image

Fossiel botnet plaag voor ziekenhuizen en bedrijven

dinsdag 1 juli 2008, 11:03 door Redactie, 5 reacties

Een van de oudste botnets op het internet is nog altijd springlevend en blijkt over gigantische hoeveelheden vertrouwelijke informatie te beschikken. Coreflood werd voor het eerst in 2002 ontdekt en heeft zich sindsdien ontwikkeld van IRC-bot voor het aanvallen van IRC-gebruikers naar een TCP proxy en uiteindelijk een volledige infostealer Trojan. De malware blijkt keihard toe te slaan bij ziekenhuizen, universiteiten en bedrijven.

Een Trojan downloader verspreidt zich via de NCT Audiofile2 ActiveX control exploit voor Internet Explorer. De downloader downloadt dan de Coreflood installer en een Windows programma genaamd psexec.exe. PsExec is a legitieme Windows beheertool. Als de geïnfecteerde gebruiker administratorrechten heeft, wordt de Coreflood installer op elke computer in het domein uitgevoerd.

De Trojan downloader installeert zichzelf in de windowssystem32 en maakt een registersleutel aan om ervoor te zorgen dat die altijd tijdens het inloggen door de gebruiker actief is. Een zeer slimme optie, want het betekent dat de Trojan niet perse de computer van de systeembeheerder moet infecteren. Een werkstation is voldoende, omdat als de administrator inlogt om bijvoorbeeld een probleem te verhelpen, zijn logingegevens worden gekaapt. Met de gekaapte gegevens infecteert de malware daarna alle andere computers.

50GB aan gestolen data

Tijdens onderzoek bij een geinfecteerd bedrijf werd de back-end broncode van de malware ontdekt. Zodoende wisten de onderzoekers te achterhalen dat Coreflood de afgelopen twee jaar meer dan 50 gigabyte aan gecomprimeerde data van honderdduizenden computers had gestolen. De geïnfecteerde computers worden via een MySQL database gemonitord. In de database troffen de onderzoekers 378.758 unieke bots aan, die over een periode van zestien maanden waren "gerekruteerd". Gemiddeld blijkt een Coreflood bot 66 dagen te leven, waarna de eigenaar de infectie ongedaan maakt. SecureWorks maakt deze analyse van dit fossiele botnet.

Reacties (5)
01-07-2008, 11:24 door spatieman
en nog steeds geen heelmiddeltje tegen dit fosiel gevonden.....
01-07-2008, 12:09 door Jachra
Inderdaad. SecureWorks heeft een goede analyse gemaakt.
01-07-2008, 13:55 door SirDice
Door spatieman
en nog steeds geen heelmiddeltje tegen dit fosiel gevonden.....
Ja wel hoor.. Active-X uitschakelen om te voorkomen dat'ie binnen kan komen. Administrator rechten van je account om te voorkomen dat het zichzelf in je systeem kan nestelen. Domain administrator rechten.. Err.. Welke ui gaat er via een niet beveiligde en ongefilterde toegang zitten surfen op z'n domain admin account?

Voorkomen is beter dan genezen..
01-07-2008, 21:10 door Anoniem
Wat ik niet uit het verslag kan op maken is of dat de infectie in de eerste
instantie moet gebeuren onder een account met (lokaal) administrator
rechten. Al lijkt mij dat dat wel het geval moet zijn (Er vanuit gaan dat er
HKLM\
voor de register sleutels zou moeten staan in het secureworks
artikel).
02-07-2008, 08:51 door Anonl3m
Welke ui gaat er via een niet beveiligde en
ongefilterde toegang zitten surfen op z'n domain admin account?

Voorkomen is beter dan genezen..

Dat wordt uitje pellen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.