Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 9. november 2010

Facebook-malware sprer falsk anti-virus

I dag ser vi stor spredning av malware via Facebook i Norge. Infiserte brukere spammer ut private Facebook-meldinger til alle sine kontakter.

Emnet er: "Hello".
Teksten i meldingen er: "I got you a surprise [forskjellige blogger].blogspot.com" (eller varianter rundt dette..)

Ved trykk på linken til bloggen på blogspot.com, vil en med en gang bli videresendt til en tjeneste som ser ut til å drive med deling av bilder. I virkeligheten dreier dette seg om en falsk side satt opp av kriminelle.

Siden ser akkurat nå ut som følger:


Dette er altså en lenke direkte til en .exe-fil. Dessverre viser det seg at mange brukere blir lurt av dette. Nysgjerrigheten tar nok overhånd etter å ha fått den "mystiske" meldingen fra en bekjent på Facebook.

Etter å ha lastet ned og kjørt trojaneren "photo.exe", vil følgende ting skje:

1. Filen "swnd_fdlshgheroiarhnd.exe" blir hentet ned fra adressen 109.196.14_3.134. Dette er et klassisk tilfelle av falsk anti-virus:



2. Filen "outlook.exe" blir hentet ned fra 109.196.14_3.134. Denne komponenten sørger antakeligvis for å spamme ut beskjeder til alle dine Facebook-kontakter for å prøve å spre malwaren videre.

Komponentene over kan også ha annen funksjonalitet i tillegg til den vi har oppdaget.

Vi har sett andre varianter av denne malwaren tidligere, men denne gangen har den oppnådd spesielt stor spredning i Norge. De forskjellige filene og nettadressene for spredning blir stadig endret for å unngå deteksjon fra anti-virus.

Vær veldig skeptisk til lenker mottatt på Facebook. Spesielt dersom de sender deg til eksterne sider. Ikke hent ned eller start .exe-filer.

Nytt målrettet angrep med Nobel-tema via e-post

Det er avdekket et nytt målrettet angrep som har Nobels Fredspris som tema. E-posten er utformet slik at det ser ut som at den kommer fra "Oslo Freedom Forum" og inneholder en PDF-fil med en falsk invitasjon til utdelingen av Nobels Fredspris.

PDF-filen inneholder også en exploit som tar kontroll over maskinen den blir kjørt på. Det er uvisst hvilken utgave av Adobe Acrobat Reader exploiten er skrevet for.


Denne saken ble først oppdaget av Contagio Malware Dump. F-Secure har skrevet mer utfyllende om saken på sin blogg.

onsdag 27. oktober 2010

nobelpeaceprize.org kompromittering avdekket nytt hull i Firefox

I gårsdagens bloggpost kunne TSOC avsløre at hjemmesiden til nobelpeaceprize.org hadde blitt kompromittert, og ble benyttet til å spre malware til besøkende. Samtidig meldte vi i vårt daglige nyhetsbrev at TSOC hadde avdekket et nytt og ukjent sikkerhetshull i Mozilla Firefox. Det som med hensikt ikke gikk klart frem, var at disse to sakene var relaterte; nobelpeaceprize.org videresendte besøkende til en ondsinnet server i Taiwan vha. en skjult iframe. Besøkende fikk deretter servert javascript som utnyttet en hittil ukjent svakhet i Firefox.

Koblingen mellom kompromitteringen av nobelpeaceprize.org og Firefox 0-day exploiten ble bevisst unlatt offentliggjort av oss for å minimere risiko for spredning av 0-day exploiten.

TSOC har jobbet med denne saken siden mandag ettermiddag, og analyser av det ondsinnede javascriptet førte til at vi i løpet av natt til tirsdag ble klar over at det dreide seg om et nytt og ukjent sikkerhetshull i Firefox. Svakheten ble da meldt inn til Mozilla.

Det finnes foreløpig ingen patch for svakheten, og vi anbefaler derfor å benytte en alternativ nettleser inntil videre. Eventuelt kan man benytte NoScript, en Firefox-plugin som i praksis deaktiverer Javascript. Mozilla jobber fortsatt med å utbedre svakheten.

tirsdag 26. oktober 2010

nobelpeaceprize.org kompromittert

Nettstedet nobelpeaceprize.org har blitt kompromittert og benyttet til å spre ondsinnet programvare til besøkende.

Vellykket utnyttelse av svakheten fører til at en bakdør, scvhost.txt, blir lastet ned og eksekvert. Til forskjell fra typisk malware som rapporterer tilbake til C&C over HTTP oppretter denne trojaneren en bakdør ved hjelp av et cmd.exe-shell som kobles tilbake til angriperen.

