Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

lørdag 6. desember 2008

Drive-by, USB og MS08-067

Tidligere denne uka kom vi over en litt interessant malware som blant annet inneholder exploit-kode for å utnytte MS08-067-svakheten.

Trojaneren ble i dette tilfellet levert gjennom et "drive-by"-angrep fra følgende nettsted:

121.10.107.233 - vip.som4.cn

Angrepet forsøkte å utnytte en godt kjent sårbarhet i Adobe Flash, og en vellykket utnyttelse av denne svakheten fører til nedlasting og eksekvering av trojaner fra:

121.10.107.233 - www.google.com.50nb.com

Dersom trojaneren blir eksekvert forsøker den å kontakte følgende nettsteder (C&C) over port 80/tcp:

121.10.108.118 - count.realuu.com
121.10.107.233 - txt.50nb.com

Her vil trojaneren melde tilbake og motta instruksjoner om å laste ned og eksekvere flere filer - i dette tilfellet ca 40 eksekverbare filer.

Terminering av antivirus-produkter
Trojaneren forsøker å hindre eventuelle antivirus-produkter å starte, og et av triksene som benyttes her er å sette Debugger-verdien for AV-produktene i "Image File Execution Options" til "svchost.exe". Normalt benyttes Debugger-opsjonen for å automatisk koble en debugger til et program når det startes (ironisk nok er dette også et triks som benyttes under analyse av enkelte typer malware..). Ved å sette "debuggeren" til svchost.exe gjør at programmet (AV-produktene) i praksis ikke vil starte.



I tillegg droppes det en dll-fil (appwinproc.dll) som ser etter strenger som "McAfee", "NOD32", samt noen kinesiske strenger, i vindustitlene - og dersom noen av disse blir funnet vil applikasjonen bli terminert.

Trojaneren oppdaterer også HOSTS-fila slik at en rekke antivirus-relaterte nettsteder ikke lenger vil være tilgjengelig fra den infiserte PC'en.

Det blir også droppet et rootkit som skjuler prosessen fra programmer som Windows Task Manager og Process Explorer.

Spredningsvektorer
Hvert 10. sekund blir det lagret en kopi av trojaneren på samtlige disker, unntatt A: og B:, som system.dll. I tillegg blir det opprettet en autorun.inf-fil som sørger for at trojaneren blir eksekvert når en infisert USB-disk eller minnepinne settes inn i en Windows-PC som ikke har slått av autoplay-funksjonen.



Som nevnt innledningsvis inneholder trojaneren kode for å spre seg ved hjelp av MS08-067-svakheten. Dette har blitt implementert ved å kompilere en tidligere publisert PoC-kode til en dll-fil som droppes av trojaneren. Shellkoden som benyttes i PoC'en er designet til å åpne et shell på port 4444/tcp, og dette er uendret for trojaneren. Angrepet var forøvrig ikke vellykket mot en engelsk Windows XP SP2-installasjon.



Litt interessant er måten trojaneren blir overført gjennom shellet. Her bygges det opp et lengre sett med kommandoer som i praksis overfører byte for byte ved hjelp av hex-strenger, og som til slutt benytter debug.exe for å konvertere disse tilbake til binær-kode.



Anbefalinger
Det anbefales å blokkere trafikk mot følgende adresser:

121.10.107.233
121.10.108.118

Trafikk mot sistnevnte adresse bør også logges da aktivitet mot denne indikerer infisert PC.

Vi oppfordrer selvsagt alle om å sørge for at de siste sikkerhetsoppdateringene fra Microsoft er installert.

I tillegg vil vi også minne om at utsatte applikasjoner som Adobe Flash (og forøvrig Adobe Acrobat Reader) bør oppdateres til siste versjon.

Erfaringer fra TSOC viser at det er utnyttelse av disse applikasjonene som i hovedsak har ført til "drive-by"-kompromitteringer den siste tiden.

fredag 24. oktober 2008

Utnyttelse av MS08-067

Som de fleste sikkert nå vet, slapp Microsoft igår kveld en "out of cycle" oppdatering som fikser en svært alvorlig svakhet i Server Service. Svakheten kan utnyttes vha RPC-kall gjennom port 139/tcp og 445/tcp uten autentisering (for Windows 2000/XP/2003). For flere detaljer rundt svakheten, les Microsofts sikkerhetsbulletin på http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.

Svakheten er spesielt kritisk da dette er en ideell angrepsvektor for automatisert spredning av malware (ormer).

For å utnytte svakheten kreves det at brannmuren enten er slått av, eller at File/Printer Sharing er slått på. De aller fleste brukere vil være beskyttet av ekstern brannmur/router mot internett, men interne nettverk vil være svært utsatt hvis en slik orm først kommer på innsiden.

Det er allerede blitt observert en slik orm det siste døgnet, og denne har fått navnet Gimmiv.A.

Når denne ormen eksekveres på et system droppes det en fil under \windows\system32\wbem\sysmgr.dll, samt at den blir installert som en service på systemet.



Når sysmgr-servicen starter samles det inn blant annet forskjellige brukernavn/passord fra systemet, som så sendes kryptert til C&C-server.

I tillegg sjekkes det for enkelte spesifikke antivirus-produkter før det blir lastet ned og eksekvert oppdateringer for denne ormen.



Etter oppdateringen blir det droppet tre dll-filer under \windows\system32\wbem; syicon.dll, basesvc.dll og winbase.dll.

Disse dll-filene injectes i svchost-prosessen og kommuniserer mot C&C. Spesielt interessant er basesvc.dll som inneholder selve exploit-koden for denne svakheten:




C&C-servere:
Når Gimmiv.A eksekveres forsøker den å kontakte følgende adresser på port 80/tcp:

59.106.145.58
perlbody.t35.com
summertime.1gokurimu.com
doradora.atzend.com

I tillegg sendes det Icmp Echo til følgende adresser:

212.227.93.146
64.233.189.147
202.108.22.44

med payload "abcde12345fghij6789".

Anbefalinger:
Først og fremst anbefaler vi å få installert den siste oppdateringen fra Microsoft så fort som mulig. Det er allerede observert malware som utnytter svakheten, og det har blitt publisert proof-of-concept som viser hvordan denne kan utnyttes. Man kan forvente at denne svakheten vil bli utnyttet i større skala innen forholdsvis kort tid.

