisere deg på et sosialt nettverk.
  • Hvordan unngå å bli infisert.
  • Hva skjer dersom PCen først blir infisert og hva en kan gjøre med det.
Trykk på hvert enkelt bilde under for å få det i større format, eller hent ned hele presentasjonen i PDF-format her.

Vi håper at en gjennomgang av dette på norsk kan brukes til å få større oppmerksomhet rundt denne typen malware. Bedrifter o.l. står fritt til å bruke presentasjonen til intern opplæring.

Online-redaksjonen har laget en versjon av presentasjonen for privatmarkedet.






mandag 7. september 2009

Kort om falske sikkerhetsprodukter

De siste ukene har aktiviteten rundt falske sikkerhetsprodukter (scareware) igjen tatt seg kraftig opp. Vi har laget en presentasjon som omhandler denne typen malware. Presentasjonen viser kort følgende:

  • Hvordan en bruker kan bli lurt til en web-side som prøver å lure vedkommende til å installere falsk anti-virus.
  • Hva falsk AV gjør med PCen til offeret.
  • Hva en bør gjøre hvis en blir forsøkt lurt til å installere et falsk AV-produkt eller kommer i skade for faktisk å installere det.
Trykk på hvert enkelt bilde under for å få det i større format, eller hent ned hele presentasjonen i PDF-format her.

Telenor Online har også postet om falsk antivirus.

Vi håper at en gjennomgang av dette på norsk kan brukes til å få større oppmerksomhet rundt denne typen malware. Bedrifter o.l. står fritt til å bruke presentasjonen til intern opplæring.









tirsdag 1. september 2009

Hvorfor UTM ikke fungerer slik brosjyrene lover

Det blir mer og mer vanlig at bedrifter bruker en multi-funksjons-brannmur (UTM) for å beskytte bedriftens interne nett mot malware fra Internett.

På TSOC analyserer vi mye nettverkstrafikk og ser derfor mange angrep av forskjellige slag hver dag. En del av analysen av et angrep er å finne ut hvor det stammer fra og hva det gjør. Vi analyserer også exe-filer med 11 forskjellige anti-virus-løsninger og i en sandkasse (CWSandbox). Til slutt ser vi at angrepet ofte ender med at den uheldige brukerens maskin henter ned en malware-fil fra en adresse på Internett.

Vi på TSOC har i sommer kjørt en del tester der vi har prøvd å besøke malware-sidene eller å hente malwaren fra reelle hendelser. Alle sakene dreier seg om klient-maskiner som har blitt angrepet, enten gjennom "drive-by-exploits" eller at brukeren blir lurt til å hente ned filer som gir seg ut for å være noe annet (trojanere).

Testene har blitt utført på en lab-maskin som er satt opp for å gjøre det enkelt å rulle tilbake operativsystemet til en kjent, ren status. Maskinen har vært beskyttet bak en UTM-enhet fra en av markedslederne. Denne er satt opp til å beskytte maskinen ved hjelp av et web-filter og en anti-virus-løsning. Vi vil presisere at testingen ikke er vitenskapelig gjennomført og at vi ikke har testet nok typer malware til å gi noe entydig resultat. Resultatene vi har fått stemmer imidlertid godt overens med det vi daglig ser i vårt operasjonssenter.



Noen av angrepene som innebærer exploits, kunne i teorien ha blitt stoppet av en UTMs IPS-del (Intrusion Protection System), men for å gjøre testingen enklere har vi utelatt dette i denne testen. For å teste også denne delen av en UTM, måtte vi ha besøkt siden brukeren blir sendt til før selve exe-filen blir servert. Vi måtte altså ha besøkt siden som serverer exploits til brukeren. Tidligere tester vi har utført viser imidlertid at IPS er dårlig egnet til å stoppe exploits mot klient-maskiner da exploitene nesten alltid er obfuskert med forskjellige teknikker. IPS-teknologi fungerer bedre for å beskytte tjenere (servere).

Hva er så grunnen til at en UTM kun klarer å stoppe under halvparten av reelle angrep?

Personene som i dag står bak spredningen av malware bruker forskjellige teknikker for å lure UTM-bokser og annet nettverksutstyr som skal sikre nettene. Noen teknikker er:

  • Stadig endringer av adressen til "landings-sider" hvor brukeren blir lurt til for å få servert exploits eller bli lurt til å trykke på en link for å hente ned malware. Eksempler på slike sider fra den siste tiden er: gumblar .cn, goooogleadsence .biz osv. Dette gjør det vanskelig å filtrere ut adresser som serverer skadelig kode, siden de gjerne skifter adresse etter noen dager eller timer.
  • Trojaneren/dropperen (exe-fil) blir hentet ned fra én av mange tusen mulige IP-adresser. Disse maskinene har blitt kompromittert tidligere av angriperne og er med i et bot-nett som de kontrollerer. Det høye antallet adresser gjør filtrering vanskelig.
  • Selve Trojaneren/dropperen endrer karakter og sjekksum ofte, eller til og med for hver gang en ny bruker henter den ned. Dette gjør at anti-virus-selskapene nesten har gitt opp signatur-deteksjon av skadelig programvare ved hjelp av sjekksummer og signaturer. I dag er det "oppførselsanalyse" og "kjennetegn/heuristics" som brukes mest, men også disse metodene har sine begrensninger. De kriminelle har også tilgang til anti-virus-programmene og skriver sin malware på en slik måte at de ikke blir detektert, selv av de mer generelle signaturene.
  • Den skadelige koden som utnytter svakhetene i klient-maskinen er nesten alltid obfuskert, gjerne ved hjelp av Javascript. Dette gjør at en signatur-basert IPS-motor ikke har noen kjente ting å se etter i det exploit-koden blir sendt til klient-maskinen. Exploitene som blir servert mot klient-maskiner er for tiden gjerne mot selve web-browseren, Adobe Acrobat Reader, Adobe Flash, Apple QuickTime eller Java.
Vår konklusjon er at det er viktig å benytte seg av UTMer og andre typer sikkerhetsutstyr i nettet for å prøve å stoppe så mange svakheter som mulig automatisk, men at dette er langt fra nok.

Eksempler på tiltak en bør gjør i tillegg til dette for å beskytte sine klient-maskiner er:

  • Opplæring av brukere til å tenke seg om før de laster ned, installerer eller svarer ja på spørsmål som dukker opp på skjermen.
  • Et godt patche-regime som sørger for at operativsystem og klientprogramvare til en hver tid er oppdatert, uten at sluttbrukeren trenger å foreta seg noe.
  • Oppdatert anti-virus og anti-spyware på klienter.
  • Brukere bør ikke ha administrator-tilgang på maskiner. Mange exploits og trojanere fungerer bare dersom brukeren er administrator.
  • Ha så få programmer som mulig installert på klient-maskiner. Prøv også å unngå de som oftest har feil og blir utnyttet mest, som nevnt tidligere i dette innlegget.
  • Bruke en analyserende IDS-tjeneste for å oppdage maskiner som til tross for andre sikkerhetstiltak blir infisert eller har blitt infisert før de ble tatt med inn i nettet. Et eksempel på en slik tjeneste er TSOCs IDS-tjeneste.
  • Dersom en trenger høy sikkerhet bør en vurdere å gå over til en terminal-basert løsning der brukerne må logge inn på en egen, beskyttet maskin for å bruke Internett-tjenester.
  • Bruk om mulig et annet operativsystem enn Windows på klientene. Windows er det operativsystemet som det uten tvil skrives mest malware til.
Vår erfaring er at det er få norske bedrifter og offentlige institusjoner som i dag klarer å holde nettet sitt fritt for malware til enhver tid. Nesten alle har av og til hendelser der datamaskiner i kortere eller lengre tidsrom er under full kontroll av utenforstående. Det er en skremmende utvikling og sikkerhetsbransjen ligger for øyeblikket et godt stykke bak de kriminelle.

onsdag 26. august 2009

Koobface flytter rundt - oppdatering

Her en kort oppdatering på hvilke domener og ip-adresser vi ser er relatert til Koobface.

De fleste domenene nevnt i forrige bloggpost om Koobface er fremdeles aktive og de har nå flyttet til nok en ny hosting-leverandør:


upr200908013.com | 91.212.127.140
xtsd20090815.com | 91.212.127.140
suz11082009.com | 91.212.127.140
boomer-110809.com | 91.212.127.140



I tillegg benyttes det et ferskere domene:


kiano-180809.com | 91.212.127.140



91.212.127.140 tilhører Telos Solutions LTD (AS49087) som eier et /24-nett. Vi har tidligere sett en del nedlastinger av falske antivirus-produkter fra AS49087, og en rapport fra Malware Domain List viser at dette nettet er noe man bør vurdere å blokkere i brannmurer.

torsdag 20. august 2009

Koobface flytter rundt

Denne uken har vi sett en stor økning av Koobface-infiserte klienter i Norge. Koobface sprer seg typisk ved å sende Facebook-meldinger til venner av noen som benytter en allerede infisert PC. Disse meldingene forsøker å lure mottakeren til å laste ned en falsk oppdatering av Flash Player via en forfalsket Facebook-side.



Hvis mottakeren laster ned og eksekverer denne falske oppdateringer vil de bli infisert av Koobface. Se også Finjans blogg for nærmere beskrivelse rundt hva som skjer når man blir infisert.

Hvordan begrense spredningen av Koobface
Gjengen bak Koobface benytter en rekke domener og ip-adresser som kontinuerlig tas ned når de blir oppdaget. Se Dancho Danchevs blogg for en oversikt over domener og ip-adresser som har blitt benyttet tidligere.

