Attacker från legitima siter

(Publicerad 2009-06-01)

Gumblar och grabbarna är tillbaka. Förstås. Hur går det till? Vad kan vi göra för att skydda oss?

Ni har kanske hört talas om "attacken" Gumblar. Till och med mainstream-media som SvD har rapporterat om det (på inrikessidorna av oklar anledning). Gumblar har nu fått en kompis/konkurrent som arbetar på samma sätt. Websense verkar ha kommit ut med det först. Den har inte legat på latsidan; 30 000 siter är hackade. Båda dessa är inkarnationer av samma företeelse och de är inte först med det, det har förekommit många gånger tidigare.

(Den intresserade kan läsa "Your Botnet is My Botnet: Analysis of a Botnet Takeover" av ett gäng på UCSB om hur de tog över Torpig-nätet i tio dagar. Torpig sprider sig på samma sätt som t ex Gumblar.)

Vad är grejen då?
Syftet med attackerna är (inte helt oväntat) att sammanställa botnät för att kunna skicka spam, hosta halvt och helt olagliga sidor, genomföra DDoS-attacker, hyra ut till högstbjudande, etc. Samma sak som Storm, Conficker, Torpig och de andra i branschen. Det vanliga med andra ord.

Hur går det till?
Det luriga med sättet de rekryterar datorer till botnätet är att attackerna levereras från legitima siter. En attack behöver alltså inte komma från nudescreensavers.info eller appcracks.ru utan snarare från emmashunddagis.se, teknikboden.se eller alfaforsakringar.se.

Man kan dela upp sådana här attacker i fyra steg; (1) sätt upp infrastruktur för att skapa och administrera botnät. (2) Tillverka eller köp exploits som försöker utnyttja ett antal sårbarheter i webbläsare och tilläggsmoduler som t ex Flash- eller PDF-läsare. (3) Förbered javascriptkod som försöker köra dessa exploit i en besökares webbläsare. (4) Utnyttja sårbarheter (SQL injection eller cross-site scripting exempelvis) i legitima sidor för att injicera javascriptkod i dem som skickar besökare vidare till din uppsatta infrastruktur så att dina exploits körs i användarens webbläsare. Om besökarens program är sårbar för något av dina exploits har du precis fått en till dator i botnätet.


Metoden är väldigt effektiv och som vanligt handlar det om ett utnyttjande av förtroende. Besökaren låter emmashunddagis.se köra javascript i sin webbläsare. Något som nudescreensavers.info förmodligen inte hade fått.

Hur borde man skydda sig?
Det finns minst tre sätt:
  • Håll programvara uppdaterad. När det kommer till kritan så handlar det ju om att utnyttja sårbarheter i program; inga sårbarheter, inget utnyttjande. Titta på Secunia PSI.
  • Begränsa användningen av javascript. Javscript används nästan alltid för att trigga de exploits som används; inget javascript, inga exploits körs. Titta på NoScript.
  • Använd blacklists. De domäner som används för att hosta exploits blir kända relativt snart efter att attackerna har börjat; blockade domäner, ingen åtkomst, inga exploits körs. Titta på Malwaredomainlist.
Ingen av dessa är helt hundra. (1) Ibland finns ingen patch för sårbarheterna även fast de är kända (detta tenderar hända i Adobes programvaror). (2) Ibland används inte ens exploits som behöver triggas med javascript utan besökaren ombeds bara (under någon förevändning) att ladda ner och köra en fil. (3) Slutligen används fast-flux i allt större utsträckning vilket försvårar blacklistornas arbete.

Givetvis kan man försöka sig på att använda antivirusprogram men det är inte särskilt effektivt. Polymorfism är inte raketforskning längre och det är något som antivirusföretagen har svåra problem med.

Vad kallar vi det här?
Jag vet inte, det är ingen traditionell mask som gör kopior på sig själv för att sprida sig som t ex Conficker. Det är definitivt inte ett virus... (det är det aldrig nuförtiden). På sätt och vis är det en trojansk häst eftersom den gömmer sig i en legitim sida. Oavsett har jag inte sett någon entydig, bra benämning på det här fenomenet. Förslag/kommentarer tas gärna emot.

--
Stefan Pettersson

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0