Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

lørdag 6. desember 2008

Drive-by, USB og MS08-067

Tidligere denne uka kom vi over en litt interessant malware som blant annet inneholder exploit-kode for å utnytte MS08-067-svakheten.

Trojaneren ble i dette tilfellet levert gjennom et "drive-by"-angrep fra følgende nettsted:

121.10.107.233 - vip.som4.cn

Angrepet forsøkte å utnytte en godt kjent sårbarhet i Adobe Flash, og en vellykket utnyttelse av denne svakheten fører til nedlasting og eksekvering av trojaner fra:

121.10.107.233 - www.google.com.50nb.com

Dersom trojaneren blir eksekvert forsøker den å kontakte følgende nettsteder (C&C) over port 80/tcp:

121.10.108.118 - count.realuu.com
121.10.107.233 - txt.50nb.com

Her vil trojaneren melde tilbake og motta instruksjoner om å laste ned og eksekvere flere filer - i dette tilfellet ca 40 eksekverbare filer.

Terminering av antivirus-produkter
Trojaneren forsøker å hindre eventuelle antivirus-produkter å starte, og et av triksene som benyttes her er å sette Debugger-verdien for AV-produktene i "Image File Execution Options" til "svchost.exe". Normalt benyttes Debugger-opsjonen for å automatisk koble en debugger til et program når det startes (ironisk nok er dette også et triks som benyttes under analyse av enkelte typer malware..). Ved å sette "debuggeren" til svchost.exe gjør at programmet (AV-produktene) i praksis ikke vil starte.



I tillegg droppes det en dll-fil (appwinproc.dll) som ser etter strenger som "McAfee", "NOD32", samt noen kinesiske strenger, i vindustitlene - og dersom noen av disse blir funnet vil applikasjonen bli terminert.

Trojaneren oppdaterer også HOSTS-fila slik at en rekke antivirus-relaterte nettsteder ikke lenger vil være tilgjengelig fra den infiserte PC'en.

Det blir også droppet et rootkit som skjuler prosessen fra programmer som Windows Task Manager og Process Explorer.

Spredningsvektorer
Hvert 10. sekund blir det lagret en kopi av trojaneren på samtlige disker, unntatt A: og B:, som system.dll. I tillegg blir det opprettet en autorun.inf-fil som sørger for at trojaneren blir eksekvert når en infisert USB-disk eller minnepinne settes inn i en Windows-PC som ikke har slått av autoplay-funksjonen.



Som nevnt innledningsvis inneholder trojaneren kode for å spre seg ved hjelp av MS08-067-svakheten. Dette har blitt implementert ved å kompilere en tidligere publisert PoC-kode til en dll-fil som droppes av trojaneren. Shellkoden som benyttes i PoC'en er designet til å åpne et shell på port 4444/tcp, og dette er uendret for trojaneren. Angrepet var forøvrig ikke vellykket mot en engelsk Windows XP SP2-installasjon.



Litt interessant er måten trojaneren blir overført gjennom shellet. Her bygges det opp et lengre sett med kommandoer som i praksis overfører byte for byte ved hjelp av hex-strenger, og som til slutt benytter debug.exe for å konvertere disse tilbake til binær-kode.



Anbefalinger
Det anbefales å blokkere trafikk mot følgende adresser:

121.10.107.233
121.10.108.118

Trafikk mot sistnevnte adresse bør også logges da aktivitet mot denne indikerer infisert PC.

Vi oppfordrer selvsagt alle om å sørge for at de siste sikkerhetsoppdateringene fra Microsoft er installert.

I tillegg vil vi også minne om at utsatte applikasjoner som Adobe Flash (og forøvrig Adobe Acrobat Reader) bør oppdateres til siste versjon.

Erfaringer fra TSOC viser at det er utnyttelse av disse applikasjonene som i hovedsak har ført til "drive-by"-kompromitteringer den siste tiden.

 
>