Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

søndag 26. april 2009

ZlKon og malware

ZlKon.lv har ofte dukket opp under analyser av drive-by-exploits og forskjellige C&C-servere (blant annet for bank-trojanere og spambots). FireEye har en bra bloggpost om aktivitet som har pågått (og som forsåvidt fortsatt pågår..) på dette nettet.

ZlKon har et forholdsvis lite nett, 94.247.2.0/23, som er hostet av "Datoru Express Serviss" (AS 12553) i Latvia. Til tross for et beskjedent nett er det en del ting som foregår her.

Spesielt de siste 5 ukene har vi sett en økning av drive-by-exploits som ender opp på 94.247.3.151, via en redirect på 94.247.3.150. Passiv DNS avslører en rekke domener som registrert på disse to adressene:

BFK Passive DNS - 94.247.3.150
BFK Passive DNS - 94.247.3.151

Kompromitterte nettsteder inneholder typisk en skjult IFRAME rett etter BODY-tag'en, som vist under:



Denne IFRAME'en redirecter så til et domene som resolver til 94.247.3.151, og som hoster selve exploit-kit'et. Det er også fra denne IP-adressen selve malwaren distribueres.

Applikasjoner som blir forsøkt utnyttet er blant annet Adobe Acrobat Reader og Adobe Flash, samt eldre svakheter i Internet Explorer.



Automatisert analyse av malware
På TSOC gjør vi fortløpende analyser av eksekverbare filer som lastes ned som følge av vellykkede exploits og eventuelle "malware-oppdateringer". En av metodene som benyttes er skanning av filer med et utvalg antivirus-produkter. Dette utvalget består idag av produkter fra 11 AV-leverandører vi mener er best representert hos norske bedrifter. I tillegg benyttes også teknikker som dynamisk sandbox-analyse, samt blacklisting på IP-nivå.

Under vises statistikk over IP-adressene vi har observert flest nedlastinger av PE-filer (.exe/.dll/.sys-filer) fra ZlKon.lv, i perioden januar 2009 og frem til idag:



Dessverre er det begrenset deteksjon basert kun på antivirus-skanninger. I denne perioden har 36% av de nedlastede filene fra ZlKon.lv unngått deteksjon av AV-produktene som benyttes i vår løsning. Bildet under viser også at av de resterende 64% av de nedlastede filene, er det forholdsvis få produkter som detekterer disse.



Dette er forøvrig en uhøytidelig statistikk, og på ingen måte utført som en seriøs test av antivirus-produkter. Men vi mener likevel denne gir en grei pekepinn på hvor godt denne typen produkter fungerer i praksis, og ikke minst understreker viktigheten av å ha flere uavhengige systemer for deteksjon av denne typen aktivitet.

Til slutt tar vi med en oversikt over hva antivirus-produktene sier om filene fra ZlKon.lv. På grunn av ulik navngivning fra forskjellige AV-leverandører, er det vanskelig å få et entydig bilde av hva slags malware det er snakk om. Her er uansett er forsøk, implementert som en "tag cloud":



Anbefalinger
Vi anbefaler å blokkere ZlKon 94.247.2.0/23 i brannmurer, og selvsagt sørge for at siste sikkerhetsoppdateringer er installert (spesielt mtp utsatte produkter fra Adobe).

 
>