I tillegg anbefales å logge og blokkere trafikk mot ip-adressene nevnt over for å finne eventuelle infiserte Gimmiv.A-klienter.

For mer info om svakheten, se også http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

mandag 13. oktober 2008

Malware og drive-by exploits

I mange tilfeller hvor vi ser at klient-PC'er blir infisert, skjer dette gjennom såkalte "drive-by exploit"-angrep. Denne typen angrep skjer ved at kriminelle, f.eks ved å utnytte sårbarheter i webapplikasjoner eller benytte stjålne brukernavn/passord, legger inn fiendtlig kode på uskyldige tredjeparts nettsteder.

Når brukere besøker disse nettstedene blir de typisk redirigert til nettsteder som er kontrollert av angriper, og det blir forsøkt utnyttet sårbarheter i nettleseren og eventuelle tillegg til denne. Er angrepet vellykket blir det installert trojanere som gir kriminelle kontroll over PC'en og data som måtte ligge på denne. Alt dette foregår som regel godt skjult i bakgrunnen, og vil ikke være merkbart for brukeren.

Ut ifra vår erfaring her på TSOC har vi forsøkt å lage en oversikt over hvilke exploits typiske norske brukere blir utsatt for om dagen, hvilke nettsteder som er involvert og hva slags malware det er snakk om i disse tilfellene.

Det er på ingen måte en enkel oppgave å få full oversikt over dette. Enkelte drive-by exploits har mange hopp/redirigeringer før brukeren til slutt blir utsatt for selve exploiten. Denne redirigeringen er sannsynligvis en del av "affiliation-sporing" (kjøp og salg av trafikk) og for statistikkens skyld. Dette gjør det også vanskeligere for oss å spore tilbake til de kompromitterte nettstedene brukerne besøkte i utgangspunktet.

Under vises en oversikt over hvilke nettsteder og malware som er involvert når brukere besøker kompromitterte nettsteder som redirigerer til gcounter.cn og add-content-block.net:


Trykk på bildet for full størrelse

Forklaring til bildet:
Blå representerer et legitimt, men kompromittert nettsted.
Gul representerer nettside som ikke inneholder exploit-kode, men redirigerer til en annen nettside.
Oransj representerer nettside som inneholder skadelig exploit-kode.
Rød representerer trojan-aktivitet, som følge av vellykket eksekvering av exploit-kode. Det er også oppgitt score fra VirusTotal (VT) for hver enkelt malware i disse tilfellene.

Det er også interessant å se her at to tilsynelatende ikke-relaterte kompromitteringer (gcounter.cn og add-content-block.net) peker til felles exploit-servere (golpii.com og likelikeless.cn).

Her er en oversikt over domener/ip-adresser som for øyeblikket er relatert til gcounter.cn og add-content-block.net:

gcounter.cn (92.241.176.101, WEBALTA-AS Wahome networks, RU)
add-content-block.net (195.24.78.243, ROOT-AS root eSolutions, LU)
busyhere.ru (91.203.93.16, BTG12-AS UATELECOM LLC, UA)
xdrv.info (85.17.94.16, LEASEWEB LEASEWEB AS, NL)
analystic.org (209.160.64.65, HOPONE-GLOBAL - HopOne Internet Corporation, US)
essentialmix.eu (58.23.64.198, CHINA169-BACKBONE CNCGROUP China169 Backbone, CN)
fstat.cn (59.125.229.71, HINET Data Communication Business Group, TW)
divinets.cn (89.187.48.131, MONITORING-AS Monitoring AS, Bendery, Moldova, MD)
toozi.pageranks.gotdns.org (58.65.236.41, HOSTFRESH-AS-AP HostFresh Internet, HK)
engine-global-online.com (88.214.198.8, ISPRIME - ISPrime, Inc., GB)
vipsimpa.com (74.50.110.156, HVC-AS - HIVELOCITY VENTURES CORP, US)
likelikeless.cn (91.203.93.16, BTG12-AS UATELECOM LLC, UA)
golpii.com (196.32.220.3, MEGALAN Megalan Autonomous system of Megalan Ltd., SC)
lite.ff-freehosting.com (94.102.50.130, ECATEL-AS AS29073, Ecatel Network)
66.212.19.146 (SPNW - Secured Private Network, US)
196.32.220.3 (NA)
89.187.48.131 (MONITORING-AS Monitoring AS, Bendery, Moldova, MD)


IP-adresser relatert til malware (C&C):

195.93.218.61 (BUILDHOUSE-AS Buildhouse Ltd., RU)
66.232.116.2 (HVC-AS - HIVELOCITY VENTURES CORP, US)
66.232.113.61 (HVC-AS - HIVELOCITY VENTURES CORP, US)
216.245.213.162 (COLOGUYS - ColoGuys, US)
69.162.79.82 (COLOGUYS - ColoGuys, US)
69.162.64.146 (COLOGUYS - ColoGuys, US)
69.162.66.26 (COLOGUYS - ColoGuys, US)
208.66.193.135 (MCCOLO - McColo Corporation, US)

søndag 28. september 2008

Økning i angrep mot Acrobat Reader

De siste ukene har vi sett en økning i antall angrep som forsøker å utnytte en kjent sårbarhet i Adobe Acrobat og Adobe Acrobat Reader versjon 8.1.1 og tidligere.

Svakheten ligger i en funksjon som heter Collab.collectEmailInfo() og kan misbrukes ved å legge ondsinnet javascript-kode i PDF-dokumentet. Dersom en bruker åpner et slikt PDF-dokument med en sårbar versjon av Acrobat Reader, enten ved å åpne dokumentet manuelt eller ved at nettleseren åpner dokumentet automatisk vha plugin/extension til nettleseren, eksekveres ondsinnet kode som typisk laster ned og kjører trojanere.

Siste versjon av Adobe Acrobat og Adobe Acrobat Reader, versjon 8.1.2, er ikke sårbar for dette angrepet.

For mer teknisk info og analyse av exploits i PDF-dokumenter, se Analysing malicious PDF documents and shellcode på bloggen til Norwegian Honeynet Project.

