Hittil ukjent tjenestenettagent avslørt på 400 chat-verter

Agenten Trinity gjør det mulig å lansere distribuerte tjenestenektangrep gjennom Internett chat. ISS X-Force har rapporter om 400 tilfeller av ulovlig installasjon.

X-Force er forskningsavdelingen til det amerikanske sikkerhetsselskapet Internet Security Systems (ISS). Den har sitt eget nettsted der den sender ut advarsler om sikkerhetstrusler mot systemer som er koplet opp mot Internett.

Den siste advarselen, datert 5. september, gjelder et nytt verktøy for distribuerte tjenestenektangrep (DDoS for "distributed denial of service") døpt Trinity v3. X-Force har mottatt rapporter om 400 tilfeller der Trinity er ulovlig installert på IRC-verter (Internet Relay Chat - det dreier seg om vertsmaskiner for chat-kanaler). Det advares at nye installasjoner avdekkes hver dag, og at det samlede tallet på kompromitterte IRC-verter ikke er kjent.

I februar i år ble flere store nettsteder periodevis lammet av tjenestenektangrep fra andre agenter enn Trinity. De meste kjente tilfellene gjaldt Yahoo, Amazon.com, Ebay og Buy.com.

Trinity kjøres under Linux. Den kan ikke installeres som trojaner. Det kreves privilegert tilgang til selve maskinen, men ikke fysisk nærvær. En kompromittert maskin har denne binærfilen: /usr/lib/idle.so. Filen inneholder adresser til elleve tjenere i IRC-nettet Undernet, og kopler seg til en av dem når den startes.

Trinity styres gjennom kommandoer som gis til IRC-kanalen. Formatet er: "angrepstype" "igangsetterens passord til Trinity" "IP-adressen til offerets webtjener" "angrepets varighet i sekunder". Det kan velges mellom åtte ulike typer angrep, blant andre "UDP flood" og "syn flood".

Også andre binærfiler på kompromitterte maskiner er knyttet til Trinity, blant annet en falsk utgave av uucico i /var/spool/uucp/uucico. Denne utgjør en bakdør som lytter på TCP-port 33270.

X-Force advarer at dersom 400 Trinity agenter mobiliseres til et samordnet angrep, er det nok til å lamme en stor e-forretning der det ikke er installert hensiktsmessige verktøy for overvåking og varsling av unormal aktivitet, såkalt "intrusion detection".

I stt varsel gir X-Force detaljerte anvisninger på hvordan man kan avsløre om Trinity har kompromittert en maskin. Det anbefales å reformatere disken og reinstallere all system- og programvare på kompromitterte maskiner.

Les mer om distribuerte tjenestenektangrep:


Skammekrok skal øke nettsikkerheten
Norsk selskap øverst på smurfe-toppen
125.000 datanettverk kan bli smurfe-slaver
Økokrim: - Sterk økning i antall DOS-angrep
Antall angrep på webservere stabiliseres
FBI sliter med å finne vandaler

Til toppen