Malware, der inficerede master boot record'en, var almindelig tilbage i MS-DOS tiden.
Foto: Frederic Prochasson/Goldmund/iStockphoto

Ny trojaner bruger gammelt trick for at gemme sig

I løbet af den sidste måned er en ny type ondsindet software fremkommet, som bruger en teknik, der er årtier gammel, til at gemme sig fra antivirussoftware.

Computerworld News Service: Denne nye malware, som Symantic kalder Trojan.Mebroot, installerer sig selv på den første del af computerens harddisk, så den bliver indlæst ved opstart, og derefter laver ændringer i Windows kernel.

Det gør det overordentligt svært for sikkerhedssoftware at opdage den.

Kriminelle har siden midten af december været i gang med at installere Trojan.Mebroot, kendt som et master boot record rootkit, og det er lykkedes dem at inficere næsten 5.000 brugere i to separate angreb 12. december og 19. december, ifølge VeriSigns iDefense Intelligence Team.

Fjernkontrol
For at installere denne software på et offers computer, lokker angriberne dem først over på et kompromitteret website, som så iværksætter en vifte af angreb mod offerets computer i håbet om at finde et sikkerhedshul hvorigennem, det er muligt at afvikle rootkittets kode på computeren.

Når den først er installeret, giver malwaren angriberne kontrol over offerets computer.

Gruppen, der står bag dette seneste rootkit, er den samme, som var ansvarlig for den trojanske hest Torpig, og man regner med, at denne gruppe allerede har installeret mere end 250.000 trojanske heste, beskriver iDefense i en rapport om rootkittet, der udkom i mandags.

Det interessante ved Trojan.Mebroot er, at den installerer sig selv på computerens master boot record (MBR). Dette er den første sektor på computerens harddisk og det første der indlæses under opstart af operativsystemet.

"Dybest set, hvis du har kontrol over MBR, har du kontrol over operativsystemet og derfor over den computer, operativsystemet ligger på," skrev Elia Florio, forsker ved Symantic, i en blogpost om Trojan.Mebroot.

Forbryderne bruger adskillige versioner af denne angrebskode, hvoraf nogle p.t. ikke bliver opdaget af visse antivirusprogrammer," udtaler iDefense.

"I øjeblikket arbejder antivirusdetektering med bind for øjnene, dog har et antal antivirusprodukter fået tilføjet detektering af denne ondsindede kode allerede den seneste dags tid," siger Andrew Storms, leder af sikkerhedsoperationer hos nCircle Network Security.

"I forhold til indtrængen ser det for mange stadig ud til, at der er en overordnet lav distribution. Bekymringen er, at gruppen, der muligvis er ved at forberede en større distribution, er velforberedt."


Teknisk udfordring
Malware, der inficerede master boot record'en, var almindelig tilbage i MS-DOS tiden, men den tilgang har kun sjældent været brugt i angreb de senere år.

I 2005 holdte forskere fra eEye Digital Security dog et oplæg ved Black Hat sikkerhedskonferencen, hvor de fremviste, hvordan et rootkit kunne gemme sig på MBR'en. Dette Trojan.Mebroot-software er afledt af den kode, udtaler iDefence.

"Det er en teknisk udfordring at få denne form for ondsindet software til at fungere pålideligt, og der har generelt været nemmere måder at få kontrol over computere på i de senere år," siger Marc Maiffret.

Han er selvstændig sikkerhedsforsker og var chief technology officer hos eEye, mens koden blev udviklet.

Angribere fik dog en hånd sidste år, da forskere ved NV Labs udgav et 'proof of concept' for et MBR rootkit.

Maiffret udtaler, at selv om vi muligvis snart vil se flere af disse MBR rootkits, "vil det ikke tage lang tid for samtlige antivirusvirksomheder at reagere."

"Det er ikke nogen splinterny angrebsretning, som bliver svær at modvirke," siger han.

"Det er blot, at man ikke rigtigt har givet det nogen særlig opmærksomhed endnu."

Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TDCH A/S
Skal din virksomhed med i Guiden? Klik her

Kommende events
Robot Process Automation (RPA) - sådan høster du gevinsterne

Fremtidens digitale vindere fokuserer på at nedbringe driftsomkostningerne radikalt gennem digitaliserede ’touchless operations’, hvor kun undtagelser behandles manuelt, og hvor automatisering og kunstig intelligens spiller sømløst sammen. Kom og hør mere om RPA og softwarerobotter - hvordan ser teknologien ud og hvordan kommer du i gang?

