DK-CERT: Botnet viser problem med antivirus

Ved hele tiden at ændre på programfiler gør botnetbagmænd det umuligt at opdage alle skadelige programmer, skriver Shehzad Ahmad i denne måneds klumme om it-sikkerhed.

Af
Publiceret d. 26. februar 2010 kl. 14.30 | Antal kommentarer (8)
Send Tip en ven Print Udskriv


Annonce:
 
ANNONCE:
 

tastatur bærbar arbejde topfoto
Læs også:

White paper fra NetWitness om Kneber (kræver registrering).

Blogindlæg fra NetWitness.

FAQ om Kneber af sikkerhedsforsker Dancho Danchev.

 
 
Amerikanske medier havde de store overskrifter fremme, da et botnet ved navn Kneber blev kendt tidligere på måneden.

Med en størrelse på godt 74.000 inficerede pc'er er det et botnet i mellemstørrelsen.

Alligevel er der nogle ting ved opdagelsen af Kneber, der gør det værd at kigge nærmere på.

Svært at opdage
Vi har at gøre med et botnet, der anvender Zeus-programmet, som også er kendt som Zbot. Det er et af de mest udbredte botnetprogrammer.

Kneber er altså bare "endnu et Zeus-botnet."

Alligevel kan firmaet NetWitness, der opdagede det, fortælle, at under 10 procent af antivirusprogrammer kunne genkende programmet og stoppe det.

Hvordan opdagede NetWitness så truslen? Det skete via en løbende overvågning af datatrafikken på en af firmaets kunders netværk.

Her fangede man en filoverførsel af et program, der så ud til at være gjort svært at gennemskue (såkaldt obfuscation). En nærmere analyse førte til opdagelsen af det Zeus-baserede botnet.

I gamle dage havde vi en overskuelig mængde skadelige programmer, der spredte sig i stort tal.

I dag har vi i stedet en ekstremt stor mængde forskellige programmer, der hver især er mindre udbredte.

Årsagen er klar: Signaturbaserede antivirusprogrammer er nødt til at kende en trussel, før de kan beskytte mod den.

Signaturer er ikke nok
Så eksemplet med Kneber-udgaven af Zeus-programmet viser, at der er brug for andre metoder end signaturgenkendelse, når dagens trojanske heste skal fanges.

En mulighed er heuristiske algoritmer, der genkender skadelige programmers typiske opførsel i stedet for deres signatur.

Den mulighed tilbyder stort set alle antivirusproducenter.

En anden mulighed er avanceret netværksovervågning, hvor man analyserer indholdet af de enkelte datapakker (deep packet inspection).

Fortsættes ...
« forrige side
1 2
»










Kommentarer - Debatoversigt


Strange game...
8 indlæg

The only way to win is not to play...

Ovenstående er et citat fra hvad der nok er den første 'hacker-film', nemlig Wargames fra 1983, men konklusionen som WOPR drager efter at have gennemspillet tusindvis af variationer over "Global Thermonuclear War", er også yderst relevant her.

Problemet er usikker software, forstærket af grådighed og deraf følgende piratkopiering og manglende opdateringer. Hvis Microsoft lavede deres software som de burde med ordentlig og systematisk intern testing, så ville der ikke være den overflod af manglende range checks, overflows og så videre i de komponenter som Microsoft selv udviklede, men det er billigere at lade brugerne beta-teste og så patche endeløst efterfølgende end at gøre det rigtigt fra starten af, og så bliver det sådan.

Der findes heldigvis alternativer til Windows - gode alternativer. De fleste af disse er faktisk også kodet langt sikrere, trods at de typisk er langt billigere end Windows (ofte gratis). Benytter man dem nedsættes risikoen for en reel farlig infektion (en som stjæler data af betydning) ganske meget - ja stort set til nul. Benytter man en anden browser end Internet Explorer så kommer man også langt. That is how not to play.

Nå ja, og hvis man kikker på infektionsvejen for stort set alle moderne infektioner så er der altid en brugerfejl involveret. Enten manglende opdateringer (hvis alle opdateringer som var tilgængelige på infektionstidspunktet var lagt på så ville infektionen ikke kunne finde sted) eller regulær dumhed (klikkede OK på tilladelse til at det ukendte program måtte køre, installation af fup-antivirus og så videre). Det er længe siden vi så en virus med fuld automatisk spredning som var aktiv før de patches som kunne stoppe den var tilgængelige.