Følgende domener benyttes for redirigering til Koobface-sider, og er fremdeles aktive:


upr200908013.com | 221.5.74.46
xtsd20090815.com | 221.5.74.46
upr0306.com | 221.5.74.46
suz11082009.com | 221.5.74.46
boomer-110809.com | 221.5.74.46
piupiu-110809.com | 221.5.74.46
findhereandnow.com | 221.5.74.46



Disse nettstedene fungerer som "jump points" som redirigerer videre til selve siden(e) som sprer Koobface. I tillegg er det observert flere Blogger-sider som fungerer som slike "jump points", og noen av disse inneholder nå følgende kodesnutt som eksponerer hvilke servere gjengen bak Koobface benytter for øyeblikket:



Denne koden redirigerer brukerne til følgende sider:

hxxp:// 84.108.159.70 /0x3E8/
hxxp:// 24.98.91.127 /0x3E8/
hxxp:// 75.74.217.69 /0x3E8/
hxxp:// 67.177.76.184 /0x3E8/
hxxp:// 99.16.198.187 /0x3E8/
hxxp:// 98.218.80.56 /0x3E8/
hxxp:// 67.61.138.158 /0x3E8/
hxxp:// 76.99.40.212 /0x3E8/
hxxp:// 99.20.118.12 /0x3E8/
hxxp:// 76.111.247.94 /0x3E8/
hxxp:// 84.228.229.254 /0x3E8/
hxxp:// 71.201.225.30 /0x3E8/
hxxp:// 130.132.18.244 /0x3E8/
hxxp:// 98.214.114.251 /0x3E8/
hxxp:// 64.217.51.113 /0x3E8/



Vi anbefaler å blokkere disse i brannmur/proxy.

søndag 26. april 2009

ZlKon og malware

ZlKon.lv har ofte dukket opp under analyser av drive-by-exploits og forskjellige C&C-servere (blant annet for bank-trojanere og spambots). FireEye har en bra bloggpost om aktivitet som har pågått (og som forsåvidt fortsatt pågår..) på dette nettet.

ZlKon har et forholdsvis lite nett, 94.247.2.0/23, som er hostet av "Datoru Express Serviss" (AS 12553) i Latvia. Til tross for et beskjedent nett er det en del ting som foregår her.

Spesielt de siste 5 ukene har vi sett en økning av drive-by-exploits som ender opp på 94.247.3.151, via en redirect på 94.247.3.150. Passiv DNS avslører en rekke domener som registrert på disse to adressene:

BFK Passive DNS - 94.247.3.150
BFK Passive DNS - 94.247.3.151

Kompromitterte nettsteder inneholder typisk en skjult IFRAME rett etter BODY-tag'en, som vist under:



Denne IFRAME'en redirecter så til et domene som resolver til 94.247.3.151, og som hoster selve exploit-kit'et. Det er også fra denne IP-adressen selve malwaren distribueres.

Applikasjoner som blir forsøkt utnyttet er blant annet Adobe Acrobat Reader og Adobe Flash, samt eldre svakheter i Internet Explorer.



Automatisert analyse av malware
På TSOC gjør vi fortløpende analyser av eksekverbare filer som lastes ned som følge av vellykkede exploits og eventuelle "malware-oppdateringer". En av metodene som benyttes er skanning av filer med et utvalg antivirus-produkter. Dette utvalget består idag av produkter fra 11 AV-leverandører vi mener er best representert hos norske bedrifter. I tillegg benyttes også teknikker som dynamisk sandbox-analyse, samt blacklisting på IP-nivå.

Under vises statistikk over IP-adressene vi har observert flest nedlastinger av PE-filer (.exe/.dll/.sys-filer) fra ZlKon.lv, i perioden januar 2009 og frem til idag:



Dessverre er det begrenset deteksjon basert kun på antivirus-skanninger. I denne perioden har 36% av de nedlastede filene fra ZlKon.lv unngått deteksjon av AV-produktene som benyttes i vår løsning. Bildet under viser også at av de resterende 64% av de nedlastede filene, er det forholdsvis få produkter som detekterer disse.



Dette er forøvrig en uhøytidelig statistikk, og på ingen måte utført som en seriøs test av antivirus-produkter. Men vi mener likevel denne gir en grei pekepinn på hvor godt denne typen produkter fungerer i praksis, og ikke minst understreker viktigheten av å ha flere uavhengige systemer for deteksjon av denne typen aktivitet.

Til slutt tar vi med en oversikt over hva antivirus-produktene sier om filene fra ZlKon.lv. På grunn av ulik navngivning fra forskjellige AV-leverandører, er det vanskelig å få et entydig bilde av hva slags malware det er snakk om. Her er uansett er forsøk, implementert som en "tag cloud":



Anbefalinger
Vi anbefaler å blokkere ZlKon 94.247.2.0/23 i brannmurer, og selvsagt sørge for at siste sikkerhetsoppdateringer er installert (spesielt mtp utsatte produkter fra Adobe).

 
>