Bakdøren kopierer seg selv til c:\windows\temp\symantec.exe, legger seg inn i Windows Registry som 'Microsoft Windows Update' og forsøker deretter å koble opp bakdøren mot l-3com.dyndns-work.com (eller l-3com.dyndns.tv som nr. 2), på port 443/tcp.

l-3com.dyndns-work.com 60   IN A  140.113.40.206
l-3com.dyndns.tv       60   IN A  140.113.40.206

AS      | IP               | CC | AS Name
9916    | 140.113.40.206   | TW | NCTU-TW National Chiao Tung University


Observert aktivitet over denne bakdøren har vært sporadisk, og med innslag av skrivefeil er det mye som tyder på at den videre infeksjonen ikke er automatisert.

Den pågåtte aktiviteten har vært innsamling av informasjon rundt kjørende prosesser, ip-adresser og brukere på systemet.



scvhost.txt har svært dårlig antivirus-deteksjon; ingen av de 41 antivirus-produktene hos VirusTotal reagerte på trojaneren.



Det anbefales å sjekke brannmurlogger for tilkoblinger mot 140.113.40.206 port 443/tcp, da dette er en god indikasjon på vellykket infisering. Trafikk mot samme IP, men kun på port 80/tcp, er en indikasjon på at klient-PC'er kun har blitt forsøkt utnyttet.

fredag 22. oktober 2010

Bokhandel med ekstratjenester

De datakriminelle bruker etter hvert mange forskjellige triks for å lure vanlige brukere til å installere malware. I dag avdekket vi et nytt opplegg: en hel bokhandel satt opp kun for å lure brukere til å hente ned malware, kamuflert som nedlastbare bøker.


Lenker til bokhandelen (hxxp://worid-of- books.com) er injisert i tusenvis av vanlige web-sider ved hjelp av teknikker som SQL-injection og innhøsting av brukernavn/passord til web-tjenere. Dette fører til at Google, og andre søkesider, viser treff fra denne siden høyere oppe i søkeresultatene sine. Den letteste måten å komme inn på "bokhandelen" på er derfor sannsynligvis via Google e.l.


Søk på denne forfatteren (og mange andre!) med "download" etter gir altså link til malware som andre treff hos Google. Hvis en trykker på linken får en opp en tilsynelatende seriøs side med informasjon om en bok:


Hvis du trykker på download-knappen blir du servert en fil av typen "bokas_navn.pdf.exe". Windows gjemmer vanligvis filtypen for sluttbrukeren, så filen vil se slik ut etter å ha blitt lastet ned:


Normalt vil brukere få en advarsel av web-browseren når filen blir lastet ned om at filen kan være farlig. Hvis en dobbeltklikker på filen i Windows for å starte den, vil en også få en advarsel om at filen kommer fra en ukjent kilde. Hvis en svarer ja på disse advarslene, skjer det først ingenting. Men etter få sekunder dukker følgende bilde opp:


Hele bokhandelen er altså satt opp for å lure vanlige brukere til å laste ned falsk anti-virus. Denne varianten av falsk anti-virus er ganske plagsom, og det dukker stadig vekk opp advarsler og vinduer for eksempel av denne typen:


Vi testet denne varianten av falsk anti-virus mot Virus Total. Den har, som ventet, svært lav deteksjon. Kun 6 av 43 anti-virus-leverandører flagger filen som mistenkelig. Dette er typisk for falsk anti-virus, som stadig kommer i nye versjoner.

Dersom en prøver å hente ned flere "bøker" fra bokhandelen blir en møtt med følgende feilmelding:


Dette er antakeligvis gjort for å gjøre det vanskeligere å undersøke hva som faktisk foregår her. Eller kanskje synes bakmennene at bøkene er så billige at det får holde med én per kunde..