Derfor er klart det vigtigste: Tænk dig om. Og tænk dig så om igen. Nej, svigermor snakker ikke pludselig endelsk til dig på MSN. Nej, der er ikke pludselig en smuk russisk pige som er forelsket i dig. Nej, du har ikke vundet i et lotteri som du ikke har spillet med i. Nej, din bank skriver heller ikke en email til dig på gebrokkent dansk og beder dig om din pinkode på dit dankort. Nej, et reklamebanner på en webside indeholder ikke en virusscanner som kan fortælle dig at du har en virus. Nej og atter nej. Tænk dig om! Det er det allerbedste råd!

27. februar 2010 kl. 11.55
Anmeld Besvar
Henrik Madsen
Per Gøtterup skrev:
Der findes heldigvis alternativer til Windows - gode alternativer.

Benytter man en anden browser end Internet Explorer så kommer man også langt. That is how not to play.


2 ting.

1. hvilket alternativ er det du snakker om som kan erstatte Windows hvis man er en aktiv forbruger som både bruger sin computer til alvor og sjov ... Det eneste alternativ for alle dem som spiller er vel en konsol.

Desuden virker dit råd jo kun så længe der er få der gør det for hvis alle computer brugere pludseligt skiftede til Linux og f.eks Chrome så ville hackernes opmærksomhed blive rettet mod de styresystemer og programmer og så ville der blive fundet langt flere fejl der.

At der findes færre fejl til f.eks linux skyldes garanteret mest at der ikke er meget ved at hacke et system hvor man potentielt kan inficere gange få promille af alle de samlede computere.

Henrik Madsen

27. februar 2010 kl. 18.16
Anmeld Besvar

Marc Munk
Henrik Madsen skrev:
At der findes færre fejl til f.eks linux skyldes garanteret mest at der ikke er meget ved at hacke et system hvor man potentielt kan inficere gange få promille af alle de samlede computere.

Henrik Madsen


Det er ikke spørgsmålet om antal fejl der bliver fundet. Det er et spørgsmål om hvorvidt de fejl der findes bliver udnyttet.

Jeg kunne dog godt lige tænke mig at vide hvad der får dig til at tro at der findes flere fejl i windows end i linux? Og om du faktisk mener det er tilfældet.

27. februar 2010 kl. 19.21
Anmeld Besvar

Jesper Mørch
Henrik Madsen skrev:
At der findes færre fejl til f.eks linux skyldes garanteret mest at der ikke er meget ved at hacke et system hvor man potentielt kan inficere gange få promille af alle de samlede computere.


Websites på Linux med Apache tegner sig så vidt jeg husker for omkring 65% af alle websider...
Så kan du jo begynde at spekulere på hvad der bedst kan betale sig at angribe... er det en server med permanent upload på flere Mbps, som potentielt kan ramme endnu flere, eller en hjemmecomputer...
Ja, jeg ved godt hvad jeg ville ramme, hvis jeg var interesseret i at lave ravage... eller bare stjæle en masse kortnumre - og her er det ikke en hjemmemaskine med Vista der står øverst på hitlisten...

Og, alligevel er det Windows-maskiner som rammes hyppigst... måske fordi arkitekturen i Windows er langt vanskeligere at overskue sikkerhedsmæssigt, end den tilsvarende arkitektur på Linux...
Og det er endda selvom Linuxkernen er begyndt at blive lidt for stor og kompleks til at være rigtig sikker...

Jo færre forskellige systemkald din kerne er designet til at skulle håndtere, desto større er sandsynligheden for at din kerne bliver sikker og ikke kan penetreres...
Andre filosofier går på at ved at lade kernen kunne afvikle alle slags systemkald direkte, kan man optimere afviklings-hastigheden...
Linuxkernen minder mest om førstnævnte, Windows-kernen minder mest om sidstnævnte...

Så kan du selv fortsætte med at gætte på hvorfor Windows rammes hyppigere af alvorlige fejl end f.eks. Linux...

27. februar 2010 kl. 23.17
Anmeld Besvar

Henrik Madsen
Marc Munk skrev:
Det er ikke spørgsmålet om antal fejl der bliver fundet. Det er et spørgsmål om hvorvidt de fejl der findes bliver udnyttet.

Jeg kunne dog godt lige tænke mig at vide hvad der får dig til at tro at der findes flere fejl i windows end i linux? Og om du faktisk mener det er tilfældet.


Ja det lyder lidt knudret.

Det jeg mener er ikke at der findes flere fejl i windows end linux men at der af hackerne "findes flere" fejl i windows fordi de bruger mere tid på det fordi gevinsten er større fordi de rammer mange flere brugere.

28. februar 2010 kl. 02.20
Anmeld Besvar

Henrik Madsen
Jesper Mørch skrev:

Så kan du selv fortsætte med at gætte på hvorfor Windows rammes hyppigere af alvorlige fejl end f.eks. Linux...


Det er ikke noget der behøves gættes om.

Det er fordi der bruger MANGE gange flere ressourcer på at finde fejl i windows maskiner fordi hvis man finder en god exploit så kan man ramme MANGE maskiner.

De få nørder der sidder med linux er ikke pengemæssigt værd at bruge tid på fordi der er så få af dem at deres maskiner ikke rigtigt kan bruges til noget i et botnet sammenhæng.

Simple as that.

Henrik Madsen

28. februar 2010 kl. 02.23
Anmeld Besvar

Jon Gaasedal
Henrik Madsen skrev (en masse sludder, og):

Det er fordi der bruger MANGE gange flere ressourcer på at finde fejl i windows maskiner fordi hvis man finder en god exploit så kan man ramme MANGE maskiner.



Det er ikke fordi vi behøver så mange resourcer for at overtage din maskine. Det er fordi vi finder så dejligt mange exploids dér - og du fatter det aldrig, at vi bruger dine resourcer og snager i dine private data. Vi indsniger også stavefejl i dine indlæg på Computerworld. Tjek selv. Desværre ligger din computer på en relativt sløv forbindelse - og din udbyder kunne opdage os. Det er den kedelige del. Men det er da nemt. Og i er ufattelig mange. Så indtil videre er dette den nemmeste metode.

De få nørder der sidder med linux er ikke pengemæssigt værd at bruge tid på fordi der er så få af dem at deres maskiner ikke rigtigt kan bruges til noget i et botnet sammenhæng.



Så, så, ikke bande! Vi hader de skide nørder! De har servere med fede, direkte forbindelser til internettet - uden om internet-udbyderne. Og så sidder de idioter på størstedelen af den vigtige del af internettet! Gid vi kunne udnytte deres forbindelser. Men følger de måske spillets regler med at bruge vores allesammens standard, Windows???

Nej du, de har hver især hjemmestrikkede firewall-scripts, så ingen server er ens og dette gør det umuligt at bryde ind i dem efter en enkelt, bestemt opskrift eller metode. Vi kan da hacke dem én efter én, efter forskellige metoder, men det er bestemt ikke noget der betaler sig i vores branche. Du er et meget nemmere offer. Du føler dig sikker. Og det er godt. Meget godt! Microsoft er det sikreste der findes. Det første jeg skrev var naturligvis en vittighed. Vi har brugt ufattelige resourcer til at bryde ind i din nærmest uangribelige Windows maskine. Vi sveder endnu. Begynd ikke at tvivle på det. Vi gider ikke flere nørder.

Som du selv siger, så er nørdernes maskiner totalt uanvendelige i botnet-sammenhæng. De ligefrem skanner og afslører vores trafik! Du og dine lidelsesfæller er vores eneste håb. Vi lover ikke at slette noget - og kun bruge din båndbredde, når du ikke bruger den selv.

PS: Drej lige dit web-cam væk fra sengen. Bare et venligt råd fra en ikke-destruktiv spammer og kreditkort-samler.

1. marts 2010 kl. 11.15
Anmeld Besvar

Jesper Mørch
Tak for svaret... Kunne vist ikke have gjort det bedre selv :o)

Men, glemte du ikke at nævne at maskinerne hos de lede nørder ellers er det perfekte sted at lægge downloadable exploits, pakket ind i f.eks. VB-Script? ;o)
- Hvis altså man kunne få adgang til deres maskiner...