El Fiesta
Noe av grunnen til at vi (og flere) har sett denne økningen av PDF-exploits er på grunn av at populære exploit toolkits nå har fått inkludert kode som utnytter nettopp denne svakheten.

I de fleste tilfellene vi har sett har brukeren blitt utsatt for exploits fra "El Fiesta"-toolkit'et.



Dette toolkit'et har en rekke exploits tilgjengelig, og brukeren kan bli utsatt for exploits rettet mot følgende produkter/svakheter:

MDAC (MS06-014)
Snapshot Viewer (MS08-041)
Sina DLoader
Acrobat PDF
WebViewFolderIcon (MS06-057)
Msdss.dll (MS05-052)
Creative Software AutoUpdate Engine
Microsoft Works Image Server (WkImgSrv.dll)
Ourgame 'GLIEDown2.dll'
CA BrightStor ARCserve Backup (AddColumn)
SuperBuddy
GomWebCtrl
Msxml2.XMLHTTP (MS06-071)
QuickTime
RealPlayer
NCTsoft Control
DirectAnimation PathControl

Bildet over viser en statistikk-side for "El Fiesta"-installasjonen.
Litt interessant er det å finne "NO" på topp 10-listen over antall besøk. Statistikken viser også at nesten èn av ti brukere fra Norge som blir utsatt for angrepene blir infisert.

Hva skjer ved et vellykket angrep?

Dersom brukeren er sårbar for noen av angrepene over blir det i dette tilfellet lastet ned og eksekvert en variant av Zbot-trojaneren (også kjent som Prg/Wsnpoem). Zbot er en trojaner som er designet til å stjele bankinformasjon og generelt sensitive data som brukernavn/passord fra kjente nettsteder som MySpace, osv.

Tidligere har denne typen trojanere blitt spredt hovedsaklig gjennom e-post med vedlegg (spam relatert til UPS, eTickets, mm).

Skuffende antivirus-dekning
Dessverre har det blitt svært vanskelig for AV-industrien å holde følge med det økende antall malware som spres. Resultat fra VirusTotal viser at kun 1/36 AV-produkter detekterer trojaneren som mistenkelig:



Tekniske detaljer
Følgende domener/ip'er er involvert i angrepet:

masonfl.com (208.179.82.130, TIERZERO-AS11509 - Tierzero, US)
gendistr.org.uk (91.142.64.87, OnePacket Networks Inc., NL)
domain15.net (193.27.246.240, DANKON-AS Dankon Ltd., RU)
domain6.org (193.27.246.240, DANKON-AS Dankon Ltd., RU)
domain12.net (193.27.246.239, DANKON-AS Dankon Ltd., RU)
domain20.net (193.27.246.239, DANKON-AS Dankon Ltd., RU)

masonfl.com er domenet som blir lagt inn på kompromitterte nettsteder. Denne redirecter brukeren videre til gendistr.org.uk som igjen redirecter brukeren til domain15.net.

domain15.net hoster exploits og trojaner, og trojaneren kontakter domain6.org, domain20.net og domain12.net for oppdatering, rapportering og mottak av konfigurasjon.

masonfl.com, gendistr.org.uk og domain15.net er gode kandidater for blokkering i brannmur og/eller proxy, og det anbefales å logge og blokkere trafikk mot domain6.org, domain12.net og domain20.net for å finne eventuelle infiserte klienter.

onsdag 10. september 2008

Oppdatering rundt Virtumonde

I forbindelse med malvertising-hendelsen for drøyt to uker siden har vi holdt et ekstra øye med Virtumonde-trojaneren.

Blant annet er det verdt å merke seg at domenene relatert til trojaneren har endret ip-adresser:

x1.usawindowsupdates.com, som tidligere resolvet til 85.17.143.213, resolver nå til 82.192.87.21.
x1.mswindowsupdates.com, som tidligere resolvet til 82.98.193.167, resolver nå til 82.192.87.25.

Vi har også sett varianter av trojaneren som går mot x1.statssystem.com (denne resolver også til 82.192.87.21)

Virtumonde-trojaneren blir hovedsaklig benyttet til å vise popup-annonser på de infiserte klientene. Informasjon om hvilke annonser den skal vise mottas fra C&C - x1.usawindowsupdates.com, x1.mswindowsupdates.com, x1.statssystem.com - over port 80/tcp.

Kontroll over infiserte klienter
I tillegg til å sende 'popup'-kommandoer har også bakmennene mulighet til å laste opp og eksekvere hvilken som helst fil på de infiserte klientene. Dette gir i praksis bakmennene full kontroll over de infiserte PC'ene.



Er du infisert?
Denne varianten av trojaneren installerer seg på systemet ved blant annet å droppe en fil under \Windows\System32-katalogen ved navn __c00?????.dat, hvor ????? er en tilfeldige hex-verdi.
Dersom du er i tvil om PC'en din er infisert av akkurat denne trojaneren kan du sjekke om en slik fil finnes på systemet (f.eks: "dir c:\windows\system32\__c*"). Dersom det dukker opp flere filer med samme mønster, __c00?????, kan dette tyde på at trojaneren har mottatt instruksjoner om å laste ned og eksekvere andre filer.

tirsdag 26. august 2008

Malvertising på no.msn.com

Da har vi dessverre fått nok et gjensyn med ondsinnede reklameannonser, og denne gangen blir de servert fra hovedsiden på no.msn.com - et nettsted som svært mange Internet Explorer-brukere har som sin startside.

Oppdatering 2008.08.27 13:30:
Den ondsinnede banner-annonsen har nå blitt fjernet fra nettstedet.



Disse banner-annonsene har forsøkt å utnytte sårbarheter i eldre versjoner av Adobe Flash, og på den måten forsøkt å spre en trojaner kjent som Virtumonde/Vundo.

NB: Vi gjør oppmerksom på at brukeren ikke trenger å klikke på annonsen for å bli infisert!

De sårbare versjonene av Flash er som følger:

Adobe Flash 9.0.16
Adobe Flash 9.0.28
Adobe Flash 9.0.45
Adobe Flash 9.0.47
Adobe Flash 9.0.115

Siste versjon, 9.0.124, ser ikke ut til å være sårbar for dette angrepet.

Vi har skrevet om tilsvarende angrep tidligere, og dette angrepet utnytter de samme svakhetene. Vi vil oppfordre alle om å sjekke hvilken versjon av Flash som er installert, og sørge for å holde denne oppdatert.

Se Version test for Adobe Flash Player for å sjekke din versjon.

De ondsinnede banner-annonsene blir servert fra bannersrotator.com (82.98.193.165) med en redirect innom stl.0ups.com (82.98.193.166).

Ved vellykket eksekvering av exploit blir det lastet ned trojaner fra 92.62.101.13.

Når trojaneren (41aa2979669cf968802bfcffb5ea9fc0) kjøres vil den forsøke å kontakte C&C på:

x1.usawindowsupdates.com (85.17.143.213), port 80/tcp.

En tidligere versjon (77520ac004598bf5f22b41623fd54816) forsøker å kontakte C&C på:

x1.mswindowsupdates.com (82.98.193.167), port 80/tcp.

Anbefalinger:
Sørg for å oppdatere til siste versjon av Adobe Flash.
Logg og blokker trafikk mot 82.98.193.167 og 85.17.143.213, da aktivitet mot disse er tegn på infiserte klienter.
I tillegg bør det blokkeres trafikk mot bannersrotator.com (82.98.193.165) og 92.62.101.13.

tirsdag 5. august 2008

Malware spam

De siste dagene har det vært en økning i spam som har forsøkt å spre en trojaner ved filnavnet "get_flash_update.exe". Angriperne forsøker å friste brukere til å følge lenker i e-post relatert til sjokkerende nyheter og videosnutter, og en av de siste variantene av denne e-posten utgir seg for å være en daglig oppdatering av de siste nyhetene fra CNN:



Følger man en av disse lenkene kommer man til et nettsted som viser en tom "video-boks", samt en beskjed om at ny versjon av Flash må lastes ned og installeres - get_flash_update.exe. Dette er selvsagt ikke Flash!



Exploitpakke:
I tillegg til den overbevisende meldingen vil det bli kjørt flere exploits mot nettleseren i bakgrunnen. Det vil bli forsøkt utnyttet svakheter i følgende komponenter:

Microsoft Office Snapshot Viewer ActiveX
Real Player rmoc3260.dll ActiveX Control
WebViewFolderIcon
Microsoft Internet Explorer Msdds.dll (IE 6)
GOM Player 2.1.6.3499 GomWeb Control
Internet Explorer MDAC MS06-014
NCTAudioFile2 SetFormatLikeSample ActiveX
America Online SuperBuddy ActiveX Control

Hva gjør get_flash_update.exe?
Den siste varianten vi har sett på (MD5: dabb5a9b431c88c77281bcf1158a9879), har dessverre ikke god dekning på VirusTotal (detektert av 19/36), men trojaneren blir gjenkjent som Trojan-Downloader.Win32.Exchanger.jt av enkelte AV-produkter.

Når get_flash_update.exe blir eksekvert vil det bli droppet en fil ved navn CbEvtSvc.exe under %System32%-katalogen på systemet. I tillegg vil det bli opprettet en ny service ved navnet CbEvtSvc som vil bli startet automatisk ved boot. CbEvtSvc-servicen er ikke spesielt godt skjult på systemet, og kan enkelt finnes igjen ved å sjekke Control Panel -> Administrative Tools -> Services. I tillegg vil CbEvtSvc-prosessen være synlig i Windows Task Manager.




Kommunikasjon mot C&C:
Litt mer interessant er det å se på hvordan CbEvtSvc kommuniserer med sin C&C-node. Tidligere versjoner av denne trojaneren (MD5: 826d8bf46dae92264827c27886cc619a) har kommunisert mot 72.9.98.234 port 80/tcp (EZZI.NET), med forspørsler som "POST /ldrctl/ldrctl.php". Det typiske svaret på disse forespørslene er en liste over filer som skal lastes ned og eksekveres. Disse filene har blitt hentet ned fra 78.109.19.50 port 80/tcp (sasha, UA).

Den siste varianten vi har sett kommuniserer med C&C på 66.199.231.178 port 443/tcp (EZZI.NET), over HTTPS. Ved å bruke verktøy som oSpy kan vi bekrefte at kommunikasjonen mot C&C er den samme, og at listen over filer som skal hentes ned og eksekveres tilsvarer det vi har sett med tidligere varianter av denne trojaneren.





Hva blir lastet ned og eksekvert?
For øyeblikket blir det lastet ned to filer; install.exe og 04scan.exe.

04scan.exe er en installer for Antivirus XP 2008 - et falskt antivirus-produkt som forsøker å lure brukeren til å kjøpe produktet ved å vise falske meldinger om infiserte filer. Vi har skrevet om tilsvarende "produkter" i tidligere innlegg. Denne typen malware blir for tiden, mer eller mindre, alltid installert på infiserte PC'er, i tillegg til andre malware-komponenter.



install.exe (MD5: 831e11da49fee6b692d009b8f71822cf) derimot er en mer interessant fil. Deteksjonen på denne filen er heller ikke god (detektert av 15/36), men blir gjenkjent som en Rustock-variant.

Rustock er et svært avansert rootkit og spambot, og kan være vanskelig å oppdage på et kompromittert system. Rustock injecter sin "usermode"-del (spambot'en) i services.exe og kommuniserer kryptert mot følgende C&C på port 80/tcp:

208.72.168.191
davis-service.org
davis-service.asia
invtoworld.info
invtoworld.biz
satisfiedinvestors.com

Samtlige av disse domenene resolver for øyeblikket til 208.72.168.191 (McColo Corporation, US).
Verktøy som GMER kan benyttes for å oppdage og fjerne denne typen rootkit.

torsdag 17. juli 2008

Nok en SQL-oppdatering

Her en kort oppdatering på SQL injection-aktiviteten som pågår. Vi ser en stadig økning i antall kilder som angriper nettsteder og forsøker å injecte ulike domener. Den siste uken har all observert SQL injection-aktivitet vært knyttet til Danmec/Asprox. Under vises en oversikt over antall unike kilder vi har sett pr. dag.