Av denne saken kan vi lære følgende:
  • Ikke stol blindt på søkeresultater fra Google og lignende, selv om resultatene kommer langt opp på listen og ser tilforlatelige ut. De kriminelle blir stadig flinkere til å komme høyt opp i resultatene ved hjelp av såkalt SEO (Search Engine Optimization). Hvis du ser etter en bok eller forfatter er det kanskje best å gå direkte til en kjent bokhandel på nettet.
  • Dersom noe er for godt til å være sant, så er det gjerne det. Bøker som en tilsynelatende kan hente ned gratis fra nettet burde få alarmbjellene til å ringe. Følg også nøye med på hva filnavnet slutter på og sjekk at filen er av forventet type. I dette tilfellet ble det servert en ".exe"-fil der en hadde forventet en ".pdf"-fil. Dersom en leser advarselen fra Windows før en starter filen vil en også kunne se at det er noe galt her.

torsdag 1. juli 2010

Sommertips for mobil sikkerhet

Sommerferien nærmer seg og mobiltelefonen vil gjerne bli brukt enda flittigere enn vanlig. Vi vil derfor poste en liten oversikt over det mobile trusselbildet i dag, samt hvordan en beskytter seg, fordelt på de mest aktuelle plattformene.


Det finnes enda svært lite malware til mobiltelefoner som sprer seg fra telefon til telefon eller som kan infisere mobiltelefonen ved besøk på websider, ved å lese MMS og lignende. Når en telefon blir infisert, skyldes det nesten uten unntak at brukeren selv har installert denne programvaren.

iPhone fra Apple
En iPhone kan kun installere programvare fra Apples egen App Store. Applikasjoner her er gjennomgått av medarbeidere fra Apple, men det er tvilsomt om malware gjemt i en ellers legitim applikasjon vil bli oppdaget. Phishing-applikasjoner vil ganske sikkert bli stoppet. Nøyaktig hvordan prosessen foregår er ukjent, men det har har vært få eller ingen tilfeller med malware på App Store. Dersom malware skulle snike seg inn, har også Apple muligheten til å fjernslette applikasjoner fra telefonene.




Det meldes stadig om svakheter i iOS og spesielt i nettleseren Safari. Kode for å utnytte slike svakheter har også blitt utviklet og prøvd, men har heldigvis hittil kun blitt brukt i kontrollerte miljøer. Foreløpig kan du altså være trygg i Safari og andre applikasjoner. Applikasjonene kjører også i egne ”sandkasser” som hindrer dem i å kommunisere direkte med hverandre.

Android fra Google
En Android-telefon kan fra produsenten kun installere programmer fra Android Market. Dette er imidlertid en innstilling som kan skrus av, slik at programmer kan installeres fra tilfeldige Internett-adresser. Vi anbefaler å kun installere applikasjoner fra Market. Android har ikke en like avansert godkjenningsprosess som Apple har for sin iPhone, men det har hittil vært meldt om få eller ingen tilfeller av malware på Android Market. Det kan imidlertid lønne seg å holde seg til de mest populære og seriøse applikasjonene som har fått god kritikk.  Ikke installer helt ferske applikasjoner som få enda har testet.

Når en skal installere en applikasjon får en også opp en oversikt over hvilke funksjoner og data i telefonen applikasjonen vil ha tilgang til. Dette kan være noe vanskelig å forholde seg til, men kan gi en pekepinn om hva applikasjonen kan foreta seg på telefonen. Applikasjoner skal gå i sin egen ”sandkasse”, og en svakhet i én applikasjon skal dermed ikke kunne gå ut over andre funksjoner i mobilen. Også for Android meldes det stadig om svakheter i forskjellige deler av operativsystemet, uten at noe av dette har blitt utnyttet i stor grad enda.

Google har, i likhet med Apple, muligheten til å slette applikasjoner både i selve markedet og ved fjernsletting ute på hver enkelt mobil. Dersom malware skulle bli oppdaget, bør det derfor bli fjernet relativt raskt, så lenge applikasjonen er installert via det offisielle markedet.

Symbian fra Nokia
På Symbian har det inntill nylig vært vanlig å installere applikasjoner direkte fra sidene til utviklerne, eller å hente ned applikasjonene på en PC, og deretter overføre applikasjonen til telefonen. I fjor kom imidlertid Ovi Store for Nokia-telefoner. Vi anbefaler at applikasjoner installeres fra denne offisielle butikken. Nokia har også et system med kryptografisk signering av applikasjoner, men det er relativt enkelt å skaffe en slik signatur.

På Symbian-plattformen har det vært flere tilfeller av malware. Det har for eksempel forekommet malware som har spredd seg selv som en orm. Ved installering på en telefon spammer den ut linker til nedlasting av seg selv via SMS spredd til hele kontaktlisten til den infiserte brukeren. Det har også vært flere tilfeller av rene trojanere til plattformen. Flere av disse har sendt SMS-meldinger til dyre numre i utlandet. De fleste problemer unngås lett ved ikke å installere programvare fra ukjente kilder.