1. marts 2010 kl. 20.05
Anmeld Besvar

Kommentér
Log ind | Ny bruger
Titel:

Ytringer på debatten er afsenders eget ansvar - læs debatreglerne

Forsiden lige nu

Galleri: De fedeste håndholdte gennem 40 år
Her har du de mest banebrydende håndholdte computere gennem alle tider.
25. maj 2012 kl. 16.04 | læs »

Min Mac er under angreb - Apple skal tage det alvorligt
Klumme: Angrebet fra Flashback viser, at Apple nu må tage sikkerheden på Mac alvorligt, skriver Shehzad Ahmad fra DK-CERT i sin månedlige klumme
25. maj 2012 kl. 14.30 | læs »

Overblik: Masser af danske IBM-folk sendt hjem
Overblik: Få overblikket over IBM Danmarks store fyringsrunde.
25. maj 2012 kl. 15.30 | (3) | læs »

Landmænd låst fast til konkursramt bredbånds-firma
Landbrugsorganisation er godt sur i skralden over, at landmænd i randområder skal bestille bredbånd hos konkursramt firma.
25. maj 2012 kl. 14.04 | (3) | læs »



Mest læste på Computerworld:
»
Stortest: Her er de bedste gratis antivirus-programmer

»
Så er det nu: IBM sætter 198 mand på porten

»
SAS dropper 34 år gammelt it-system i gigant-projekt

»
Her er forklaringen på IBM Danmarks massefyringer

»
IBM Danmark fyrer 170 mand

»
Her er de fedeste virale successer fra Danmark



Seneste debat:

»
Landmænd låst fast til konkursramt bredbånds-firma | (3)
»
Konkurs-ramt it-firma skal sikre danskere bredbånd | (1)
»
Derfor findes Microsoft Office ikke til iOS og Android | (8)
»
Her er Danmarks bedste e-handelsbutik | (1)
»
Overblik: Masser af danske IBM-folk sendt hjem | (3)
»
Mobil-producenter strides om dit næste SIM-kort | (4)







 
Navnenyt fra it-danmark
Vis alle »
Peter Skyttegaard
Peter Skyttegaard
Johnny Iversen
Johnny Iversen
Lotte Irlind
Lotte Irlind
Jesper Sebbelin
Jesper Sebbelin
Christian Wadskov
Christian Wadskov

Anders Ulletved Rasmussen
Anders Ulletved Rasmussen
Kenneth Touvdal Knudsen
Kenneth Touvdal Knudsen
Ekaterina Bakhbava
Ekaterina Bakhbava
Pernille Gaustad
Pernille Gaustad
Yüksel Aydemir
Yüksel Aydemir


 
White papers
It-sikkerhed - SaaS kan kurere hovedpinen
Det koster tid og penge hele tiden at holde virksomhedens værn mod sikkerhedstrusler i den bedst...
Is Internet Access a Threat to the Company?
The answer to the question "Is Internet access a threat to the company?" is a qualified "yes"....
It-sikkerhed er ikke blot god praksis, det er godt for forretningen
Mindre virksomheder uden stærk it-sikkerhed er attraktive mål for internettets trusler. Få her...
Alle whitepapers »

 

Få nyhedsbrevet

Med Computerworlds nyhedsbreve er du altid orienteret om it og it-branchen
Partnerlinks

Webhotel

Computer

Bærbar

Digital TV

RSS fra Computerworld

Få besked så snart Computerworld opdateres



Mest læste seneste uge

Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Læs mere

Så er det nu: IBM sætter 198 mand på porten
Næsten 200 IBM-ansatte får med få timers varsel sidste arbejdsdag i dag. Ingen var orienteret forud for dagens massefyring, som effektueres øjeblikkeligt.
Læs mere

SAS dropper 34 år gammelt it-system i gigant-projekt
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
Læs mere

Her er forklaringen på IBM Danmarks massefyringer
Her er forklaringen på, at IBM Danmark med direktør Lars Mikkelgaard-Jensen i spidsen fyrer 170 medarbejdere.
Læs mere

IBM Danmark fyrer 170 mand
IBM Danmark lader hovederne rulle.
Læs mere