Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 26. juni 2008

En liten oppdatering på SQL-injections

Det er fremdeles mye aktivitet rundt SQL-injections, og det registreres stadig flere nye domener. De to siste dagene har vi sett følgende domener bli forsøkt injectet mot våre kunders webservere:

www.app52.com
www.appid37.com
www.apps84.com
www.asp707.com
www.aspssl63.com
www.aspx49.com
www.base48.com
www.batch29.com
www.bin963.com
www.bios47.com
www.bnradw.com
www.cid26.com
www.dbupdr.com
www.dl251.com
www.getbwd.com
www.hlpgetw.com
www.j8heihei.cn
www.j8j8hei.cn
www.lang34.com
www.pingadw.com
www.pingbnr.com
www.rid34.com
www.st212.com
www.tid62.com
www.update34.com
www.westpacsecuresite.com

Det er hovedsaklig Danmec/Asprox-nettet som står bak dette, men det er også innslag av andre "aktører". Den siste uken har vi sett angrep fra over 2000 unike kildeadresser per dag - og tallet er stigende.

Under følger en oppdatert oversikt over domener relatert til denne aktiviteten:


Trykk på bildet for full oversikt

Vi minner også om at Shadowserver forsøker å vedlikeholde en liste over disse domenene.

mandag 23. juni 2008

XP SecurityCenter - falskt antispyware-produkt

Vi ser at Danmec/Asprox-nettet nå, i tillegg til utsending av spam, blir benyttet til å spre et falskt sikkerhetsprodukt som går under navnet XP SecurityCenter. Slike produkter viser falske skanneresultater for å indikere at systemet er infisert. Brukeren blir deretter forsøkt lurt til å kjøpe "fullversjonen" av produktet for at truslene på systemet skal fjernes.



Distribuering
I praksis blir "installeren" til XP SecurityCenter distribuert gjennom Danmecs C&C-infrastruktur. Siste versjon av Danmec ser for øyeblikket ut til å være 435 og forsøker å kontakte C&C på en av følgende IP-adresser på port 80/tcp:

64.191.14.85
66.197.168.5
66.197.233.133
66.199.241.98
66.232.102.169
74.50.106.162
208.109.122.207
203.117.170.42
216.150.79.226

Mer info om Danmec/Asprox kan du finne i en våre tidligere poster.

Den eksekverbare filen som blir pushet fra Danmecs C&C blir detektert av 4/33 AV-produkter på VirusTotal. Nærmere kikk på denne filen viser at dette er Braviax/Virantix - en malware som er kjent for å distribuere nettopp denne typen falske sikkerhetsprodukter.

Hva gjør den?
Når Braviax/Virantix kjøres droppes det blant annet to filer, figaro.sys og braviax.exe.

figaro.sys er et kernel-mode rootkit som blir forsøkt installert ved å overskrive beep.sys. For å overskrive beep.sys, som i utgangspunktet er beskyttet av Windows File Protection (WFP), benytter den et udokumentert systemkall i sfc_os.dll (ordinal 5) for å "frigi" den beskyttede filen i ett minutt. Denne metoden for å omgå WFP er beskrevet nærmere her



Rootkit'et sørger blant annet for å terminere en rekke prosesser, deriblant flere AV-produkter, brannmurer, anti-spyware-produkter, samt konkurrende spyware-produkter. Dette gjør den ved å benytte PsSetLoadImageNotifyRoutine, som registrerer et "callback" til en vilkårlig funksjon som vil bli kalt når en eksekverbar fil lastes inn.



braviax.exe sørger derimot for å laste ned og installere XP SecurityCenter, samt disable Windows Firewall. XP SecurityCenter blir hentet fra www.softcashier.com:


www.softcashier.com. 60 IN A 216.195.56.82



Anbefalinger
Det anbefales å blokkere og logge aktivitet mot Danmecs C&C-servere, da aktivitet mot disse er en sterk indikasjon på infiserte systemer. I tillegg kan det også være ønskelig å blokkere tilgang til www.softcashier.com.

fredag 13. juni 2008

Litt statistikk rundt SQL-injections

De siste ukene har det som kjent vært en del aktivitet rundt SQL-injections, og det ser ikke ut til at dette forsvinner med det første.

