Virus ramte tusinder i ét hug

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Administratorværktøjer er en nyttig ting, hvis man er administrator. Men i de forkerte hænder kan et stærkt systemværktøj sikre, at et skadeligt program når ud til alle pc'er i en virksomhed.

Et aktuelt eksempel er botnetprogrammet Coreflood.

Som andre botnet består Coreflood af tusindvis af pc'er, der uden deres ejeres vidende deltager i netværket. Bagmændene fjernstyrer dem ved at sende kommandoer ud til botnet-programmerne fra en central server.

Botnet bruges typisk til udsendelse af spam, oprettelse af phishing-websteder og DDoS-angreb (distribuerede ude-af-drift-angreb).

Sikkerhedsforsker Joe Stewart fra firmaet SecureWorks har fået adgang til en af de servere, som Coreflood-botnettets bagmænd styrer det fra.

På den centrale server lå der foruden selve styringsprogrammet også en stor mængde data: 50 gigabyte komprimerede filer, der både indeholdt data, som botnettet havde stjålet fra ofrene, og en MySQL-database med data om ofrenes computere.

Her kunne man blandt andet se, hvilke organisationer der var blevet ramt af Coreflood. Blandt ofrene var en hotelkæde med over 7.000 inficerede pc'er og politimyndigheden i en delstat, hvor omkring 120 pc'er blev ramt.

I alt rummede databasen data om 378.758 pc'er, der på et tidspunkt i en 16 måneders periode var inficeret med Coreflood.

Ramte hurtigt mange
En analyse af databasen viste, at i nogle tilfælde blev en meget stor mængde computere inficeret.

Først var kun en enkelt pc ramt, men efter nogle dage kom tusindvis af pc'er med i botnettet.

Det er usædvanligt. Normalt spreder botnet-programmer sig ved at udnytte sårbarheder i fx browsere. Men det kunne ikke forklare, at tusindvis af pc'er blev ramt på en enkelt dag.

Forklaringen viste sig at være, at Coreflood-programmet fik professionel hjælp. Nærmere bestemt fra softwarepakken PsTools, der kan hentes gratis fra Microsofts websted.

Det var lige, hvad botnet-programmet gjorde: Det downloadede og installerede programmet Psexec.exe. Dette program kan bruges til at få alle computere i et Windows-domæne til at køre et bestemt program.

På den måde installerede botnetprogrammet kopier af sig selv på alle pc'er i domænet.

Det krævede dog, at den inficerede pc's bruger havde privilegier som domæneadministrator. Derfor blev systemet også sat op til at køre kommandoen, hver gang en bruger loggede ind på pc'en.

Selvom pc'ens ejer ikke selv var domæneadministrator, skulle botnet-programmet altså bare vente, indtil en administrator loggede ind på den.

I sin analyse gør Joe Stewart opmærksom på, at det giver nogle udfordringer at rense en pc. Hvis en administrator logger ind på en inficeret pc, risikerer han således at inficere hele nettet.

Som en løsning foreslår han, at man bruger botnettets indbyggede administrationsmuligheder. Når botnet-bagmændene misbruger legitime administrationsværktøjer, kan vi andre på samme måde udnytte deres software.

Coreflood-botnettets agenter kan udføre en række kommandoer, der afsendes fra centralt hold.

Og en af dem går netop ud på at afinstallere botnet-programmet fra en inficeret pc.

Det kræver, at man finder ud af IP-adressen på den server, som botnet-programmerne styres fra. Derefter sætter man en webserver op på det lokale net og omdirigerer trafik til den.

Joe Stewart har skrevet et Perl-script, der automatisk sender afinstalleringskommandoen til alle pc'er, der kontakter den falske server.
Historien viser, at stærke administrationsværktøjer er gode at have.

Men de kan også udrette stor skade.

I dette tilfælde kunne skaden måske være begrænset, hvis de ramte virksomheder havde sikret, at kun reelle administratorer havde privilegier som domæneadministrator.

 

Oprindelig bragt på Computerworld Online fredag den 29. august 2008

LINKS

Joe Stewarts beskrivelse af Coreflood
Råd om hvordan Coreflood kan fjernes

Keywords: