Pas på: Er din virksomhed ramt af superlusket rootkit?
Først den dårlige nyhed: Et af klodens mest ondskabsfulde stykker malware breder sig i Danmark. Rootkittet TDSS lister sig nu ind hos danske virksomheder, uden at blive opdaget af antivirus-programmerne.
»Vi har en bred vifte af danske virksomheder som kunder, store som små, og vi kan se, at flere og flere af dem i den seneste uge er blevet ramt af TDSS-rootkittet. Der sker i stigende grad forsøg på at forbinde til command and control-servere, der tilhører de her banditter,« siger Peter Kruse, sikkerhedskonsulent hos CSIS.
Han vurderer, at flere tusinde danske virksomheder samlet set er ramt, ud fra antallet af vellykkede angreb i CSIS' kundekreds.
Den gode nyhed er til gengæld, at selvom TDSS gemmer sig uhyre godt og kun sjældent vil blive fanget af antivirus-software, er det forholdsvist nemt at stoppe problemet. En virksomhed skal simpelthen bare spærre for al trafik til de fire domæner, som bagmændene kontrollerer de inficerede maskiner gennem.
»Hvis man blokerer disse fire domæner, kan rootkittet ikke få opdateringer eller melde sig ind i botnettet. Men mange virksomheder har ikke gjort det endnu,« forklarer Peter Kruse.
Et rootkit adskiller sig fra andre typer af malware ved at gemme sig i helt centrale systemfiler. Det kræver en dygtig hacker at kode den slags, men de it-kriminelle bliver hele tiden bedre og rootkits er derfor i dag ikke et særsyn.
**LÆS OGSÅ **Sådan fungerer verdens mest ondskabsfulde rootkit
»Det modbydelige ved TDSS er, at det graver sig helt ned i maven på operativsystemet og undgår opmærksomhed fra antivirusprogrammer. Og endnu værre er det, at Intrusion Detection-systemer heller ikke vil opdage rootkittet,« forklarer Peter Kruse.
Al kommunikation til og fra command and control-serverne foregår nemlig krypteret via HTTPS, så det er umuligt for sikkerhedssoftwaren at analysere indholdet af trafikken og få nys om TDSS ad den vej.
Er en computer eller et helt netværk inficeret af TDSS, vil computerne blive indlemmet i et stort botnet, der i øjeblikket anslås til at rumme tre millioner zombier. Gruppen bag TDSS tjener så penge på at sælge botnet-maskiner videre til andre.
TDSS-infektion kan også være startskuddet til, at computerne bliver fyldt med en masse andet snavs, som for eksempel aflurer passwords og spionerer på firmaets computere.
For private er det nemmeste at downloade et værktøj, som antivirusfirmaet Kaspersky har udviklet. Det vil kunne opdage og fjerne de fleste varianter af TDSS, forklarer Peter Kruse.
Se hvilke domæner, der bør blokeres i CSIS' vejledning.
Kommentarer (17)
Bemærk dog at det kun er i Win32 systemer dette rootkit florerer. Virksomheder der udelukkende bruger Linux er ikke umiddelbart i farezonen
-
0 -
0
Vi bruger kun vinduer til at kigge ud af...
Ironi off.
Synes måske godt at artiklen kunne indholde infomation om hvad der er ramt..
"Virksomheder" er lidt vagt.
-
0
-
0
Synes måske godt at artiklen kunne indholde infomation om hvad der er ramt..
Og hvilke domæner der skal blokeres.
-
0
-
0
Hej,
Der er tale om ca. 40 forskellige domæner. De forskellige TDSS varianter benytter et sted mellem 3 og 4 domæner til connect back til C&C serveren.
Se vores webside:
http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=845
Her findes nogle af de domæner vi ser trafik til.
/Peter
-
0
-
0
Ups - det var min mening at linke i artiklen, men den smuttede. Det er sket nu.
vh.
Jesper
Version2
-
0
-
0
Virker det ikke lidt op ad bakke at skulle blokkere for enkelte domæner manuelt, dem ændrer de vel konstant ligesom spammerne?
Bare man kunne få sin ISP til at tage sig af den slags, blokkerer de ikke allerede for andet snavs?
-
0
-
0
skriver i sin bog - fra 2004 - Malware, Fighting Malicious Code, at man booter fra en CD når man vil undersøge for Rootkits.
Det kunne f.eks være med sin Vista DVD - System Recovery - Command Prompt, og så afvikle Kaspersky's tdsskiller.
Der er sikkert mange andre lignende måder. DI kunne udgive en bootbar CD med de nødvendige programmer til at rense en Windows installation for Rootkit og andet snavs.
