Gamle sårbarheder værdifulde for virusskabere

For virusprogrammørerne er adgang til at plante ondsindet kode på et velbesøgt websted i lige så høj kurs som en ny sårbarhed.

De it-kriminelle grupper, som står bag hovedparten af de virusangreb, som finder sted i dag, er først og fremmest interesserede i at holde sig under radarhøjde. Derfor benytter de metoder, som vækker mindre opsigt end de masseudsendte e-mailorme, som var dagens orden for fire år siden.

I lyset af denne uges afsløring af en undergrundsbørs, hvor disse grupper solgte FTP-adgang til webservere til højstbydende, advarer sikkerhedsfirmaet Symantec om en teknik, som flere af grupperne benytter sig af.

Selv mange it-professionelle er stadig af den opfattelse, at virus hovedsageligt spredes via websteder, der hører hjemme i de mere skumle afkroge af internettet. Det er imidlertid en sandhed med modifikationer.

Mange små bække
Som eksempel nævner Symantec et angreb for nylig, hvor den indiske industrigigant Tatas hjemmeside blev brugt til at sprede ondsindet kode.

Det er vel at mærke et websted, som mange besøger i arbejdsøjemed, og som har omkring 400.000 unikke brugere om måneden.

I det konkrete tilfælde benyttede de kriminelle et exploit, som udnyttede en forholdsvis gammel sårbarhed i Windows til at installere en trojansk bagdør på et sårbart system.

Det afspejler, at de it-kriminelle først og fremmest er interesserede i at få inficeret nogle nye pc'er, men affinder sig fint med, at en stor del af de besøgende på webstedet er beskyttet. Et zero-day exploit, som udnytter et endnu ikke lukket sikkerhedshul vil derimod være mere risikabelt, fordi det vil ramme så mange brugere, at angrebet risikerer at havne i medierne.

Et websted med stor trafik vil derimod statistisk set også få besøgende, som ikke har opdateret deres system. Selvom det er en lille procentdel, så bliver den samlede sum alligevel tilstrækkelig til, at de it-kriminelle kan holde deres botnets kørende med nye pc'er.

Tidsforskydning
En anden fordel ved at benytte respekterede websteder er, at de ikke løber samme risiko for, at internetudbydere og sikkerhedsfirmaer blokerer helt for adgangen til webstedet, når den ondsindede kode bliver opdaget.

Ved hjælp af DNS-rotation og hosting hos firmaer, som ignorerer henvendelser omkring misbrug, kan de kriminelle holde deres egne download-sider kørende, men et respekteret firmas websted er ofte en billigere og teknisk nemmere løsning.

Selv for mange større virksomheder eller websteder med stor trafik er der ikke altid folk klar i døgndrift til at gribe ind eller reagere på henvendelser fra sikkerhedsfirmaer omkring ondsindet kode på webserveren.

I det konkrete tilfælde med Tata betød tidsforskellen eksempelvis, at den ondsindede kode først blev fjernet, da de ansvarlige mødte på arbejde næste morgen i Indien, skriver Symantec.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere