Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

søndag 28. september 2008

Økning i angrep mot Acrobat Reader

De siste ukene har vi sett en økning i antall angrep som forsøker å utnytte en kjent sårbarhet i Adobe Acrobat og Adobe Acrobat Reader versjon 8.1.1 og tidligere.

Svakheten ligger i en funksjon som heter Collab.collectEmailInfo() og kan misbrukes ved å legge ondsinnet javascript-kode i PDF-dokumentet. Dersom en bruker åpner et slikt PDF-dokument med en sårbar versjon av Acrobat Reader, enten ved å åpne dokumentet manuelt eller ved at nettleseren åpner dokumentet automatisk vha plugin/extension til nettleseren, eksekveres ondsinnet kode som typisk laster ned og kjører trojanere.

Siste versjon av Adobe Acrobat og Adobe Acrobat Reader, versjon 8.1.2, er ikke sårbar for dette angrepet.

For mer teknisk info og analyse av exploits i PDF-dokumenter, se Analysing malicious PDF documents and shellcode på bloggen til Norwegian Honeynet Project.

El Fiesta
Noe av grunnen til at vi (og flere) har sett denne økningen av PDF-exploits er på grunn av at populære exploit toolkits nå har fått inkludert kode som utnytter nettopp denne svakheten.

I de fleste tilfellene vi har sett har brukeren blitt utsatt for exploits fra "El Fiesta"-toolkit'et.



Dette toolkit'et har en rekke exploits tilgjengelig, og brukeren kan bli utsatt for exploits rettet mot følgende produkter/svakheter:

MDAC (MS06-014)
Snapshot Viewer (MS08-041)
Sina DLoader
Acrobat PDF
WebViewFolderIcon (MS06-057)
Msdss.dll (MS05-052)
Creative Software AutoUpdate Engine
Microsoft Works Image Server (WkImgSrv.dll)
Ourgame 'GLIEDown2.dll'
CA BrightStor ARCserve Backup (AddColumn)
SuperBuddy
GomWebCtrl
Msxml2.XMLHTTP (MS06-071)
QuickTime
RealPlayer
NCTsoft Control
DirectAnimation PathControl

Bildet over viser en statistikk-side for "El Fiesta"-installasjonen.
Litt interessant er det å finne "NO" på topp 10-listen over antall besøk. Statistikken viser også at nesten èn av ti brukere fra Norge som blir utsatt for angrepene blir infisert.

Hva skjer ved et vellykket angrep?

Dersom brukeren er sårbar for noen av angrepene over blir det i dette tilfellet lastet ned og eksekvert en variant av Zbot-trojaneren (også kjent som Prg/Wsnpoem). Zbot er en trojaner som er designet til å stjele bankinformasjon og generelt sensitive data som brukernavn/passord fra kjente nettsteder som MySpace, osv.

Tidligere har denne typen trojanere blitt spredt hovedsaklig gjennom e-post med vedlegg (spam relatert til UPS, eTickets, mm).

Skuffende antivirus-dekning
Dessverre har det blitt svært vanskelig for AV-industrien å holde følge med det økende antall malware som spres. Resultat fra VirusTotal viser at kun 1/36 AV-produkter detekterer trojaneren som mistenkelig:



Tekniske detaljer
Følgende domener/ip'er er involvert i angrepet:

masonfl.com (208.179.82.130, TIERZERO-AS11509 - Tierzero, US)
gendistr.org.uk (91.142.64.87, OnePacket Networks Inc., NL)
domain15.net (193.27.246.240, DANKON-AS Dankon Ltd., RU)
domain6.org (193.27.246.240, DANKON-AS Dankon Ltd., RU)
domain12.net (193.27.246.239, DANKON-AS Dankon Ltd., RU)
domain20.net (193.27.246.239, DANKON-AS Dankon Ltd., RU)

masonfl.com er domenet som blir lagt inn på kompromitterte nettsteder. Denne redirecter brukeren videre til gendistr.org.uk som igjen redirecter brukeren til domain15.net.

domain15.net hoster exploits og trojaner, og trojaneren kontakter domain6.org, domain20.net og domain12.net for oppdatering, rapportering og mottak av konfigurasjon.

masonfl.com, gendistr.org.uk og domain15.net er gode kandidater for blokkering i brannmur og/eller proxy, og det anbefales å logge og blokkere trafikk mot domain6.org, domain12.net og domain20.net for å finne eventuelle infiserte klienter.

onsdag 10. september 2008

Oppdatering rundt Virtumonde

I forbindelse med malvertising-hendelsen for drøyt to uker siden har vi holdt et ekstra øye med Virtumonde-trojaneren.

Blant annet er det verdt å merke seg at domenene relatert til trojaneren har endret ip-adresser:

x1.usawindowsupdates.com, som tidligere resolvet til 85.17.143.213, resolver nå til 82.192.87.21.
x1.mswindowsupdates.com, som tidligere resolvet til 82.98.193.167, resolver nå til 82.192.87.25.

Vi har også sett varianter av trojaneren som går mot x1.statssystem.com (denne resolver også til 82.192.87.21)

Virtumonde-trojaneren blir hovedsaklig benyttet til å vise popup-annonser på de infiserte klientene. Informasjon om hvilke annonser den skal vise mottas fra C&C - x1.usawindowsupdates.com, x1.mswindowsupdates.com, x1.statssystem.com - over port 80/tcp.

Kontroll over infiserte klienter
I tillegg til å sende 'popup'-kommandoer har også bakmennene mulighet til å laste opp og eksekvere hvilken som helst fil på de infiserte klientene. Dette gir i praksis bakmennene full kontroll over de infiserte PC'ene.



Er du infisert?
Denne varianten av trojaneren installerer seg på systemet ved blant annet å droppe en fil under \Windows\System32-katalogen ved navn __c00?????.dat, hvor ????? er en tilfeldige hex-verdi.
Dersom du er i tvil om PC'en din er infisert av akkurat denne trojaneren kan du sjekke om en slik fil finnes på systemet (f.eks: "dir c:\windows\system32\__c*"). Dersom det dukker opp flere filer med samme mønster, __c00?????, kan dette tyde på at trojaneren har mottatt instruksjoner om å laste ned og eksekvere andre filer.

 
>