Fra 21. juni til 16. juli har vi sett over 140000 unike kildeadresser. Den siste uken, fra 9. juli til 16. juli, registrerte vi 78400 unike kildeadresser.

Endringer i angrep
Vi ser også at det nå ligger referanser til /fgg.js på enkelte infiserte nettsteder, men på grunn av blant annet plasseringen av script-tag'ene, tror vi ikke dette er et resultat av de vanlige SQL injection-angrepene (til tross for at det er de samme kjente "Danmec-domenene" som benyttes).
Referansen til /fgg.js er typisk å finne nederst på siden, rett foran den avsluttende body-taggen:



Derimot ser vi at det fremdeles injectes referanser til /ngg.js som tidligere (og /b.js er fremdeles aktivt på eldre infiserte nettsteder).

Oversikten over domener som blir forsøkt injectet er også oppdatert:

Trykk på bildet for full oversikt

tirsdag 15. juli 2008

Malvertising fra 247mediadirect

Enkelte bannerannonser er mer uønsket enn andre - og bannere fra 247mediadirect er definitivt en av disse.

Ondsinnede reklameannonser (malvertising) har vært en økende trend dette året, og de siste tilfellene vi har observert har forsøkt å utnytte svakheter i sårbare Flash-installasjoner for å installere trojanere.

Gjennom en annonsedistributør, Zedo, ble det nylig vist en tilsynelatende normal annonse på en Facebook-applikasjon, opprinnelig fra 247mediadirect. Ved nærmere undersøkelse viste det seg at denne annonsen også inneholdt en iframe som pekte videre til en Flash-exploit. Under vises HTML-koden for annonsen som dukket opp hos brukeren:



Her ser vi at det i starten av koden vises et bilde med link, men like etter ser vi en iframe med størrelse 1x1 piksler. Denne iframe'en laster et obfuskert javaskript i bakgrunnen som sjekker hvilken versjon av Flash som er installert, og bruker dette for å videresende deg til en exploit som er skreddersydd for akkurat din nettleser.

Like etter at den skreddersydde exploiten blir lastet ned i bakgrunnen blir payloaden eksekvert, og en trojaner lastes ned og kjøres på systemet.

Disse exploitene er bekreftet å fungere på Windows XP SP2 med Flash 9.0.115 med Internet Explorer 7.0 og Firefox 2.0. Versjon 9.0.124 av Flash var ikke sårbar for dette angrepet.

Hva gjør den
Trojaneren som blir lastet ned og eksekvert på systemet har forholdsvis god antivirus-dekning (oppdaget av 25/33) og blir gjenkjent som Firu og Bohmini.A.

Når trojaneren kjøres kopieres den til \Windows\System32\06sf8UHq.exe (filnavnet er tilfeldig), og det legges til 24 nye oppgaver i "Scheduled Tasks" som gjør at trojaneren blir kjørt rutinemessig. Oppgavene som blir lagt til blir navngitt At1, At2, At3, ..., At24. Se under for eksempel:



Denne trojaneren forsøker også å kontakte følgende IP på port 80/tcp for å C&C-kommunikasjon:

194.126.193.157

Anbefalinger
Det anbefales å sjekke hvilken versjon av Flash man har installert, og sørge for at siste versjon er installert.

For å sjekke hvilken versjon av Flash du har installert kan du besøke denne siden.

Ellers anbefales det å blokkere all tilgang til 247mediadirect.com (202.75.35.72) samt blokkere/logge aktivitet mot 194.126.193.157 for å finne eventuelle infisert klienter.

torsdag 10. juli 2008

Identifisere SQL-injection angrep

Vi har den siste tiden fått en del forespørsler på hvordan den siste tidens SQL-injection angrep kan identifiseres og hvordan det hele foregår. Med denne posten håper jeg at noe av dette kan bli oppklart, samt komme med noen tips om noen verktøy som forhåpentligvis kan være nyttig for noen.

Angrep
SQL-injection angrepene vi nå ser tusenvis av i døgnet pleier å være på følgende form.

Vi kan her se at det forsøkes å sende med SQL-kode etter parameterverdien i HTTP-forespørselen. Angriperen håper her at parameteren som sendes inn ikke vaskes/valideres, slik at denne strengen blir en forlengelse av en eksisterende SQL-spørring. I et forsøk på å skjule den underliggende koden er deler av strengen obfuskert ved hjelp av en hex-streng. Dekodet blir denne strengen til følgende.

En detaljert beskrivelse av hva som skjer er tilgjengelig her hos sans.org. Resultatet er at alle felter for tekst, i samtlige tabeller hvor skriverettigheter er gitt, vil få injisert følgende streng:

Det betyr at alle felter som brukes under genereringen av nettsiden som sql brukeren hadde rettigheter til å skrive til, vil nå inneholde dette scriptet, og dermed videresende besøkende til den fiendtlige nettsiden.

Identifisere sider som blir angrepet
På Microsofts open source community codeplex er det blitt utviklet et verktøy som, ved å gå igjennom loggfiler på en IIS server, skal kunne finne sider på serveren som har vært utsatt for SQL-injection angrep. Resultatet blir skrevet til en CSV-fil, som skal kunne åpnes i Excel eller lignende. Verktøyet identifiserer kun sider som er blitt angrepet, men sier ingenting om angrepet var vellykket eller ikke.

Verktøyet er tilgjenglig her: SQLInjectionFinder.exe (1.5.0)

Finne SQL injection svakheter i ASP
Microsoft publiserte 24. juni et verktøy som ved statisk kodeanalyse skal være i stand til å identifisere SQL-injection svakheter i ASP sider. Hvordan det brukes, samt litt beskrivelse av hva de ulike resultatene betyr er tilgjengelig hos Microsoft support.

Verktøyet kan lastes ned her: Source Code Analyzer for SQL Injection

Dette verktøyet fungerer dessverre ikke på ASP.NET.

onsdag 9. juli 2008

Oppdateringer rundt SQL-injections

Da var det tid for en liten oppdatering rundt de pågående SQL-angrepene.

Når det gjelder Danmec/Asprox, så injectes det stadig nye domener som peker til samme flux-net. Vi ser også at antall kilder som utfører disse angrepene øker. Under vises en oversikt over antall unike kildeadresser som har angrepet nettsteder som er overvåket av våre systemer.



Totalt antall unike kildeadresser vi har observert i perioden 21. juni til 8. juli var 69202. Under vises en oversikt over hvilke land disse kommer fra (basert på whois-oppslag hos Team Cymru).




Endringer i angrep
Tidligere har Danmec/Asprox injectet script-tag'er med referanse til /b.js, men dette er nå endret og det refereres nå til /ngg.js istedet. Innføringen av det nye skriptet ble først observert 2. juli, og det har etter dette tilsynelatende kun blitt injectet ngg.js (NB: det finnes fortsatt referanser til /b.js på tidligere infiserte nettsteder, og dette skriptet er fremdeles aktivt!)

For de som måtte filtrere /b.js i web-proxyer bør det også nå filtreres på /ngg.js i tillegg.

Se under for eksempel på et infisert nettsted (dette nettstedet har blitt infisert flere ganger, både med b.js og ngg.js):



Med innføringen av ngg.js har også skriptet blitt utvidet til å sjekke brukerens språkvalg - og dersom språket er satt til, blant andre, russisk eller kinesisk, så vil ikke nettleseren bli forsøkt utnyttet.



Exploits
Dersom språket er satt til f.eks norsk eller engelsk kan det bli forsøkt utnyttet svakheter i følgende applikasjoner/tillegg (avhengig av nettleser):

Microsoft Data Access Components (MDAC) Function Code Execution (MS06-014)
AOL SB.SuperBuddy.1 - LinkSBIcons
QuickTime.QuickTime.4

Andre SQL-injections
I tillegg til Danmec/Asprox-aktiviteten ser vi også tilsvarende angrep hvor det forsøkes å spre andre typer trojanere. Dette er typisk passordstjelende trojanere som forsøker å stjele brukerkontoer for online-spill.

Angrepene mot nettstedene utføres på samme måte som Danmec/Asprox, men det dreier seg om langt færre kildeadresser, og det er heller ikke et større flux-net inne i bildet her.

Et av de typiske script-tag'ene som injectes refererer til /ri.js, og domenene som benyttes (www.loveqianlai.cn, www.maigol.cn, www.hiwowpp.cn, ...), resolver stort sett til samme ip-adresse:

60.31.177.179

Denne ip'en bør blokkeres.

Oppdatert domene-oversikt
Ellers kan vi også nevne at oversikten over domener som blir forsøkt injectet er oppdatert (vi oppdaterer denne mer eller mindre fortløpende):


Trykk på bildet for full oversikt

torsdag 26. juni 2008

En liten oppdatering på SQL-injections

Det er fremdeles mye aktivitet rundt SQL-injections, og det registreres stadig flere nye domener. De to siste dagene har vi sett følgende domener bli forsøkt injectet mot våre kunders webservere:

www.app52.com
www.appid37.com
www.apps84.com
www.asp707.com
www.aspssl63.com
www.aspx49.com
www.base48.com
www.batch29.com
www.bin963.com
www.bios47.com
www.bnradw.com
www.cid26.com
www.dbupdr.com
www.dl251.com
www.getbwd.com
www.hlpgetw.com
www.j8heihei.cn
www.j8j8hei.cn
www.lang34.com
www.pingadw.com
www.pingbnr.com
www.rid34.com
www.st212.com
www.tid62.com
www.update34.com
www.westpacsecuresite.com

Det er hovedsaklig Danmec/Asprox-nettet som står bak dette, men det er også innslag av andre "aktører". Den siste uken har vi sett angrep fra over 2000 unike kildeadresser per dag - og tallet er stigende.

Under følger en oppdatert oversikt over domener relatert til denne aktiviteten:


Trykk på bildet for full oversikt

Vi minner også om at Shadowserver forsøker å vedlikeholde en liste over disse domenene.

mandag 23. juni 2008

XP SecurityCenter - falskt antispyware-produkt

Vi ser at Danmec/Asprox-nettet nå, i tillegg til utsending av spam, blir benyttet til å spre et falskt sikkerhetsprodukt som går under navnet XP SecurityCenter. Slike produkter viser falske skanneresultater for å indikere at systemet er infisert. Brukeren blir deretter forsøkt lurt til å kjøpe "fullversjonen" av produktet for at truslene på systemet skal fjernes.



Distribuering
I praksis blir "installeren" til XP SecurityCenter distribuert gjennom Danmecs C&C-infrastruktur. Siste versjon av Danmec ser for øyeblikket ut til å være 435 og forsøker å kontakte C&C på en av følgende IP-adresser på port 80/tcp:

64.191.14.85
66.197.168.5
66.197.233.133
66.199.241.98
66.232.102.169
74.50.106.162
208.109.122.207
203.117.170.42
216.150.79.226

Mer info om Danmec/Asprox kan du finne i en våre tidligere poster.

Den eksekverbare filen som blir pushet fra Danmecs C&C blir detektert av 4/33 AV-produkter på VirusTotal. Nærmere kikk på denne filen viser at dette er Braviax/Virantix - en malware som er kjent for å distribuere nettopp denne typen falske sikkerhetsprodukter.

Hva gjør den?
Når Braviax/Virantix kjøres droppes det blant annet to filer, figaro.sys og braviax.exe.

figaro.sys er et kernel-mode rootkit som blir forsøkt installert ved å overskrive beep.sys. For å overskrive beep.sys, som i utgangspunktet er beskyttet av Windows File Protection (WFP), benytter den et udokumentert systemkall i sfc_os.dll (ordinal 5) for å "frigi" den beskyttede filen i ett minutt. Denne metoden for å omgå WFP er beskrevet nærmere her



Rootkit'et sørger blant annet for å terminere en rekke prosesser, deriblant flere AV-produkter, brannmurer, anti-spyware-produkter, samt konkurrende spyware-produkter. Dette gjør den ved å benytte PsSetLoadImageNotifyRoutine, som registrerer et "callback" til en vilkårlig funksjon som vil bli kalt når en eksekverbar fil lastes inn.



braviax.exe sørger derimot for å laste ned og installere XP SecurityCenter, samt disable Windows Firewall. XP SecurityCenter blir hentet fra www.softcashier.com:


www.softcashier.com. 60 IN A 216.195.56.82



Anbefalinger
Det anbefales å blokkere og logge aktivitet mot Danmecs C&C-servere, da aktivitet mot disse er en sterk indikasjon på infiserte systemer. I tillegg kan det også være ønskelig å blokkere tilgang til www.softcashier.com.

fredag 13. juni 2008

Litt statistikk rundt SQL-injections

De siste ukene har det som kjent vært en del aktivitet rundt SQL-injections, og det ser ikke ut til at dette forsvinner med det første.

