Malware, der inficerede master boot record'en, var almindelig tilbage i MS-DOS tiden.
Foto: Frederic Prochasson/Goldmund/iStockphoto

Ny trojaner bruger gammelt trick for at gemme sig

I løbet af den sidste måned er en ny type ondsindet software fremkommet, som bruger en teknik, der er årtier gammel, til at gemme sig fra antivirussoftware.

Computerworld News Service: Denne nye malware, som Symantic kalder Trojan.Mebroot, installerer sig selv på den første del af computerens harddisk, så den bliver indlæst ved opstart, og derefter laver ændringer i Windows kernel.

Det gør det overordentligt svært for sikkerhedssoftware at opdage den.

Kriminelle har siden midten af december været i gang med at installere Trojan.Mebroot, kendt som et master boot record rootkit, og det er lykkedes dem at inficere næsten 5.000 brugere i to separate angreb 12. december og 19. december, ifølge VeriSigns iDefense Intelligence Team.

Fjernkontrol
For at installere denne software på et offers computer, lokker angriberne dem først over på et kompromitteret website, som så iværksætter en vifte af angreb mod offerets computer i håbet om at finde et sikkerhedshul hvorigennem, det er muligt at afvikle rootkittets kode på computeren.

Når den først er installeret, giver malwaren angriberne kontrol over offerets computer.

Gruppen, der står bag dette seneste rootkit, er den samme, som var ansvarlig for den trojanske hest Torpig, og man regner med, at denne gruppe allerede har installeret mere end 250.000 trojanske heste, beskriver iDefense i en rapport om rootkittet, der udkom i mandags.

Det interessante ved Trojan.Mebroot er, at den installerer sig selv på computerens master boot record (MBR). Dette er den første sektor på computerens harddisk og det første der indlæses under opstart af operativsystemet.

"Dybest set, hvis du har kontrol over MBR, har du kontrol over operativsystemet og derfor over den computer, operativsystemet ligger på," skrev Elia Florio, forsker ved Symantic, i en blogpost om Trojan.Mebroot.

Forbryderne bruger adskillige versioner af denne angrebskode, hvoraf nogle p.t. ikke bliver opdaget af visse antivirusprogrammer," udtaler iDefense.

"I øjeblikket arbejder antivirusdetektering med bind for øjnene, dog har et antal antivirusprodukter fået tilføjet detektering af denne ondsindede kode allerede den seneste dags tid," siger Andrew Storms, leder af sikkerhedsoperationer hos nCircle Network Security.

"I forhold til indtrængen ser det for mange stadig ud til, at der er en overordnet lav distribution. Bekymringen er, at gruppen, der muligvis er ved at forberede en større distribution, er velforberedt."


Teknisk udfordring
Malware, der inficerede master boot record'en, var almindelig tilbage i MS-DOS tiden, men den tilgang har kun sjældent været brugt i angreb de senere år.

I 2005 holdte forskere fra eEye Digital Security dog et oplæg ved Black Hat sikkerhedskonferencen, hvor de fremviste, hvordan et rootkit kunne gemme sig på MBR'en. Dette Trojan.Mebroot-software er afledt af den kode, udtaler iDefence.

"Det er en teknisk udfordring at få denne form for ondsindet software til at fungere pålideligt, og der har generelt været nemmere måder at få kontrol over computere på i de senere år," siger Marc Maiffret.

Han er selvstændig sikkerhedsforsker og var chief technology officer hos eEye, mens koden blev udviklet.

Angribere fik dog en hånd sidste år, da forskere ved NV Labs udgav et 'proof of concept' for et MBR rootkit.

Maiffret udtaler, at selv om vi muligvis snart vil se flere af disse MBR rootkits, "vil det ikke tage lang tid for samtlige antivirusvirksomheder at reagere."

"Det er ikke nogen splinterny angrebsretning, som bliver svær at modvirke," siger han.

"Det er blot, at man ikke rigtigt har givet det nogen særlig opmærksomhed endnu."

Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Internet of Things er klar til næste fase: Forretning, teknologi og sikkerhed

Der er blevet talt og skrevet meget om Internet of Things i de senere år. Internet of Things bevæger sig nu ind i en ny fase, hvor løsningerne og anvendelsesmulighederne stiger hastigt i antal samtidig med, at det egentlige potentiale er klar til at blive indfriet. Vi sætter fokus på forretningsmulighederne og på hvordan I kan komme igang samt på udfordringer med sikkerhed, privacy og it-drift.

23. oktober 2018 | Læs mere


Fremtidens It service management: Optimer dit setup med de nyeste teknologier

Det er vigtigere end nogensinde at have styr på kerneopgaverne i virksomhedens it-drift. Fra monitorering af systemerne til udrulning af applikationer, håndtering af service desken og alle udfordringerne med it-sikkerheden. Kom og bliv klogere på mulighederne for automatisering og optimering med ITSM og den nyeste robotteknologi.

24. oktober 2018 | Læs mere


Fremtidens kommunikation: Hvad skal der til for at du kan følge med morgendagens digitale krav?

Fremtidens kommunikation: Hvad skal der til for at du kan følge med morgendagens digitale krav? Fokus for de fleste virksomheder er på at være på forkant med den digitale udvikling, der går stærkere end nogensinde tidligere. Cisco ved om nogen hvor vigtigt det er at kunne levere ”customer experience” på tværs af teknologiske platforme og med en agilitet der matcher den øgede konkurrence.

01. november 2018 | Læs mere






Premium
Kendt dansk trafik-app virker igen som før: Har lukket ned for Frank Rasmussens adgang til data
Interview: Saphe har stoppet for telerigmanden Frank Rasmussens adgang til trafik-appens data. Det er sket på utraditionel vis, men betyder, at Fartkontrol.nu-appen igen fungerer som før. "Beskyldningerne var rigtige nok, men vi har lukket ned, så vi kan se, at Hopper ikke tager vores data længere," lyder det fra Saphe.
Computerworld
Google indfører Android-gebyr efter kæmpe EU-bøde: Android-producenter skal nu betale for brug af Google-tjenester
Efter sommerens kæmpe EU-bøde indfører Google licensbetaling for Android-producenters brug af blandt andet Play Store. Men "Android vil forblive gratis og open source," lyder det fra selskabet.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Her er syv job-annoncer der overrasker med helt usædvanlige overskrifter
Der er mange ledige it-job i øjeblikket. It-jobbank har her fundet syv spændende stillinger, der har det til fælles, at annoncen har en utraditionel overskrift.
White paper
NY 2018 it-survey: Hvad skaber arbejdsglæde for it-professionelle i Danmark?
it-jobbank og Computerworld har i tæt samarbejde udarbejdet den seneste arbejdsglæderapport for it-professionelle i Danmark. Med mere end 3.000 respondenter får du og din virksomhed et unikt og fyldestgørende indblik i, hvad I skal fokusere på, når I skal rekruttere og ikke mindst fastholde jeres it-medarbejdere. Derudover viser rapporten overraskende, at mere end halvdelen af de adspurgte overvejer at skifte job i løbet af de de næste 24 måneder.