Enklere enn noen gang å samordne DoS-angrep

Versjon 2.2 av snokverktøyet SubSeven er nettopp "lansert". Det blir enda lettere å samordne distribuerte DoS-angrep, og enda vanskeligere å spore opp de ansvarlige.

SubSeven karakteriseres av det amerikanske sikkerhetsselskapet Internet Security Systems (ISS) som en typisk bakdør, med svært avansert funksjonalitet. Ifølge ISS er det i dag det mest populære verktøyet for sabotører som ønsker å iverksette distribuerte angrep for å overflomme en nettjeneste med falske henvendelser, såkalt tjenestenektangrep eller "denial of service" ("DoS).

SubSeven dukket opp i mai 1999, og er også kjent som Backdoor-G. Det distribueres typisk som vedlegg til e-post, i ulike forkledninger. Ved et tilfelle i fjor ga vedlegget seg ut for å være et vern mot en ny type virus, kalt Pinkworm. Viruset var oppdiktet.

I et intervju som er gjengitt på nettstedet TLSecurity.net forteller opphavet til SubSeven, "Mobman", at programmet var tenkt som en forbedring av Net Bus. Net Bus bakvendt er Sub Ten. Mobman syntes SubSeven var et bedre navn.

SubSeven ga tidlig brukeren - datasnoken - adgang til å lytte, fange opp og endre alt eieren gjør på den infiserte maskinen. Dette omfatter lagrede og tastede passord og brukernavn. Forbedringene de siste månedene har ifølge ISS konsentrert seg om å gjøre det stadig vanskeligere å bli kvitt den uønskede klienten, forbedre tilbakemeldingene til snoken og gjøre det vanskelig å spore opp snoken fra en infisert maskin.

ISS advarte i fjor høst at selskapet hadde fått meldinger fra 800 kunder, vesentlig private brukere med DLS-abonnement, om at de var blitt infisert med SubSeven. Virusvern-leverandørene har alle oppdatert vern. Overholdelse av kjente regler for sikker surf, bidrar også til å begrense faren for at bevisste og forsiktige brukere infiseres. Utbredelsen av bredbånd i hjemmene, der Internett-tilgangen alltid er på, øker faren for at nye brukere skal kunne kapres og utnyttes i tjenestenektangrep.

Den nyeste versjonen av SubSeven, 2.2, har nye avanserte egenskaper som ISS sier seg spesielt bekymret over:

  • Støtte til "proxy" gjør at snoken kan få offerets maskin til å legge til bestemte andre maskiner mellom seg og målet for tjenestenektangrepet. Det gjør det vanskeligere å finne tilbake til offerets maskin, og dermed også til snokens.
  • På snoksiden er SubSeven utstyrt med et grafisk brukergrensesnitt som gjør pakkesniffing til en lek. Grensesnittet lar ufaglærte snokere - de kvalifiserer ikke til betegnelsen "hackere" - konfigurere nøyaktig hvordan nettverkstrafikk gjennom offerets maskin skal logges, og hvordan loggene skal sendes tilbake til snoken
  • Avlyttingen av trafikken på offerets maskin kan konfigureres til å hoppe fra port til port.
  • Tidligere kunne snoken varsles om begivenheter på offerets maskin gjennom chat, ICQ og e-post. Den nyeste versjonen av SubSeven gjør det mulig å sende slik informasjon direkte til bestemte nettsteder. Det betyr at snokergrupper kan opprette et eget nettsted som automatisk oppdateres med følsom informasjon fra alle gruppens ofre, slik at de er fritt tilgjengelige for hvem som helst av dem til bruk i blant annet tjenestenektangrep.

ISS mener også å vite at en egen utviklerpakke for SubSeven er under utarbeidelse, og at den vil distribueres gjennom de samme kanalene som gjør SubSeven enkelt tilgjengelig over nettet. SubSeven har en modulær arkitektur. Det meste av programmets funksjonalitet er fordelt på DLL-er. Utviklerpakken vil gjøre det mulig for hackere å utstyre SubSeven med egne utvidelser, Det åpner for langt mer "kreativ" bruk av programmet enn man hittil har erfart.

Til toppen