På TSOC følger vi med på angrep mot våre kunders webservere, og holder også oversikt over nye domener/skripts som blir forsøkt injectet.

Under viser vi en oversikt over domener vi har sett i forbindelse med disse angrepene. Oversikten viser hvilken tidsperiode hvert enkelt domene har blitt forsøkt injectet mot potensielt sårbare nettsteder.



Trykk på bildet for full størrelse

Det er spesielt èn type domener som skiller seg ut i denne oversikten - blant andre rundll92.com, redir94.com, adw95.com, tag58.com, cookieadw.com, adsitelo.com. Som nevnt tidligere ligger det et større flux-nettverk bak disse domenene. Domenene blir forsøkt injected i bulk i en ukes periode, før nye domener injectes (sannsynligvis pga at domenene blir stengt ned kort tid etter at de blir kjent).

Dessverre er det fremdeles en del norske nettsteder som er sårbare for disse angrepene.

torsdag 5. juni 2008

MSN-orm

Idag har vi sett en del aktivitet rundt en orm som forsøker å spre seg gjennom blant annet MSN-meldinger. Denne ormen sendte ut meldinger til samtlige på kontaktlisten i MSN Messenger, med en link til en side på video.stream.idoo.com (som i realiteten er en eksekverbar fil).

Hva skjer hvis man trykker på linken?
Dersom man velger å trykke på linken og kjøre den eksekverbare filen som blir lastet ned, så vil maskinen bli koblet opp mot et IRC-basert botnet, hvor den vil få videre beskjed om å starte å sende den samme typen meldinger til alle i kontaktlisten. I tillegg vil den også legge seg til i registeret under HKLM\Software\Microsoft\Windows\CurrentVersion\Run med nøkkelen "Windows Messanger Control Center", slik at den vil starte automatisk ved neste reboot.



IRC C&C kontaktes på love.mydyn.net, port 9500/tcp.



love.mydyn.net har tidligere idag resolvet til 83.150.32.6, og har ut mot kvelden blitt tatt ned. I skrivende stund resolver dette domenet til 62.75.222.198, som fremdeles mottar oppkoblinger på port 9500/tcp.

Anbefalinger
Det anbefales å blokkere tilgang til video.stream.idoo.com, samt de to IP-adressene love.mydyn.net har resolvet til idag.
Det kan nok også vært lurt å følge litt med på love.mydyn.net da denne DNS-recorden har en veldig lav TTL, og kan derfor plutselig bytte IP-adresse.

Populær kodebase
Denne typen IRC-bot'er har vært rundt en god stund, og er forholdsvis enkle å oppdage i et nettverk. Til tross for det ser det ut til at ganske mange holder seg til denne typen bot'er - sannsynligvis på grunn av at kildekoden er forholdsvis lett tilgjengelig, og den er relativt enkel å tilpasse. Det ser også ut til at det er en aktiv utvikling på denne koden (nye exploits legges til, flere spredningsvektorer, som f.eks IM, osv).

Vi har sett litt nærmere på denne ormen, for å se om vi kunne finne noe interessant.

For det første er denne ormen pakket i en packer som er skrevet i Visual Basic, og har noen enkle anti-debug-triks som å sjekke om typiske analyse-verktøy som ollydbg, procmon, regmon og filemon kjører. I tillegg sjekker den for typiske skjermkort-drivere som brukes i virtuelle miljøer som VMware og VirtualBox.

Når det kommer til selve bot-koden, så var det litt interessant å se hvordan den sendte MSN-meldinger i praksis. Her viser det seg at meldinger som skal sendes kopieres først til clipboard, for deretter å sende Ctrl-V (paste) og Enter til de riktige vinduene i etterkant.



En annen interessant sak med denne, er at den har mulighet til å spre seg gjennom USB-minnepinner og andre eksterne diskenheter. Måten den gjør dette på er å sjekke, hvert 10. sekund, etter disker som er identifisert som "removable drive" (untatt A: og B:). For hver disk opprettes det en spesiell systemmappe, "Recycler", hvor filen autorunme.exe legges. Deretter opprettes det autorun.inf, som gjør at denne filen vil bli automatisk eksekvert når disken/minnepinnen settes i PC'en (med standard konfigurert Windows XP).


mandag 26. mai 2008

Danmec og SQL-injections

Vi ser fremdeles mye aktivitet rundt mass SQL-injections, og det er tilsynelatende flere grupper som er med på denne bølgen.

Vi har tidligere sett at gjengen bak Zlob har benyttet denne teknikken for spre sin malware, og ikke minst har kinesiske "hacktivister" forsøkt å spre passordstjelende trojanere på denne måten (hovedsaklig rettet mot online-spill som World of Warcraft, ol).

Den siste uken har det tilsynelatende vært en tredje aktør inne i bildet som forsøker å spre en malware med navnet "Danmec".

De første variantene av Danmec ble visstnok oppdaget i slutten av 2005, og dette har vært en forholdsvis ukjent malware. Danmec har utviklet seg siden den gang, og har nå fått en del oppmerksomhet i det siste på grunn av nettopp måten den benytter SQL-injections for å spre seg videre. Det må forøvrig nevnes at selve SQL-angrepene utføres av et verktøy som blir pushet til en Danmec-infisert klient etter den "initielle infiseringen". SecureWorks har en god writeup på denne saken.

Vi har sett litt nærmere på Danmec, og her er noen av våre erfaringer:

Distribuering
Vi ser Danmec bli distribuert via kompromitterte nettsteder som inneholder script-tags, hvor src i skrivende stund hovedsaklig er:

www.adw95.com/b.js
www.banner82.com/b.js

Disse domene er fast-flux og har mange dns-records med korte TTL-verdier - noe som gjør det veldig vanskelig å ta ned.