Sikkerheten i selve operativsystemet er god og det er lenge siden det har blitt meldt om store svakheter. Applikasjoner kan ikke fjernslettes av Nokia, men signaturen som er brukt til å signere applikasjoner kan svartelistes. De fleste telefoner er dessverre ikke konfigurert til å sjekke denne svartelisten ved installering av applikasjoner. Det tryggeste er derfor nok en gang å holde seg til den offisielle butikken for programvare, i dette tilfellet Ovi Store.

Windows Mobile (v6.x) fra Microsoft
På denne plattformen har det også, på lik linje med Symbian, også vært vanlig å installere applikasjoner direkte fra utviklernes sider eller via en PC. Sent i fjor kom imidlertid Windows Marketplace for Mobile, som er en offisiell applikasjonsbutikk fra Microsoft for platformen.

Windows Mobile er den plattformen som har vært mest plaget av trojanere. I år har for eksempel noen pakket sammen en trojaner og et legitimt spill. Den ferdige pakken ble spredt via flere kjente sider for nedlasting av applikasjoner til Windows Mobile. Malwaren ringte opp et dyrt utenlandsk nummer, uten at brukeren av applikasjonen kunne merke noe.

Applikasjoner som skal publiseres på Marketplace for Mobile må gå gjennom en godkjenningsprosedyre hos Microsoft. Det er også muligheter for å fjernslette applikasjoner, dersom malware skulle klare å snike seg gjennom godkjenningsprosessen.

Det er ikke meldt om store svakheter i Windows Mobile i det siste, og det er også lenge siden svakheter har blitt utnyttet.

Felles for alle platformer
Det farligste uansett mobilplattform er fortsatt å miste mobilen sin. Dette kan være ekstra alvorlig dersom mobilen er satt opp til å synkronisere e-posten mot jobben. For å beskytte seg mot dette er det fornuftig at mobilen spør om en PIN-kode hver gang den skal brukes/låses opp, selv om dette kan være irriterende i lengden. Dette vil hindre de fleste fra å få tak i informasjonen. Angripere kan imidlertid få tilgang til dataene på minnekortet i mobilen, dersom ikke dette er kryptert. Det gjelder derfor å ta godt vare på telefonen og eventuelt kryptere minnekortet, dersom mobilen inneholder data som ikke bør komme på avveie. Det kan også være fornuftig å bruke programvare for å kunne spore eller fjernslette mobilen, dersom den skulle komme på avveie.

Dersom du bruker Bluetooth, sett telefonen til ”Non discoverable” for å minimere sjansen for utnyttelse av svakheter.

Unngå WLAN-soner som er åpne eller som bruker den svært svake WEP-krypteringen. Uvedkommende kan lett snappe opp informasjon som brukernavn og passord til forskjellige tjenester ved å lytte på den ukrypterte trafikken.

Oppsummering
I fremtiden vil det sikkert dukke opp exploits også til mobiltelefoner som kan føre til automatisk installering av malware ved å besøke web-sider, spille av filmer og lignende. Dette skjer jo til stadighet på Windows-plattformen på vanlige PCer. Hittill er dette heldigvis et problem som er lite eller ikke-eksisterende på mobiltelefoner.

Det viktigste for alle plattformene er å kun installere programvare fra leverandørens offisielle butikk for distribusjon av programvare. Både leverandøren av mobiltelefonen og tusenvis av andre brukere har da gjerne testet den aktuelle applikasjonen før du som bruker henter den ned. Det er også viktig å ikke miste mobilen, dersom den ikke er beskyttet av passord og kryptering. Hvis du først skal miste den, er det sikkerhetsmessig best å miste den fra en båt eller brygge og ned i saltvann. ;)

fredag 18. juni 2010

Daglige nyhetsbrev i blogg-format

TSOC har lenge hatt en tjeneste der vi sender ut et nyhetsbrev til et stort antall mottakere hver virkedag. En ukentlig oppsummering av disse nyhetene har blitt publisert på denne bloggen hver mandag.

Vi har nå opprettet en ny blogg der vi vil publisere nyhetsbrevene daglig samtidig som de blir sendt ut som e-post.


Adressen til den nye bloggen er: http://telenorsoc-news.blogspot.com/

Du vil også kunne følge lenker til de siste nyhetsbrevene i en egen boks på høyre side av bloggen du nå leser.

Vi håper at mange vil lese vår nye blogg med daglige oppdateringer fra sikkerhetsbransjen!

onsdag 14. april 2010

Den kommende IPv6-protokollen og sikkerhet

Litt historie
Dagens Internett er basert på protokollen IPv4, som ble ble definert i 1981. Denne vedtatte måten å kommunisere over Internett på har vist seg å være en stor suksess. Den gamle standarden har imidlertid problemer med at antall tilgjengelige adresser er i ferd med å bli brukt opp. Dette er et økende problem da fler og fler "dingser" etter hvert kobles opp mot nettet. Eksempler på dette er mobiltelefoner, utstyr for automatisk måleravlesning, tv-spill og elektroniske leker, osv. IPv4 mangler også en standardisert måte å gjøre sikker kryptert kommunikasjon på.

IPv6 ble definert i 1998 og bruker 128 bits til å lagre adressen til en enhet i nettet. Dette vil si at protokollen i praksis har "uendelig" antall adresser til rådighet. Krypteringstandarden IPSec er også en del av protokollen, slik at kryptering av trafikk kan gjøres på en standardisert måte.


Kilde: Cisco

Dagens status
Overgangen fra IPv4 til IPv6 har tatt lengre tid enn de fleste hadde regnet med. Dette skyldes hovedsaklig bruk av NAT (Network Address Translation) som har gjort at det relativt begrensede adresseområdet i IPv4 har holdt lengre enn forventet. Ved hjelp av denne metoden kan tusenvis av datamaskiner gjemmes bak én enkelt IPv4-adresse. I IPv6 brukes ikke NAT, da det uansett er nok av adresser.

I dag er under én prosent av Internett-trafikken basert på IPv6. Men trafikken som går over den nye protokollen har vist sterk økning siden 2008. Mange ISPer begynner etter hvert å få støtte for protokollen. P2P-fildelingsprogrammet µTorrent støtter nå også IPv6 og er ansvarlig for en god del av økningen i trafikken. Dette er det mest populære programmet for fildeling ved hjelp av BitTorrent-protokollen.


Kilde: Arbor Networks

Samtidig støtte for begge protokoller
I dag støtter alle de vanligste operativsystemene IPv6 sammen med IPv4. Dette gjelder for eksempel Windows Vista, Windows 7, Mac OSX og de fleste Linux-distribusjoner. Støtten implementeres ved hjelp av en såkalt "dual stack". Forenklet betyr dette at operativsystemene støtter både IPv4 og IPv6 samtidig. Som oftest er det IPv6 som blir prioritert. Operativsystemet vil med andre ord først forsøke å få en IPv6-adresse. Dersom dette ikke lykkes, vil systemet forsøke å bruke IPv4. Operativsystemene er satt opp på denne måten for å gjøre overgangen til den nye Internett-protokollen så sømløs som mulig den dagen nettverket maskinen står på begynner å støtte IPv6.

Sikkerhetsmessig betraktning: På grunn av at IPv6 er førsteprioritet er det viktig å sørge for at IPv6-adresser ikke blir delt ut av enheter i nettet før den nye protokollen faktisk skal implementeres. Sørg derfor for å skru av støtte for IPv6 før det skal brukes. Pass på at DHCP-tjenere i nettet ikke deler ut IPv6-adresser.

Tunnelering av trafikk
I overgangen fra den gamle til den nye protokollen benyttes det ulike måter å tunnelere IPv6-trafikk over IPv4-protokollen på (6to4, Teredo osv). Dette kan føre til at det oppstår "skyggenettverk" i bedriften der maskiner internt i nettverket har kontakt ut mot andre IPv6-maskiner uten at noen har kontroll på trafikken. Disse maskinene kan omgå policy og også sikkerhetsmekanismer som brannmurer, IPS, anti-virus, URL-filtrering osv. Dersom ting er satt opp feil, kan den interne maskinen i værste fall også rute trafikk fra utsiden av nettverket og inn bak bedriftens brannmur.

Sikkerhetsmessig betraktning: Det er derfor viktig å blokkere all IPv6-trafikk til en er klar for å bruke den. Dette må gjøres i begge retninger på bedriftens Internett-brannmur. Både faktisk og tunnellert IPv6-trafikk bør blokkeres. Enda en grunn til å blokkere dette er at malware om kort tid kan komme til å ta i bruk IPv6 til å kommunisere med, siden filtrering og deteksjon av denne typen trafikk er svært mangelfull.

De to vanligste måtene å tunnelere IPv6-trafikk over IPv4 er "6in4" og "Teredo". Den førstnevnte pakker ned IPv6-pakkene i IPv4-pakker med protokollnummer 41. For å blokkere denne typen kommunikasjon holder det å blokkere IP-protokoll 41 i routere og brannmurer. For å blokkere Teredo-trafikk holder det normalt å blokkere port 3544/UDP i utgående retning.

