image

VS waarschuwt voor SMB-worm die tegen Sony werd ingezet

zaterdag 20 december 2014, 09:03 door Redactie, 4 reacties

Het Computer Emergency Readiness Team (US-CERT) van de Amerikaanse overheid heeft een waarschuwing afgegeven voor een SMB (Server Message Block)-worm die tegen Sony is ingezet. De worm gebruikt brute force-authenticatie om zich via gedeelde Windows SMB-shares te verspreiden.

Elke vijf minuten maakt de malware verbinding met de commandoserver van de aanvallers om gegevens terug te sturen als het succesvol een andere Windowscomputer via SMB-poort 445 heeft geïnfecteerd. De tool luistert ook naar verbindingen op TCP-poort 195 en TCP-poort 444. Verder beschikt de worm over een backdoor waarmee het mogelijk is om bestanden te downloaden en opdrachten uit te voeren. Zo kan de worm via universal Plug and Play (UPNP) poorten in de firewall openzetten om routers, gateways en port-mappings te ontdekken.

Zodoende is het mogelijk om op aangevallen computers die zich achter een NAT (Network Address Translated)-netwerk bevinden inkomende verbindingen toe te staan. Het onderdeel van de worm dat het meest opvalt is de "wisfunctie", die de Master Boot Record van de harde schijf overschrijft en zo het systeem onbruikbaar maakt. Deze wisfunctie wordt ook gebruikt tegen systemen die via gedeelde netwerkmappen toegankelijk zijn. De malware probeert op deze computers in te loggen via een aantal gebruikersnamen en wachtwoorden die van tevoren door de aanvallers zijn opgegeven.

Het US-CERT waarschuwt dat organisaties die met deze malware te maken krijgen rekening moeten houden met de diefstal van intellectueel eigendom en de verstoring van kritieke systemen. Als oplossing krijgen systeembeheerders het advies om virusscanners te gebruiken en die up-to-date te houden, besturingssystemen en software up-to-date te houden, "defense in depth" strategieën toe te passen en een plan op te stellen om met vernietigende malware om te gaan.

Reacties (4)
20-12-2014, 13:09 door Anoniem
Ik voel me nu helemaal niet schuldig dat ik de vooringenomen gewoonte heb om poorten 137, 138, 139, en 445 op (edge) gateways te blokkeren in alle richtingen. Dat zijn vaak de enige poorten die ik specifiek blokkeer en ik heb niet de gewoonte alles te blokkeren behalve een paar magische poorten (we hebben gezien wat een schade dat veroorzaakt). In plaats daarvan gebruik ik of NAT of dan tenminste stateful filtering die alleen "van binnen uit" opgezette verbindingen toelaat. Maar protocollen die duidelijk alleen geschikt zijn om binnen een kantooromgeving te gebruiken zijn de moeite van het specifiek van de rest van het internet scheiden wel waard.

Er zijn overigens nog wel een paar meer protocollen die onverhoopt allerlei toegang delen, zoals hoe je regelmatig in het nieuws hoort dat er weer eens gevoelige informatie via een of ander "peer to peer" mechanisme ergens gelekt is. Maar die zijn vaak expres zo gebouwd om voor ander ("poort 80" oid) verkeer door te gaan, precies vanwege teveel blokkerende vuurmuurtjes, en als je die dan nu (netjes) wil blokkeren dan ben je wel even bezig--met DPI, en dat mag niet zomaar.

Is niet heel raar dat een grootbedrijf zoveel netwerkjes heeft dat ze zelf niet in de gaten hebben waar ze allemaal vatbaar zijn, en ook een bedrijf als sony met hun rootkits en hun technische ineptie verbaast niet door hun prestaties nu ze onder vuur liggen. Maar deze ingang had zo te zien vrij triviaal en zonder alteveel gevolgen geblokkeerd kunnen worden.
22-12-2014, 00:11 door AceHighness
je mag best DPI gebruiken, als het voor de health van je netwerk is. Wel moet je kunnen aantonen dat je zo min mogelijk mensen deze toegang verschaft (niet meer dan nodig) en je netjes alles audit etc.
22-12-2014, 16:31 door Anoniem
Door AceHighness: je mag best DPI gebruiken, als het voor de health van je netwerk is. Wel moet je kunnen aantonen dat je zo min mogelijk mensen deze toegang verschaft (niet meer dan nodig) en je netjes alles audit etc.

Leuk altijd die mensen denken dat ze ergens (geen) verstand van hebben. DPI is niks andersm voor de meeste bedrijven,. dan inhoudelijk traffic op malicious pakketten scannen op basis van signatures.Een beetje bedrijf heeft een IPS , jij kijkt niet in het pakket, die kan je ook niet zien, e scant alleen op malicious traffic etc. Dit omdat attacks allang niet meer alleen op de protocol layer uitgevoerd worden maar meer en meer op de application layer van het osi model.

Als je je verkeer gaat mirroren en gaat loggen om het terug te kijken met wireshark ben je verkeerd bezig. Om een IPS te gebruiken hoef je nergen aan te voldoen. IPS = DPI.
13-06-2015, 20:10 door AceHighness
Dat is exact hetzelfde als wat ik zeg mister know-it-all! Misschien eens naar de oogarts gaan voordat je mensen op het internet gaat dissen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.