26. marts 2019 | Læs mere


Mød NNIT og kom med på en rejse fra Excel-drevet budgetproces til ægte corporate performance management

På dette event får du netop en introduktion til digitalisering af CPM (Corporate Performance Management) og BI (Business Intelligence), uden at du skal vinke farvel til Excel. Du vil få introduktion til software, der omfavner Excel og optimerer dine nuværende planning-, forecasting-, og konsolideringsprocesser.

27. marts 2019 | Læs mere


Optimer din forretning med Microsofts splinternye Dynamics 365 Business Central

Microsofts nye generation af intelligente forretningsapplikationer indeholder med blandt andet Microsoft Dynamics 365 Business Central enorme muligheder for at høste værdi af virksomhedens komplekse it-miljø ved øget indsigt, optimering af processer og drift og automatisering. Kom og hør hvordan du høster størst værdi med Microsoft nye, sammenhængende administrations-system ved at optimerer virksomheden mange steder.

28. marts 2019 | Læs mere





Flere dybdegående Computerworld artikler

Morgen-briefing: Apples Tim Cook bønfalder kineserne: Hold jeres økonomi åben / Toke Kruse sælger selskab bag amerikansk udgave af Billy / Landsholdsspilleren Nicolai Jørgensen investerer i gamer-firma / Fængslet Huawei-chef var vild med Apple-produkter

Tim Cook bønfalder kineserne: Hold jeres økonomi åben. Toke Kruse sælger selskab bag amerikansk udgave af Billy. Landsholdsspilleren Nicolai Jørgensen investerer i gamer-firma. Tidligere Superliga-profil har succes med at sælge trådløse hovedtelefoner. Fængslet Huawei-chef var vild med Apple-produkter og så har HP udnævnt Edgemo til årets danske partner.

Ugen i tech: Stort læk - så kraftige bliver Intels grafikkort i efteråret / Ny dansk operatør er klar med eSIM / Apple på vej med smart trådløs funktion
1 Spiltest: The Division 2 lever op til de høje forventninger
Er dit nye job inden for it-support? Find dit nye job her blandt 10 udvalgte annoncer fra it-jobbank
Svindel med din telefon: Her er de kriminelles nyeste metoder, som du skal holde øje med
Morgen-briefing: Mellem 200 og 600 millioner Facebook-passwords opbevaret uden kryptering / Vestager ikke kandidat til en kommende EU-toppost / Porsches el-bil på hemmeligt besøg i Købenavn fanget på foto
1 Vestager bekræfter: Er i spil til EU-topposter
2 Morgen-briefing: Englænderne skal finde porno-passet frem / Regeringen, KL og Danske Regioner etablerer digitaliseringspagt / Er din printer gammel og dyr? / Volvos nye nøgle sænker teenageknægtens fart


Premium
Sådan ser det intelligente drømmekontor ud: Her kæmper 240 mennesker om 150 siddepladser - og de elsker det
I Polys kontor er det lykkedes at klemme 240 ansatte i et kontor med 150 siddepladser. Aligevel er medarbejdertilfredsheden er i den absolutte superliga.
Computerworld
Her er Kinas næste stjernemobil: Huawei P30
Seneste lækkede detaljer om Huaweis næste toptelefon, Huawei P30, lader ikke meget tilbage til fantasien.
CIO
Tech fra Toppen: Det har CIO Mads Madsbjerg Hansen fra FLSmidth lært af flere års global it-konsolidering
Tech fra Toppen: Flere års arbejde har betydet en reduktion i antallet af it-systemer hos FLSmidth. Men processen har ikke været uden overraskelser. Hør hvad CIO Mads Madsbjerg Hansen har lært af den omfattende og globale proces.
Job & Karriere
Efter blodrødt regnskab: Nu fyrer Atea 20 medarbejdere i Danmark
Atea fyrer nu 20 medarbejdere. Det sker som en direkte konsekvens af, at den danske forretning er under pres, oplyser selskabets direktør.
White paper
Her er alt hvad du skal være opmærksom på ved den Microsoft cloud-baserede suite
Microsoft Office 365 fortsætter med at blive bedre og bedre og Office 365's kommercielle indtjening alene er steget med 38% i Q4 i 2018. Dette er måske ikke så overraskende, med styrken og fleksibiliteten in mente, men mange organisationer er stadig uvidende om begrænsningerne af Office 365, specielt når det gælder backup. I dette whitepaper kigger vi nærmere på, hvorfor Litigation Hold er en rigtig dårlig idé at bruge som backup.