Ny kode for nettverksoperasjoner
I forbindelse med at nettverksutstyr og operativsystemer har fått støtte for IPv6, har det også blitt utviklet helt ny nettverkskode (network stack). I begynnelsen må en regne med at det vil bli oppdaget en del svakheter i denne nye koden, akkurat som det gjennom årene har blitt gjort i  IPv4. Et eksempel på dette er Microsoft Security Bulletin MS10-009. Denne omtaler en svakhet i Microsofts implementering av IPv6 som gjør det mulig for en angriper og få kjørt vilkårlig kode. Svakheter på dette nivået i operativsystemet kan ofte føre til stor skade. Det gjelder derfor å følge godt med på nye svakheter i forbindelse med utrulling av IPv6.

Punkter å tenke på ved framtidig implementering
Når en først  bestemmer seg for å begynne og implementere IPv6 er det mange ting å tenke på. Her er noen punkter å starte med:

  • Fordeling av adresser. Tidligere ble kanskje adresser hardkodet på maskiner. I IPv6 må all utdeling av adresser gjøres automatisk, siden adressene er så lange at det er vanskelig for mennesker å forholde seg til dem.
  • Støtter sikkerhetsutstyret i nettet IPv6? Selv om det virker som om støtten er der kan det være enkelte funksjoner som fortsatt ikke støttes.
  • En må i en periode muligens operere med både IPv4 og IPv6 samtidig. Dette fører til merarbeid og større muligheter for feil. Policy må implementeres på begge nettene samtidig.
  • Begrenset kunnskap om IPv6 hos medarbeidere. En kjernegruppe bør få økt kompetanse rundt området.
  • IPv6-adressene vil som oftest ikke bli NATet. Dette betyr at alle interne maskiner kan adresseres direkte fra Internett. Dette gjør det viktig å sette opp brannmuren riktig for og beskytte interne ressurser mot tilgang fra utsiden.

Oppsummering
Utbredelsen av IPv6 er økende og ser ut til å begynne å nå en kritisk masse som vil gjøre at bruken akselererer ytterligere.

Bedrifter bør derfor begynne å tenke på IPv6. Først og fremst bør en sørge for at den nye protokollen er sperret for å unngå overraskelser i nær fremtid og beholde kontrollen over hva slags trafikk som går inn og ut av bedriftens nettverk. Deretter kan en begynne å planlegge når en vil implementere IPv6 og finne ut hva som må gjøres i nettet. Relevant personell må også sannsynligvis sette seg bedre inn i IPv6 og hvordan det hele fungerer.

Det er lurt å ta en gjennomgang av bedriftens utstyr og sjekke hva som er kompatibelt, tenke gjennom sikkerhetsaspekter og hvordan en skal dele ut adresser.

onsdag 24. mars 2010

Norske bedrifter og Internet Explorer 6

I den senere tid har ulike nettaviser ved flere anledninger slått opp at ansatte i flere store, norske bedrifter fremdeles benytter Internet Explorer 6 (IE 6). Samtidig har sikkerhetsaktører som bl.a. NorSIS på generelt grunnlag gått ut og advart mot å benytte den 9 år gamle nettleseren, som har en rekke sårbarheter og svakheter knyttet til seg. Årsakene til at IE6 fremdeles benyttes i en del norske bedrifter kan nok være mange og komplekse, men i hovedsak antar vi at den benyttes pga. kompatibilitet mot gamle og/eller egenutviklede applikasjoner. I det følgende vil vi se litt på utbredelsen av de ulike nettleserne i norske bedrifter, og sette dette i et sikkerhetsperspektiv.

Oversikten under viser fordelingen av de ulike nettleserne observert ifbm. webtrafikk hos et representativt utvalg av TSOC sine norske kunder. Dette er kunder som kjøper tjenesten sikkerhetsovervåking av Telenor, og datagrunnlaget for oversikten antas å være et tilnærmet gjennomsnitt av norske bedrifter.


Som oversikten viser, har Internet Explorer totalt sett en andel på over 85%. Sammenlikner man med nettleserstatistikken mot Finn.no for februar 2010, ser man at den totale IE-andelen der er 66,9%. Forskjellen forklares nok best med at privatbrukere av finn.no har vært langt flinkere til å ta i bruk alternative nettlesere enn bedrifter. Mer bekymringsfullt er det at omlag 26% av bedriftsbrukerne fremdeles benytter IE 6, en nettleser som i følge SecurityFocus skal ha hele 396 upatchede svakheter av varierende alvorlighetsgrad knyttet til seg. Skjeler man til Finn.no igjen, ser man at andelen IE 6 brukere her er nede i 5,6%. Også IE 7 og IE 8 har endel upatchede svakheter i seg, hhv. 15 og 31. Til sammenlikning har Firefox og Opera for øyeblikket ingen upatchede sårbarheter i seg. I sikkerhetsbransjen er det da også en generell oppfatning at Microsoft ofte benytter lengre tid enn konkurrentene på å tette nye svakheter som blir oppdaget/publisert.

Det skal også nevnes at Internet Explorer var hovedangrepsvektor i det som sikkerhetsbransjen har døpt Operasjon Aurora, der flere store, internasjonale selskaper i perioden desember 2009 til februar 2010 ble utsatt for målrettede angrep fra Kina vha. en da ukjent sårbarhet i IE 6/7/8. Det har i ettertid kommet frem at Microsoft hadde kjent til svakheten siden september 2009, og planla å slippe en fiks i forbindelse med deres sikkerhetsoppdatering for februar 2010. Fiksen ble imidlertid gitt ut som en hasteoppdatering den 21. januar.

Tallene over viser at en rekke norske bedrifter idag løper en betydelig risiko for å bli kompromittert ved å benytte IE 6. Her bør det fokuseres på å oppgradere, eventuelt fase ut, gamle applikasjoner slik at man kan ta i bruk nyere versjoner av IE, og dermed redusere denne risikoen. Dette er imidlertid ofte både kostbart og tidkrevende å gjennomføre i praksis. Derfor kan en løsning der man tar i bruk en alternativ nettleser for ekstern bruk, og kun benytter IE 6 mot interne/proprietære applikasjoner, være en akseptabel løsning mens man er i denne prosessen.

mandag 1. mars 2010

Trojaner spres via MSN Messenger

Det ble idag observert en orm som sprer seg via MSN Messenger ved å sende ut meldinger som skal lure mottakerene i kontaktlisten til å laste ned og eksekvere trojaneren.

Dersom trojaneren lastes ned og eksekveres vil den forsøke å koble til en IRC-server på buri.burimche.net, port 1234/tcp.

buri.burimche.net resolver i skrivende stund til 88.208.204.56, og denne serveren er fremdeles oppe. Tidligere idag resolvet domenet til 208.98.51.20, som nå er nede.


AS | IP | CC | AS Name
46844 | 208.98.51.20 | US | ST-BGP - SHARKTECH INTERNET SERVICES
15418 | 88.208.204.56 | GB | FASTHOSTS-INTERNET Fasthosts Internet Ltd. Gloucester, UK.





Meldingene som sendes via MSN fra infiserte brukere inneholder en link til hxxp://www.facebook-c.com/image.php?Photo023girl.JPG, som inneholder selve trojaneren. Det som også er verdt å merke seg er at meldingene er tilpasset språkoppsettet til den infiserte PC'en, slik at meldinger fra norske Windows-oppsett blir sendt på norsk. Eksempler på meldinger som sendes er:


seen this?? :D http://..
poglej to fotografijo :D http://..
titta på min bild :D http://..
uita-te la aceasta fotografie :D http://..
se på dette bildet :D http://..
ser på dette billede :D http://..
vejte se na mou fotku :D http://..
[...]



hxxp://www.facebook-c.com er hostet hos Yahoo, men vil etter all sannsynlighet bli tatt ned innen kort tid.


www.facebook-c.com. 1200 IN CNAME p11-pprr.geo.premiumservices.yahoo.com.
p11-pprr.geo.premiumservices.yahoo.com. 299 IN CNAME sbs-p11p.asbs.yahoodns.net.
sbs-p11p.asbs.yahoodns.net. 300 IN A 98.136.50.138
sbs-p11p.asbs.yahoodns.net. 300 IN A 69.147.83.187
sbs-p11p.asbs.yahoodns.net. 300 IN A 69.147.83.188


Trojaneren er obfuskert med en packer skrevet i Visual Basic, mens selve bot-koden er skrevet i Visual C++. Funksjonaliteten er relativt enkel, men gir bakmennene full kontroll over PC'en:

  • Kommunikasjon med C&C over IRC-protokollen
  • Sending av meldinger via MSN Messenger og Yahoo Messenger
  • Nedlasting og eksekvering av vilkårlige filer


Trojaneren installerer seg under c:\windows\winmbu.exe (skjult med vanlige fil-attributer), legger seg inn i FirewallPolicy som autorisert applikasjon og sørger for automatisk start ved å legge seg inn under HKLM\[..]\Winlogon\Userinit.