På TSOC følger vi med på angrep mot våre kunders webservere, og holder også oversikt over nye domener/skripts som blir forsøkt injectet.

Under viser vi en oversikt over domener vi har sett i forbindelse med disse angrepene. Oversikten viser hvilken tidsperiode hvert enkelt domene har blitt forsøkt injectet mot potensielt sårbare nettsteder.



Trykk på bildet for full størrelse

Det er spesielt èn type domener som skiller seg ut i denne oversikten - blant andre rundll92.com, redir94.com, adw95.com, tag58.com, cookieadw.com, adsitelo.com. Som nevnt tidligere ligger det et større flux-nettverk bak disse domenene. Domenene blir forsøkt injected i bulk i en ukes periode, før nye domener injectes (sannsynligvis pga at domenene blir stengt ned kort tid etter at de blir kjent).

Dessverre er det fremdeles en del norske nettsteder som er sårbare for disse angrepene.

torsdag 5. juni 2008

MSN-orm

Idag har vi sett en del aktivitet rundt en orm som forsøker å spre seg gjennom blant annet MSN-meldinger. Denne ormen sendte ut meldinger til samtlige på kontaktlisten i MSN Messenger, med en link til en side på video.stream.idoo.com (som i realiteten er en eksekverbar fil).

Hva skjer hvis man trykker på linken?
Dersom man velger å trykke på linken og kjøre den eksekverbare filen som blir lastet ned, så vil maskinen bli koblet opp mot et IRC-basert botnet, hvor den vil få videre beskjed om å starte å sende den samme typen meldinger til alle i kontaktlisten. I tillegg vil den også legge seg til i registeret under HKLM\Software\Microsoft\Windows\CurrentVersion\Run med nøkkelen "Windows Messanger Control Center", slik at den vil starte automatisk ved neste reboot.



IRC C&C kontaktes på love.mydyn.net, port 9500/tcp.



love.mydyn.net har tidligere idag resolvet til 83.150.32.6, og har ut mot kvelden blitt tatt ned. I skrivende stund resolver dette domenet til 62.75.222.198, som fremdeles mottar oppkoblinger på port 9500/tcp.

Anbefalinger
Det anbefales å blokkere tilgang til video.stream.idoo.com, samt de to IP-adressene love.mydyn.net har resolvet til idag.
Det kan nok også vært lurt å følge litt med på love.mydyn.net da denne DNS-recorden har en veldig lav TTL, og kan derfor plutselig bytte IP-adresse.

Populær kodebase
Denne typen IRC-bot'er har vært rundt en god stund, og er forholdsvis enkle å oppdage i et nettverk. Til tross for det ser det ut til at ganske mange holder seg til denne typen bot'er - sannsynligvis på grunn av at kildekoden er forholdsvis lett tilgjengelig, og den er relativt enkel å tilpasse. Det ser også ut til at det er en aktiv utvikling på denne koden (nye exploits legges til, flere spredningsvektorer, som f.eks IM, osv).

Vi har sett litt nærmere på denne ormen, for å se om vi kunne finne noe interessant.

For det første er denne ormen pakket i en packer som er skrevet i Visual Basic, og har noen enkle anti-debug-triks som å sjekke om typiske analyse-verktøy som ollydbg, procmon, regmon og filemon kjører. I tillegg sjekker den for typiske skjermkort-drivere som brukes i virtuelle miljøer som VMware og VirtualBox.

Når det kommer til selve bot-koden, så var det litt interessant å se hvordan den sendte MSN-meldinger i praksis. Her viser det seg at meldinger som skal sendes kopieres først til clipboard, for deretter å sende Ctrl-V (paste) og Enter til de riktige vinduene i etterkant.



En annen interessant sak med denne, er at den har mulighet til å spre seg gjennom USB-minnepinner og andre eksterne diskenheter. Måten den gjør dette på er å sjekke, hvert 10. sekund, etter disker som er identifisert som "removable drive" (untatt A: og B:). For hver disk opprettes det en spesiell systemmappe, "Recycler", hvor filen autorunme.exe legges. Deretter opprettes det autorun.inf, som gjør at denne filen vil bli automatisk eksekvert når disken/minnepinnen settes i PC'en (med standard konfigurert Windows XP).


 
>