Malware, der inficerede master boot record'en, var almindelig tilbage i MS-DOS tiden.
Foto: Frederic Prochasson/Goldmund/iStockphoto

Ny trojaner bruger gammelt trick for at gemme sig

I løbet af den sidste måned er en ny type ondsindet software fremkommet, som bruger en teknik, der er årtier gammel, til at gemme sig fra antivirussoftware.

Computerworld News Service: Denne nye malware, som Symantic kalder Trojan.Mebroot, installerer sig selv på den første del af computerens harddisk, så den bliver indlæst ved opstart, og derefter laver ændringer i Windows kernel.

Det gør det overordentligt svært for sikkerhedssoftware at opdage den.

Kriminelle har siden midten af december været i gang med at installere Trojan.Mebroot, kendt som et master boot record rootkit, og det er lykkedes dem at inficere næsten 5.000 brugere i to separate angreb 12. december og 19. december, ifølge VeriSigns iDefense Intelligence Team.

Fjernkontrol
For at installere denne software på et offers computer, lokker angriberne dem først over på et kompromitteret website, som så iværksætter en vifte af angreb mod offerets computer i håbet om at finde et sikkerhedshul hvorigennem, det er muligt at afvikle rootkittets kode på computeren.

Når den først er installeret, giver malwaren angriberne kontrol over offerets computer.

Gruppen, der står bag dette seneste rootkit, er den samme, som var ansvarlig for den trojanske hest Torpig, og man regner med, at denne gruppe allerede har installeret mere end 250.000 trojanske heste, beskriver iDefense i en rapport om rootkittet, der udkom i mandags.

Det interessante ved Trojan.Mebroot er, at den installerer sig selv på computerens master boot record (MBR). Dette er den første sektor på computerens harddisk og det første der indlæses under opstart af operativsystemet.

"Dybest set, hvis du har kontrol over MBR, har du kontrol over operativsystemet og derfor over den computer, operativsystemet ligger på," skrev Elia Florio, forsker ved Symantic, i en blogpost om Trojan.Mebroot.

Forbryderne bruger adskillige versioner af denne angrebskode, hvoraf nogle p.t. ikke bliver opdaget af visse antivirusprogrammer," udtaler iDefense.

"I øjeblikket arbejder antivirusdetektering med bind for øjnene, dog har et antal antivirusprodukter fået tilføjet detektering af denne ondsindede kode allerede den seneste dags tid," siger Andrew Storms, leder af sikkerhedsoperationer hos nCircle Network Security.

"I forhold til indtrængen ser det for mange stadig ud til, at der er en overordnet lav distribution. Bekymringen er, at gruppen, der muligvis er ved at forberede en større distribution, er velforberedt."


Teknisk udfordring
Malware, der inficerede master boot record'en, var almindelig tilbage i MS-DOS tiden, men den tilgang har kun sjældent været brugt i angreb de senere år.

I 2005 holdte forskere fra eEye Digital Security dog et oplæg ved Black Hat sikkerhedskonferencen, hvor de fremviste, hvordan et rootkit kunne gemme sig på MBR'en. Dette Trojan.Mebroot-software er afledt af den kode, udtaler iDefence.

"Det er en teknisk udfordring at få denne form for ondsindet software til at fungere pålideligt, og der har generelt været nemmere måder at få kontrol over computere på i de senere år," siger Marc Maiffret.

Han er selvstændig sikkerhedsforsker og var chief technology officer hos eEye, mens koden blev udviklet.

Angribere fik dog en hånd sidste år, da forskere ved NV Labs udgav et 'proof of concept' for et MBR rootkit.

Maiffret udtaler, at selv om vi muligvis snart vil se flere af disse MBR rootkits, "vil det ikke tage lang tid for samtlige antivirusvirksomheder at reagere."

"Det er ikke nogen splinterny angrebsretning, som bliver svær at modvirke," siger han.

"Det er blot, at man ikke rigtigt har givet det nogen særlig opmærksomhed endnu."

Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
AlfaPeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Business intelligence: Selvbetjening og automatisering styrker din BI-løsning

En ny generation af løsninger inden for business intelligence og analytics skaber helt nye muligheder for, at man kan anvende analyserne mere aktivt i dagligdagen til at styrke forretningen.

21. august 2018 | Læs mere


GDPR fire måneder efter ikrafttræden: Få styr på processerne – de næste skridt

På dette seminar får du bud på, hvor du kan finde de skjulte proces-fordele ved at være GDPR-compliant. Og hvordan du får fikset de mest kritiske GDPR-mangler lige nu.

28. august 2018 | Læs mere


GDPR fire måneder efter ikrafttræden: Få styr på processerne – de næste skridt

På dette seminar får du bud på, hvor du kan finde de skjulte proces-fordele ved at være GDPR-compliant. Og hvordan du får fikset de mest kritiske GDPR-mangler lige nu.

30. august 2018 | Læs mere





mest debaterede artikler

Premium
IBM efter overtagelsen af 300 KMD-medarbejdere: "Vi har ikke planer om at indføre tryghedsaftaler"
Interview: IBM ønsker ikke at indføre tryghedsaftaler. Det er meldingen fra selskabets kommunikationschef, Benedicte Strøm, der understreger, at selskabet vil overholde sine forpligtelser over for de 300 KMD-ansatte, der overflyttes til virksomheden fra begyndelsen af oktober.
Computerworld
KMD tæt på milliardaftale med IBM: Klar til at outsource infrastruktur og hundredevis af medarbejdere
Ifølge Computerworlds oplysninger er KMD tæt på at outsource selskabets infrastruktur og driftsopgaver til IBM. Det betyder, at flere hundrede medarbejdere vil blive berørt af den flerårige aftale, som har en årlig værdi på omkring 500 millioner kroner.
CIO
Henrik Jeberg om at arbejde i Silicon Valley: "Er du dygtig nok får du tilbud der får en til at falde ned af stolen."
Henrik Jeberg bor i San Francisco og er direktør i Hampleton Partners, der rådgiver om opkøb med særligt fokus på teknologi. Hør ham fortælle om forskellen på Danmark og Silicon Valley - og om nogle af de vilde forhold der hersker i verdens ubestridte tech-hovedstad.
Job & Karriere
KMD opsagde tryghedsaftaler med medarbejderne få måneder før 300 medarbejdere blev outsourcet til IBM
KMD har i løbet af foråret opsagt to såkaldte tryghedsaftaler med en del af selskabets medarbejdere. Når aftalerne stopper ved udgangen af 2018, er de pågældende medarbejdere ikke længere berettiget til særlig godtgørelse. Det kan få konsekvenser, hvis IBM som forventet skærer i antallet af de 300 KMD-medarbejdere, som selskabet overtager.
White paper
På jagt efter nyt BI-system? … Her er analysen og de 25 vigtigste KPI’er
Et godt BI-system er en central del af en digitaliseret virksomhed. Dette whitepaper fra EG dykker ned i en analyse af de nødvendige overvejelser på det organisatoriske, teknologiske og brugerorienterede niveau. Samtidig får du en liste med 25 vigtige KPI’er inden for ni funktionsområder, så du kan se, hvad andre virksomheder holder øje med.