I gårsdagens bloggpost kunne TSOC avsløre at hjemmesiden til nobelpeaceprize.org hadde blitt kompromittert, og ble benyttet til å spre malware til besøkende. Samtidig meldte vi i vårt daglige nyhetsbrev at TSOC hadde avdekket et nytt og ukjent sikkerhetshull i Mozilla Firefox. Det som med hensikt ikke gikk klart frem, var at disse to sakene var relaterte; nobelpeaceprize.org videresendte besøkende til en ondsinnet server i Taiwan vha. en skjult iframe. Besøkende fikk deretter servert javascript som utnyttet en hittil ukjent svakhet i Firefox.
Koblingen mellom kompromitteringen av nobelpeaceprize.org og Firefox 0-day exploiten ble bevisst unlatt offentliggjort av oss for å minimere risiko for spredning av 0-day exploiten.
TSOC har jobbet med denne saken siden mandag ettermiddag, og analyser av det ondsinnede javascriptet førte til at vi i løpet av natt til tirsdag ble klar over at det dreide seg om et nytt og ukjent sikkerhetshull i Firefox. Svakheten ble da meldt inn til Mozilla.
Det finnes foreløpig ingen patch for svakheten, og vi anbefaler derfor å benytte en alternativ nettleser inntil videre. Eventuelt kan man benytte NoScript, en Firefox-plugin som i praksis deaktiverer Javascript. Mozilla jobber fortsatt med å utbedre svakheten.
onsdag 27. oktober 2010
nobelpeaceprize.org kompromittering avdekket nytt hull i Firefox
tirsdag 26. oktober 2010
nobelpeaceprize.org kompromittert
Nettstedet nobelpeaceprize.org har blitt kompromittert og benyttet til å spre ondsinnet programvare til besøkende.
Vellykket utnyttelse av svakheten fører til at en bakdør, scvhost.txt, blir lastet ned og eksekvert. Til forskjell fra typisk malware som rapporterer tilbake til C&C over HTTP oppretter denne trojaneren en bakdør ved hjelp av et cmd.exe-shell som kobles tilbake til angriperen.
Bakdøren kopierer seg selv til c:\windows\temp\symantec.exe, legger seg inn i Windows Registry som 'Microsoft Windows Update' og forsøker deretter å koble opp bakdøren mot l-3com.dyndns-work.com (eller l-3com.dyndns.tv som nr. 2), på port 443/tcp.
l-3com.dyndns-work.com 60 IN A 140.113.40.206 l-3com.dyndns.tv 60 IN A 140.113.40.206 AS | IP | CC | AS Name 9916 | 140.113.40.206 | TW | NCTU-TW National Chiao Tung University
Observert aktivitet over denne bakdøren har vært sporadisk, og med innslag av skrivefeil er det mye som tyder på at den videre infeksjonen ikke er automatisert.
Den pågåtte aktiviteten har vært innsamling av informasjon rundt kjørende prosesser, ip-adresser og brukere på systemet.
scvhost.txt har svært dårlig antivirus-deteksjon; ingen av de 41 antivirus-produktene hos VirusTotal reagerte på trojaneren.
Det anbefales å sjekke brannmurlogger for tilkoblinger mot 140.113.40.206 port 443/tcp, da dette er en god indikasjon på vellykket infisering. Trafikk mot samme IP, men kun på port 80/tcp, er en indikasjon på at klient-PC'er kun har blitt forsøkt utnyttet.
fredag 22. oktober 2010
Bokhandel med ekstratjenester
De datakriminelle bruker etter hvert mange forskjellige triks for å lure vanlige brukere til å installere malware. I dag avdekket vi et nytt opplegg: en hel bokhandel satt opp kun for å lure brukere til å hente ned malware, kamuflert som nedlastbare bøker.
- Ikke stol blindt på søkeresultater fra Google og lignende, selv om resultatene kommer langt opp på listen og ser tilforlatelige ut. De kriminelle blir stadig flinkere til å komme høyt opp i resultatene ved hjelp av såkalt SEO (Search Engine Optimization). Hvis du ser etter en bok eller forfatter er det kanskje best å gå direkte til en kjent bokhandel på nettet.
- Dersom noe er for godt til å være sant, så er det gjerne det. Bøker som en tilsynelatende kan hente ned gratis fra nettet burde få alarmbjellene til å ringe. Følg også nøye med på hva filnavnet slutter på og sjekk at filen er av forventet type. I dette tilfellet ble det servert en ".exe"-fil der en hadde forventet en ".pdf"-fil. Dersom en leser advarselen fra Windows før en starter filen vil en også kunne se at det er noe galt her.