Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 22. september 2009

Koobface benytter exploits

I tillegg til de vanlige falske Flash-oppdateringene, har vi nå observert at bakmennene bak Koobface benytter exploits for å spre denne ormen.

De ferskeste linkene til Koobface har også en oppdatert side som skal lure brukere til å installere en falsk oppdatering av Flash. Tittelen på de nye sidene er "Video posted by * SpyCam *", og ser slik ut:



Dessverre har vi i det siste døgnet også sett tilfeller hvor brukere blir automatisk redirigert til sider som inneholder exploit-kode som forsøker å utnytte flere kjente svakheter på brukerens PC. Dette er en ny utvikling fra banden bak Koobface, som tidligere bare har benyttet seg av social engineering for å lure brukere til å installere ormen.



Siden inneholder et obfuskert javaskript som fyrer av fem exploits:



Exploitene som forsøkes er:

  • MS06-014 Microsoft Data Access Components Exploit
  • MS08-041 Microsoft Access Snapshot Viewer Exploit
  • MS08-078 Internet Explorer XML Memory Corruption Exploit
  • CVE-2008-2992/CVE-2007-5659 Adobe Acrobat PDF Exploits (printf, collectEmailInfo)
  • MS09-002 Internet Explorer 7 Uninitialized Memory Corruption Exploit

Kort om Koobface

For fjorten dager siden postet vi en presentasjon rundt falske sikkerhetsprodukter på bloggen. I dag poster vi en tilsvarende presentasjon rundt ormen Koobface, som har spredd seg via sosiale nettverk som Facebook og Twitter i snart ett år.

Disse to typene malware er blant de største truslene mot norske nettbrukere akkurat nå. Koobface vil også installere falske sikkerhetsprodukter på PCer den klarer å infisere.

Presentasjonen inneholder følgende:

  • Fakta og historikk rundt Koobface.
  • Hvordan oppdage at ormen prøver å infisere deg på et sosialt nettverk.
  • Hvordan unngå å bli infisert.
  • Hva skjer dersom PCen først blir infisert og hva en kan gjøre med det.
Trykk på hvert enkelt bilde under for å få det i større format, eller hent ned hele presentasjonen i PDF-format her.

Vi håper at en gjennomgang av dette på norsk kan brukes til å få større oppmerksomhet rundt denne typen malware. Bedrifter o.l. står fritt til å bruke presentasjonen til intern opplæring.

Online-redaksjonen har laget en versjon av presentasjonen for privatmarkedet.






mandag 7. september 2009

Kort om falske sikkerhetsprodukter

De siste ukene har aktiviteten rundt falske sikkerhetsprodukter (scareware) igjen tatt seg kraftig opp. Vi har laget en presentasjon som omhandler denne typen malware. Presentasjonen viser kort følgende:

  • Hvordan en bruker kan bli lurt til en web-side som prøver å lure vedkommende til å installere falsk anti-virus.
  • Hva falsk AV gjør med PCen til offeret.
  • Hva en bør gjøre hvis en blir forsøkt lurt til å installere et falsk AV-produkt eller kommer i skade for faktisk å installere det.
Trykk på hvert enkelt bilde under for å få det i større format, eller hent ned hele presentasjonen i PDF-format her.

Telenor Online har også postet om falsk antivirus.

Vi håper at en gjennomgang av dette på norsk kan brukes til å få større oppmerksomhet rundt denne typen malware. Bedrifter o.l. står fritt til å bruke presentasjonen til intern opplæring.









tirsdag 1. september 2009

Hvorfor UTM ikke fungerer slik brosjyrene lover

Det blir mer og mer vanlig at bedrifter bruker en multi-funksjons-brannmur (UTM) for å beskytte bedriftens interne nett mot malware fra Internett.

På TSOC analyserer vi mye nettverkstrafikk og ser derfor mange angrep av forskjellige slag hver dag. En del av analysen av et angrep er å finne ut hvor det stammer fra og hva det gjør. Vi analyserer også exe-filer med 11 forskjellige anti-virus-løsninger og i en sandkasse (CWSandbox). Til slutt ser vi at angrepet ofte ender med at den uheldige brukerens maskin henter ned en malware-fil fra en adresse på Internett.

Vi på TSOC har i sommer kjørt en del tester der vi har prøvd å besøke malware-sidene eller å hente malwaren fra reelle hendelser. Alle sakene dreier seg om klient-maskiner som har blitt angrepet, enten gjennom "drive-by-exploits" eller at brukeren blir lurt til å hente ned filer som gir seg ut for å være noe annet (trojanere).

Testene har blitt utført på en lab-maskin som er satt opp for å gjøre det enkelt å rulle tilbake operativsystemet til en kjent, ren status. Maskinen har vært beskyttet bak en UTM-enhet fra en av markedslederne. Denne er satt opp til å beskytte maskinen ved hjelp av et web-filter og en anti-virus-løsning. Vi vil presisere at testingen ikke er vitenskapelig gjennomført og at vi ikke har testet nok typer malware til å gi noe entydig resultat. Resultatene vi har fått stemmer imidlertid godt overens med det vi daglig ser i vårt operasjonssenter.