-
0
-
0
Her - mht DI - tænker jeg på artiklen på Version2 samme dag:
DI: Udryd 100.000 danske zombier med DNS-spærring og karantæne
http://www.version2.dk/artikel/16143-di-udryd-100000-danske-zombier-med-...
Der er ingen grund til at gå til yderligheder, vel.
-
0
-
0
I artiklen står der "Hvis man blokerer disse fire domæner"... 4 domæner! På CSIS hjemmeside er der listet 3 med ordene "Blandt de skadelige domæner" - og i debatten angiver Peter Kruse "Der er tale om ca. 40 forskellige domæner" samt "Om ikke andet så blokeres 22 af de 38".
Nu hvor virksomhederne så er skræmt fra vid og sans, har alarmeret it/sikkerhedsafdelingen (som skal på overarbejde for at sikre servere og arbejdsstationer ikke er ramt), hvorfor så ikke liste de famøse domæner så det ikke bare er PR for CSIS?
-
0
-
0
Hej
Med 10 min. søgning på nettet har jeg pt fundet disse domains der peger på TDCC.
94.228.209.145
01n02n4cx00.cc
0o0o0o0o0.com
19js810300z.com
1zabslwvn538n4i5tcjl.com
30xc1cjh91.com
7gafd33ja90a.com
91.212.226.67
a57990057.cn
a579900578.cn
clickpixelabn.com
clkh71yhks66.com
dogmamillions.com
getbestbanner.com
ijmgwarehouse.com
j00k877x.cc
justbannernet.com
justbannernet.in
justgomediainc.in
lj1i16b0.com
m01n83kjf7.com
m2121212.cn
n16fa53.com
n1mo661s6cx0.com
nichtadden.in
pixelrotator.com
rf9akjgh716zzl.com
thinksnotaeg.com
urodinam.net
z0g7ya1i0.com
zz87jhfda88.com
\Lenny
-
0
-
0
Lidt opdateringer med lidt flere domains og et par Ip-adresser. Værsgod og leg DR.bad Domain administrator ;-)
94.228.209.145
01n02n4cx00.cc
0o0o0o0o0.com
19js810300z.com
1zabslwvn538n4i5tcjl.com
30xc1cjh91.com
7gafd33ja90a.com
91.203.92.121
91.212.226.67
a57990057.cn
a579900578.cn
clickpixelabn.com
clkh71yhks66.com
dogmamillions.com
findzproportal1.com
getbestbanner.com
ijmgwarehouse.com
j00k877x.cc
justbannernet.com
justbannernet.in
justgomediainc.in
lj1i16b0.com
m01n83kjf7.com
m2121212.cn
n16fa53.com
n1mo661s6cx0.com
nichtadden.in
pixelrotator.com
rf9akjgh716zzl.com
stableclickz1.com
thinksnotaeg.com
updatemics1.com
urodinam.net
youblognews.net
z0g7ya1i0.com
zz87jhfda88.com
94.247.2.107 (4 domains peger på denne IP som var i live tidligere i går)
-
0
-
0
Hvis man blokerer disse fire domæner, kan rootkittet ikke få opdateringer eller melde sig ind i botnettet.
Jeg beklager mit dumme spørgsmål, men hvad er meningen med at blokere for nogle få udvalgte domæner? Det er kun dem der har installeret TDSS der har problemet, og problemet er ikke disse domæner, men at man har installeret TDSS.
Den rigtige løsning må da være at afinstallere TDSS.
Ellers hiv ledningen til internet ud af dit EDB-apparat.
-
0
-
0
Hej Hans
Fordelen for store netværk kan både være forbyggende samt være en måde hvorpå man kapper forbindelsen til det ondsindet rootkit/malware. Man bør dog samtidigt have styr på hvem ens klienter / serverer får lov til at foretage DNS opslag imod, ellers kan det vise sig at have ringe effekt. DNS opslag kan eks styres via virksomhedens firewall. Normalt er der ikke tale om enkelte domains, det er kun fordi det er et enkelt stykeke malware som her er tale om, man snakker om "få" domains.
Det mest praktisk ville nok være en contentfilter løsning, hvor en sikkerheds firma automatisk ligger disse ondsindet domains ind. Dog skal man altid sørge for at man selv har muligheden for at tilføje / fjerne indhold som virksomheden ikke/ønsker blokkeret. På denne måde bevarer vi friheden til at vælge selv med hensyn til blokkeringer og havd vi evt ønsker.
Jeg mener ikke det er den rigtige måde at vente på at blive eks. indficeret med TDSS før man afinstallere dette. Der kan gå lang tid før dette bliver opdaget, og imellemtiden har du en klient som eks bliver tappet for kritiske oplysninger uden du ved af det. Det rigtigste her ville være en form for content filtrering. Dog er det ikke en "silver bullit" på alle malware problemer.
\Lenny
-
0
-
0