Filen detekteres for øyeblikket av 13/41 antivirus-produkter (http://www.virustotal.com/analisis/89c677bc0044864d80244aee8201661e79f431f33c3b164aa778f363fe1cf9da-1267474859)

mandag 25. januar 2010

IE6 0-day og Windows rettighetseskalering

De siste to ukene er det blitt rapportert 2 ulike svakheter i alle versjoner av Microsoft Windows som sammen vil kunne være en meget effektiv angrepsvektor.

Den første var Internet Explorer 0-day svakheten som vi først omtalte i vårt nyhetsbrev 15. januar. Velfungerende exploitkode for IE6 ble tilgjengelig i Metasploit-rammeverket allerede 15. januar, dagen etter at svakheten ble allment kjent. Det er til og med lagt ut en bloggpost med en steg for steg guide for hvordan denne kan brukes. Microsoft rapporterer at det skal finnes privat "proof-of-concept" exploitkode for denne svakheten som også fungerer mot Internet Explorer 7 og 8. Denne svakheten ble fikset i en ekstraordinær patch utgitt 22. januar (MS10-002).

Den siste svakheten er rettighetseskaleringssvakheten i Windows-kjernen som vi omtalte i vårt nyhetsbrev 21. januar. Mange bedrifter lar brukerne kjøre med begrensede rettigheter på systemene sine for å begrense mulighetene for innbrudd og også for å begrense hva en eventuell angriper kan foreta seg dersom et innbrudd skulle være vellykket. Til denne svakheten ble exploitkoden publisert samtidig som selve svakheten ble allment kjent. Noe tidspunkt for patch for denne er så langt ikke kjent.

IE-svakheten er i seg selv kritisk, men kombinert med rettighetseskaleringssvakheten vil det også være mulig å få full kontroll over maskiner der brukere kjører med begrensede rettigheter. Det kan for eksempel være terminalservere, klienter der brukere er satt opp med begrensede rettigheter osv. Rettighetseskaleringssvakheten vil selvfølgelig være like effektiv i kombinasjon med andre svakheter i andre klientapplikasjoner som f.eks Adobe Reader, Flash ol.

Med exploitkode for IE6 tilgjengelig via Metasploit, samt ferdig kompilert kode for rettighetseskaringssvakheten allment tilgjengelig, satte vi opp et testmiljø for å se om dette virkelig var så enkelt å få til å fungere som det kunne virke som.

Etter å ha fulgt steg for steg guiden var Metasploit satt opp til å servere IE6 exploitkoden via en webserver og etter at vår sårbare klient med Internet Explorer 6 hadde vært innom denne så vi følgende:


Exploitkoden fungerte som den skulle og så ut til å fungere stabilt. Vi hadde nå samme rettigheter på maskinen som brukeren som besøkte nettsiden med exploiten. Brukeren som var logget inn på maskinen, var satt opp med begrensede rettigheter, så neste steg var å se om vi kunne få tilegnet oss mer rettigheter på systemet. Etter å ha lastet ned og kjørt den ferdigkompilerte exploitkoden kunne vi observere følgende:


Vi har nå rettigheter som SYSTEM og har dermed full kontroll over maskinen. Den samme ferdigkompilerte exploitkoden ble testet på Windows Vista med samme resultat.


Ofte vil DEP kunne gjøre det mye vanskeligere å utnytte svakheter på systemet og vi vil anbefale å skru dette på der det er mulig. Vi har omtalt DEP i en tidligere bloggpost som er tilgjengelig her. Microsoft melder om at det skal finnes privat exploitkode for den omtalte IE-svakheten som også kan omgå DEP, men at dette ikke er observert brukt i reelle angrep. Til brukere som fortsatt bruker Internet Explorer 6, vil vi på det sterkeste anbefale å oppgradere til versjon 8.0.

Dette viser hvor enkelt det ofte er å utnytte disse sårbarhetene, spesielt når alt er lagt til rette. I tillegg finnes det flere ulike grupperinger som selger kommersielle exploitpakker som er enda enklere å bruke enn det som ble vist her. Disse blir ofte utviklet og vedlikeholdt av profesjonelle som har salg av slike pakker som sin inntektskilde.


Kilder:
Metasploit.com
Full Disclosure
Microsoft Security Bulletin MS10-002
Microsoft Security Research & Defense

 
>