Skriptet, b.js, inneholder kode som redirecter klienten til en ny side som inneholder en nyere versjon av Neosploit (en exploit-pakke med exploits for blant annet QuickTime, SuperBuddy, GomWebCtrl, CA BrightStor ArcServe Backup)

Hva gjør den?
Danmec installerer seg selv som en Service i Windows, og vil bli automatisk startet ved reboot. Denne servicen vil dukke opp som "Microsoft ASPI Manager" under Control Panel ->
Administrative Tools -> Services. Selve filen vil ligge under <WinDir>\system32\aspimgr.exe.



Ved oppstart så vil Danmec kontakte en av dens C&C-servere, som forøvrig er hardkodede IP-adresser i binaryen, og motta en obfuskert konfigurasjonsfil.

Adressene som var hardkodet i denne varianten var som følger:

66.199.241.98
82.103.140.75
72.21.63.114
66.232.102.169
66.197.168.5
203.117.175.124

Denne ip-listen ble skrevet til <WinDir>\s32.txt. Danmec vil også skrive versjonsinformasjon til <WinDir>\ws386.ini.

Alle konfigfilene som denne trojaneren benytter blir obfuskert ved å XOR'e alle bytene med 0x1B:



Etter at konfig ble hentet fra en av hostene over, ble s32.txt overskrevet med oppdatert ipliste fra konfig:

203.117.175.124
216.150.79.226
66.197.168.5
66.199.241.98
66.232.102.169

I tillegg til disse ip-adressene inneholder også konfigurasjonsfilen blant annet spam-template, liste over e-post-adresser og navn.

Spam'en som blir sendt ut gjennom dette botnettet ser ut til å være hovedsaklig phishing og "software scams". Se under for eksempel.





Litt interessant er det også at Danmec oppretter en tråd som lytter på port 80/tcp med proxyfunksjonalitet. Sannsynligvis kan dette brukes ifb med fast-flux og hosting av phishing-sites.

Anbefalinger
Det anbefales å blackliste www.adw95.com og www.banner82.com i DNS-servere og proxyer.

I tillegg vil vi anbefale å blokkere og logge all aktivitet mot C&C-serverne til Danmec:

66.199.241.98
82.103.140.75
72.21.63.114
66.232.102.169
66.197.168.5
203.117.175.124

mandag 19. mai 2008

SQL-injections fortsetter

Det oppdages stadig flere og flere kompromitterte nettsteder om dagen, som følge av alle SQL-injections. Dessverre er det også en del norske nettsteder som blir kompromittert og redirecter brukere til siter som inneholder exploitkode.

Denne helga har vi blant annet sett følgende nye domener hoste ondsinnet kode:

hxxp://www.qiqigm.com
hxxp://www.qiuxuegm.com



Disse angrepene antas å være automatisert ved hjelp av et verktøy som benytter Google i første steg for å finne potensielt sårbare webapplikasjoner, og deretter forsøke å utnytte disse. ISC har en egen sak på dette her.

De siste dagene har vi sett denne typen aktivitet fra følgende hoster:


58.215.65.253 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
59.188.0.101 | HK | NWT-AS-AP AS number for New World Telephone Ltd.
61.152.245.41 | CN | CHINANET-SH-AP China Telecom (Group)
74.86.88.108 | US | SOFTLAYER - SoftLayer Technologies Inc.
117.22.93.78 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
125.123.25.1 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
203.186.54.26 | HK | CTIHK-AS-AP City Telecom (H.K.) Ltd.
205.209.175.4 | US | ASN-NA-MSG-01 - Managed Solutions Group, Inc.
221.130.185.24 | CN | CMNET-V4SHANGHAI-AS-AP Shanghai Mobile Communications Co.,Ltd.
221.206.20.143 | CN | CHINA169-BACKBONE CNCGROUP China169 Backbone
222.191.251.232 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
222.90.113.53 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
222.91.169.64 | CN | CHINANET-BACKBONE No.31,Jin-rong Street



En annen interessant sak er at i tillegg til at de fleste adressene tilhører Kina, så vil også denne koden, som oftest, ikke angripe brukere som har språket satt til kinesisk.



Vi har forøvrig også sett tilfeller hvor kinesiske brukere får andre typer exploits og malware mot seg, kontra ikke-kinesiske brukere.

Det anbefales å blokkere følgende adresser i brannmur/proxy:

www.qiuxuegm.com. 1800 IN A 60.169.3.130
www.qiqigm.com. 1800 IN A 221.206.20.143

mandag 12. mai 2008

Zlob mass SQL-injections

Det har i den siste tiden vært flere "mass SQL injection"-angrep som utnytter sårbare webapplikasjoner (phpbb, mambo, osv). Og sist denne helga har vi sett at flere hundre tusen nettsteder har blitt kompromittert og fått lagt inn ondsinnet kode - og denne gangen er det tilsynelatende gjengen bak Zlob som står bak.

Kodesnutten som blir lagt inn på de kompromitterte nettstedene laster xprmn4u.info/f.js eller free.hostpinoy.info/f.js. Disse skriptene redirecter brukeren til hxxp://freedd.albhost.info/go.php?sid=1, som via flere redirects, til slutt forsøker å lure brukeren til å laste ned hxxp://codecmega.com/download/codecmega4254.exe (eller hxxp://codecmega.com/download/codecmega1000.dmg hvis man bruker Safari/Mac), ved å vise følgende nettside:



xprmn4u.info. 14400 IN A 217.199.217.9
freedd.albhost.info. 86400 IN A 209.51.196.252
free.hostpinoy.info. 86400 IN A 209.51.196.254
codecmega.com. 86400 IN A 64.28.184.188

AS | IP | CC | AS Name
34221 | 217.199.217.9 | RU | QL-AS JSC QUICKLINE Autonomous System
10297 | 209.51.196.252 | US | COLUMBUSNAP - The Columbus Network Access Point, Inc.
10297 | 209.51.196.254 | US | COLUMBUSNAP - The Columbus Network Access Point, Inc.
27595 | 64.28.184.188 | US | INTERCAGE - InterCage, Inc.

 
>