Noen av angrepene som innebærer exploits, kunne i teorien ha blitt stoppet av en UTMs IPS-del (Intrusion Protection System), men for å gjøre testingen enklere har vi utelatt dette i denne testen. For å teste også denne delen av en UTM, måtte vi ha besøkt siden brukeren blir sendt til før selve exe-filen blir servert. Vi måtte altså ha besøkt siden som serverer exploits til brukeren. Tidligere tester vi har utført viser imidlertid at IPS er dårlig egnet til å stoppe exploits mot klient-maskiner da exploitene nesten alltid er obfuskert med forskjellige teknikker. IPS-teknologi fungerer bedre for å beskytte tjenere (servere).

Hva er så grunnen til at en UTM kun klarer å stoppe under halvparten av reelle angrep?

Personene som i dag står bak spredningen av malware bruker forskjellige teknikker for å lure UTM-bokser og annet nettverksutstyr som skal sikre nettene. Noen teknikker er:

  • Stadig endringer av adressen til "landings-sider" hvor brukeren blir lurt til for å få servert exploits eller bli lurt til å trykke på en link for å hente ned malware. Eksempler på slike sider fra den siste tiden er: gumblar .cn, goooogleadsence .biz osv. Dette gjør det vanskelig å filtrere ut adresser som serverer skadelig kode, siden de gjerne skifter adresse etter noen dager eller timer.
  • Trojaneren/dropperen (exe-fil) blir hentet ned fra én av mange tusen mulige IP-adresser. Disse maskinene har blitt kompromittert tidligere av angriperne og er med i et bot-nett som de kontrollerer. Det høye antallet adresser gjør filtrering vanskelig.
  • Selve Trojaneren/dropperen endrer karakter og sjekksum ofte, eller til og med for hver gang en ny bruker henter den ned. Dette gjør at anti-virus-selskapene nesten har gitt opp signatur-deteksjon av skadelig programvare ved hjelp av sjekksummer og signaturer. I dag er det "oppførselsanalyse" og "kjennetegn/heuristics" som brukes mest, men også disse metodene har sine begrensninger. De kriminelle har også tilgang til anti-virus-programmene og skriver sin malware på en slik måte at de ikke blir detektert, selv av de mer generelle signaturene.
  • Den skadelige koden som utnytter svakhetene i klient-maskinen er nesten alltid obfuskert, gjerne ved hjelp av Javascript. Dette gjør at en signatur-basert IPS-motor ikke har noen kjente ting å se etter i det exploit-koden blir sendt til klient-maskinen. Exploitene som blir servert mot klient-maskiner er for tiden gjerne mot selve web-browseren, Adobe Acrobat Reader, Adobe Flash, Apple QuickTime eller Java.
Vår konklusjon er at det er viktig å benytte seg av UTMer og andre typer sikkerhetsutstyr i nettet for å prøve å stoppe så mange svakheter som mulig automatisk, men at dette er langt fra nok.

Eksempler på tiltak en bør gjør i tillegg til dette for å beskytte sine klient-maskiner er:

  • Opplæring av brukere til å tenke seg om før de laster ned, installerer eller svarer ja på spørsmål som dukker opp på skjermen.
  • Et godt patche-regime som sørger for at operativsystem og klientprogramvare til en hver tid er oppdatert, uten at sluttbrukeren trenger å foreta seg noe.
  • Oppdatert anti-virus og anti-spyware på klienter.
  • Brukere bør ikke ha administrator-tilgang på maskiner. Mange exploits og trojanere fungerer bare dersom brukeren er administrator.
  • Ha så få programmer som mulig installert på klient-maskiner. Prøv også å unngå de som oftest har feil og blir utnyttet mest, som nevnt tidligere i dette innlegget.
  • Bruke en analyserende IDS-tjeneste for å oppdage maskiner som til tross for andre sikkerhetstiltak blir infisert eller har blitt infisert før de ble tatt med inn i nettet. Et eksempel på en slik tjeneste er TSOCs IDS-tjeneste.
  • Dersom en trenger høy sikkerhet bør en vurdere å gå over til en terminal-basert løsning der brukerne må logge inn på en egen, beskyttet maskin for å bruke Internett-tjenester.
  • Bruk om mulig et annet operativsystem enn Windows på klientene. Windows er det operativsystemet som det uten tvil skrives mest malware til.
Vår erfaring er at det er få norske bedrifter og offentlige institusjoner som i dag klarer å holde nettet sitt fritt for malware til enhver tid. Nesten alle har av og til hendelser der datamaskiner i kortere eller lengre tidsrom er under full kontroll av utenforstående. Det er en skremmende utvikling og sikkerhetsbransjen ligger for øyeblikket et godt stykke bak de kriminelle.

 
>