Artikel top billede

DK-CERT: Virus ramte tusinder i ét hug

Klumme: Et botnet-program bruger et legitimt administratorværktøj til at ramme alle pc'er i et domæne, fortæller Shehzad Ahmad fra DK-CERT i sin månedlige klumme om it-sikkerhed.

Administratorværktøjer er en nyttig ting, hvis man er administrator.

Men i de forkerte hænder kan et stærkt systemværktøj sikre, at et skadeligt program når ud til alle pc'er i en virksomhed.

Et aktuelt eksempel er botnetprogrammet Coreflood.

Som andre botnet består Coreflood af tusindvis af pc'er, der uden deres ejeres vidende deltager i netværket.

Bagmændene fjernstyrer dem ved at sende kommandoer ud til botnet-programmerne fra en central server.

Botnet bruges typisk til udsendelse af spam, oprettelse af phishing-websteder og DDoS-angreb (distribuerede ude-af-drift-angreb).

Sikkerhedsforsker Joe Stewart fra firmaet SecureWorks har fået adgang til en af de servere, som Coreflood-botnettets bagmænd styrer det fra.

På den centrale server lå der foruden selve styringsprogrammet også en stor mængde data: 50 gigabyte komprimerede filer, der både indeholdt data, som botnettet havde stjålet fra ofrene, og en MySQL-database med data om ofrenes computere.

Her kunne man blandt andet se, hvilke organisationer der var blevet ramt af Coreflood.

Blandt ofrene var en hotelkæde med over 7.000 inficerede pc'er og politimyndigheden i en delstat, hvor omkring 120 pc'er blev ramt.

I alt rummede databasen data om 378.758 pc'er, der på et tidspunkt i en 16 måneders periode var inficeret med Coreflood.

Ramte hurtigt mange

En analyse af databasen viste, at i nogle tilfælde blev en meget stor mængde computere inficeret.

Først var kun en enkelt pc ramt, men efter nogle dage kom tusindvis af pc'er med i botnettet.

Det er usædvanligt. Normalt spreder botnet-programmer sig ved at udnytte sårbarheder i eksempelvis browsere. Men det kunne ikke forklare, at tusindvis af pc'er blev ramt på en enkelt dag.

Forklaringen viste sig at være, at Coreflood-programmet fik professionel hjælp. Nærmere bestemt fra softwarepakken PsTools, der kan hentes gratis fra Microsofts websted.

Det var lige, hvad botnet-programmet gjorde: Det downloadede og installerede programmet Psexec.exe.

Dette program kan bruges til at få alle computere i et Windows-domæne til at køre et bestemt program.

På den måde installerede botnetprogrammet kopier af sig selv på alle pc'er i domænet.

Det krævede dog, at den inficerede pc's bruger havde privilegier som domæneadministrator.

Derfor blev systemet også sat op til at køre kommandoen, hver gang en bruger loggede ind på pc'en.

Selvom pc'ens ejer ikke selv var domæneadministrator, skulle botnet-programmet altså bare vente, indtil en administrator loggede ind på den.

Kan fjerne sig selv

I sin analyse gør Joe Stewart opmærksom på, at det giver nogle udfordringer at rense en pc.

Hvis en administrator logger ind på en inficeret pc, risikerer han således at inficere hele nettet.

Som en løsning foreslår han, at man bruger botnettets indbyggede administrationsmuligheder.

Når botnet-bagmændene misbruger legitime administrationsværktøjer, kan vi andre på samme måde udnytte deres software.

Coreflood-botnettets agenter kan udføre en række kommandoer, der afsendes fra centralt hold.

Og en af dem går netop ud på at afinstallere botnet-programmet fra en inficeret pc.

Det kræver, at man finder ud af IP-adressen på den server, som botnet-programmerne styres fra.

Derefter sætter man en webserver op på det lokale net og omdirigerer trafik til den.

Joe Stewart har skrevet et Perl-script, der automatisk sender afinstalleringskommandoen til alle pc'er, der kontakter den falske server.

Historien viser, at stærke administrationsværktøjer er gode at have.

Men de kan også udrette stor skade.

I dette tilfælde kunne skaden måske være begrænset, hvis de ramte virksomheder havde sikret, at kun reelle administratorer havde privilegier som domæneadministrator.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT's leder, Shehzad Ahmad, opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere