Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 13. oktober 2008

Malware og drive-by exploits

I mange tilfeller hvor vi ser at klient-PC'er blir infisert, skjer dette gjennom såkalte "drive-by exploit"-angrep. Denne typen angrep skjer ved at kriminelle, f.eks ved å utnytte sårbarheter i webapplikasjoner eller benytte stjålne brukernavn/passord, legger inn fiendtlig kode på uskyldige tredjeparts nettsteder.

Når brukere besøker disse nettstedene blir de typisk redirigert til nettsteder som er kontrollert av angriper, og det blir forsøkt utnyttet sårbarheter i nettleseren og eventuelle tillegg til denne. Er angrepet vellykket blir det installert trojanere som gir kriminelle kontroll over PC'en og data som måtte ligge på denne. Alt dette foregår som regel godt skjult i bakgrunnen, og vil ikke være merkbart for brukeren.

Ut ifra vår erfaring her på TSOC har vi forsøkt å lage en oversikt over hvilke exploits typiske norske brukere blir utsatt for om dagen, hvilke nettsteder som er involvert og hva slags malware det er snakk om i disse tilfellene.

Det er på ingen måte en enkel oppgave å få full oversikt over dette. Enkelte drive-by exploits har mange hopp/redirigeringer før brukeren til slutt blir utsatt for selve exploiten. Denne redirigeringen er sannsynligvis en del av "affiliation-sporing" (kjøp og salg av trafikk) og for statistikkens skyld. Dette gjør det også vanskeligere for oss å spore tilbake til de kompromitterte nettstedene brukerne besøkte i utgangspunktet.

Under vises en oversikt over hvilke nettsteder og malware som er involvert når brukere besøker kompromitterte nettsteder som redirigerer til gcounter.cn og add-content-block.net:


Trykk på bildet for full størrelse

Forklaring til bildet:
Blå representerer et legitimt, men kompromittert nettsted.
Gul representerer nettside som ikke inneholder exploit-kode, men redirigerer til en annen nettside.
Oransj representerer nettside som inneholder skadelig exploit-kode.
Rød representerer trojan-aktivitet, som følge av vellykket eksekvering av exploit-kode. Det er også oppgitt score fra VirusTotal (VT) for hver enkelt malware i disse tilfellene.

Det er også interessant å se her at to tilsynelatende ikke-relaterte kompromitteringer (gcounter.cn og add-content-block.net) peker til felles exploit-servere (golpii.com og likelikeless.cn).

Her er en oversikt over domener/ip-adresser som for øyeblikket er relatert til gcounter.cn og add-content-block.net:

gcounter.cn (92.241.176.101, WEBALTA-AS Wahome networks, RU)
add-content-block.net (195.24.78.243, ROOT-AS root eSolutions, LU)
busyhere.ru (91.203.93.16, BTG12-AS UATELECOM LLC, UA)
xdrv.info (85.17.94.16, LEASEWEB LEASEWEB AS, NL)
analystic.org (209.160.64.65, HOPONE-GLOBAL - HopOne Internet Corporation, US)
essentialmix.eu (58.23.64.198, CHINA169-BACKBONE CNCGROUP China169 Backbone, CN)
fstat.cn (59.125.229.71, HINET Data Communication Business Group, TW)
divinets.cn (89.187.48.131, MONITORING-AS Monitoring AS, Bendery, Moldova, MD)
toozi.pageranks.gotdns.org (58.65.236.41, HOSTFRESH-AS-AP HostFresh Internet, HK)
engine-global-online.com (88.214.198.8, ISPRIME - ISPrime, Inc., GB)
vipsimpa.com (74.50.110.156, HVC-AS - HIVELOCITY VENTURES CORP, US)
likelikeless.cn (91.203.93.16, BTG12-AS UATELECOM LLC, UA)
golpii.com (196.32.220.3, MEGALAN Megalan Autonomous system of Megalan Ltd., SC)
lite.ff-freehosting.com (94.102.50.130, ECATEL-AS AS29073, Ecatel Network)
66.212.19.146 (SPNW - Secured Private Network, US)
196.32.220.3 (NA)
89.187.48.131 (MONITORING-AS Monitoring AS, Bendery, Moldova, MD)


IP-adresser relatert til malware (C&C):

195.93.218.61 (BUILDHOUSE-AS Buildhouse Ltd., RU)
66.232.116.2 (HVC-AS - HIVELOCITY VENTURES CORP, US)
66.232.113.61 (HVC-AS - HIVELOCITY VENTURES CORP, US)
216.245.213.162 (COLOGUYS - ColoGuys, US)
69.162.79.82 (COLOGUYS - ColoGuys, US)
69.162.64.146 (COLOGUYS - ColoGuys, US)
69.162.66.26 (COLOGUYS - ColoGuys, US)
208.66.193.135 (MCCOLO - McColo Corporation, US)

Ingen kommentarer:

 
>