Wszystko wskazuje na to, że w sieci od ok. tygodnia na szeroką skalę propaguje się nowy robak wykorzystujący niedawno upublicznioną lukę w systemach operacyjnych z rodziny Windows (biuletyn bezpieczeństwa Microsoft numer MS08-067, o której pisaliśmy w newsie Krytyczna aktualizacja Microsoft Windows z dn. 24.10.2008). Zanim przedstawię szczegóły naszych obserwacji, chciałbym zaapelować do wszystkich, którzy jeszcze tego nie zrobili: jak najszybciej zaktualizujcie swoje Windowsy.

Robak propaguje się przez port 445/TCP, co oczywiście objawia się znaczącym wzrostem ruchu na tym porcie. Według obserwacji naszego system wczesnego ostrzegania o zagrożeniach w sieci ARAKIS wzrost ruchu jest znaczny (kilkakrotnie). Ilość przepływów rejestrowana w tzw. darknecie wynosi ok. trzynastu tysięcy w pięciominutowym oknie czasu. Poniżej wykres ruchu na porcie 445/TCP rejestrowany przez ARAKISowe sondy darknetowe.

Wzrosła również ilość unikalnych hostów, z których robak się propaguje. Jest to widoczne na wykresach honeynetowych przedstawiających ilość unikalnych adresów IP z których nastąpiło połączenie do honeypotów.

Oczywiście nie cały ruch na tym porcie jest generowany przez tego robaka. Port ten wykorzystuje do infekowania wiele robaków (m.in. słynny Sasser). Skąd więc wiadomo, że ten wzrost jest generowany przez nowego robaka, a nie np. przez Sassera? Dane przechwycone przez honeypoty pokazują, że różni się on od typowej komunikacji SMB wykorzystywanej przez inne robaki. Wprawdzie nasze niskointeraktywne honeypoty nie zdołały pozyskać kompletnego robaka, to jednak początkowa komunikacja (dokładanie negocjacja wersji protokołu) jest na tyle odmienna, że wygenerował się nowy klaster.

Klaster opisuje pierwszy etap połączenia SMB, który teoretycznie nie jest atakiem. Podobny payload może być widziany w całkiem legalnym ruchu np. w sieci lokalnej. Jednak z dwóch powodów został przez nas sklasyfikowany jako atak. Po pierwsze, połączenia były nawiązywane do adresów IP pod którymi działają honeypoty, po drugie korelując z obserwacjami i analizami innych specjalistów od bezpieczeństwa (linki do publicznych ciekawych stron znajdują się poniżej) jest wielce prawdopodobne, że jest to aktywność nowego robaka.

Propagację robaka, któremu nadano nazwę W32/Conficker.worm oraz W32.Downadup, opisuje wiele zagranicznych serwisów (m.in. REN-ISAC, ISC SANS, Symantec). Jego funkcjonalność jest już także zaimplementowana w co najmniej jednym zestawie narzędzi dla cyberprzestępców, więc nie dziwi wzrost jego wykorzystania. Infekcje mają na celu wcielenie atakowanego komputera do botnetu w celu późniejszego wykorzystaniu go do popełniania przestępstw w Internecie.

Warto zauważyć, że dostępny jest już od ponad miesiąca patch łatający podatność wykorzystywaną przez robaka. Obserwacje wskazują zatem, że wiele użytkowników systemu Windows nie zaktualizowało go. Dlatego jeszcze raz apelujemy, aby wszyscy użytkownicy tych systemów, którzy tego jeszcze nie zrobili, jak najszybciej je zaktualizowali.

Ciekawe linki związane z nowym robakiem:

• http://blogs.technet.com/mmpc/archive/2008/11/25/more-ms08-067-exploits.aspx
• http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A
• https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&thread.id=178
• http://securitylabs.websense.com/content/Blogs/3237.aspx
• http://blog.trendmicro.com/ms08-067-vulnerability-botnets-reloaded/

Tags: ARAKIS, botnet, Conficker, Downadup, luka, malware, Microsoft, patch, robak

This entry was posted on 28 November 2008 at 1:07 PM and is filed under Posty. You can follow any responses to this entry through theRSS 2.0 feed. Both comments and pings are currently closed.