Klient-skanning kan utløse DoS-angrep

Zombie-nettet «Storm» på 1,7 millioner PC-er har en hittil ukjent form for automatisk selvforsvar.

Sikkerhetseksperter verden over har med stigende bekymring fulgt med utviklingen av den såkalte Storm-trojaneren de siste månedene.

Storm ble først oppdaget i januar i år. Den spres gjennom snedig utformet e-post, med svært varierte meldinger, fra uro over situasjonen i Midtøsten til varsel om digitalt postkort. Ofrene infiseres gjennom vedlegg, eller ved at de lar seg lokke til å besøke ondsinnede nettsteder.

Analysene av Storm avdekket avanserte teknikker for å hindre oppsporing av opphavet til spredningen.

Trojaneren installerer en rootkit og oppretter et peer-to-peer nettverk av PC-ene som den infiserer: Det innebærer at zombie-nettet til Storm ikke kan settes ut av spill ved å finne fram til en bestemt maskin som gir ordrer.

De første månedene var zombie-nettet til Storm forholdsvis beskjedent.

Fram til utgangen av mai avslørte IT-sikkerhetsselskapet SecureWorks 2815 Storm-zombier som spammet kundene deres. Så eksploderte antallet. Innen utgangen av juli hadde SecureWorks registrert 1,7 millioner Storm-zombier.

Samtidig viste gjengen bak Storm tegn til stadig mer aggressiv oppførsel.

I juni var nettstedet til spamjegerne Spamhaus nede i flere døgn som følge av et tjenestenektangrep («denial of service» eller DoS) anført av Storm-zombier.

I slutten av juli meldte Internet Storm Center at en ny versjon av Storm-trojaneren begikk selvmord dersom den merket at den kjørte på var en virtuell maskin. Sikkerhetseksperter er avhengig av å kjøre oppfangede trojanere i virtuelle maskiner for å analysere hva de gjør og hvordan de virker. Hensikten med selvmordsfunksjonen var følgelig å hindre dette arbeidet.

Forrig helg var et stort antall nettsteder i Canada utsatt for så mye spam at det gikk ut over ytelsen til mange av serverne. Ifølge Internet Storm Center var disse spammeldingene relativt uskyldige. De tolket tilfellet som en slags generalprøve fra gjengen bak Storm.

Sist torsdag sendte REN-ISAC, et responssenter for IT-sikkerhet blant amerikanske universiteter og høyskoler, en advarsel til sine medlemmer, Storm Worm DDoS Threat to the EDU Sector, om at Storm-trojaneren utgjør en spesiell fare for distribuert tjenestenektangrep i forbindelse med åpningen av høstsemesteret.

Bakgrunnen for advarselen er en egenskap oppdaget i visse nye versjoner av Storm-trojaneren: Evnen til automatisk å utløse tjenestenektangrep mot en maskin som skanner en infisert PC.

Doug Pearson i REN-ISAC og Gunter Ollmann i Internet Security Systems (opphavet til Internet Storm Center) sier begge til Information Week at de aldri har sett noe liknende. Det er første gang de har sett et zombie-nett med denne formen for automatisk selvforsvar.

Grunnen til at Pearson sendte ut advarselen til universiteter og høyskoler, er at disse er spesielt utsatt for trojanerens selvforsvarsmekanisme. Årsaken er dels at de gjør et poeng av å skanne alle student-PC-er ved semesterstart, før de slipper dem inn på nettverket, dels at serverne som de bruker til skanningen ligger i åpne nettverk. I bedrifter er regelen at klienter skannes i et lukket nettverk, slik at trojaneren ikke rekker å varsle andre infiserte maskiner før den blir slettet.

Ifølge SecurityFocus – Symantec-selskapet som driver tjenesten Bugtraq – utløses tjenestenektangrepet nærmest straks etter at zombie-PC-en er skannet og avslørt som Storm-infisert. Det er grunnen til at man antar at mekanismen er automatisk og bygget inn i selve trojaneren.

Nettmagasinet Strategy Page skriver at det amerikanske føderale politiet FBI har på gang en egen aksjon mot zombie-nett, kalt «Operation Bot Roast». I denne operasjonen skal FBI ha identifisert over en million PC-er fordelt på flere titalls zombie-nett, og pålagt Internett-tilbydere å bidra til at ofrene renses for smitte. FBI har nektet å kommentere i hvilken utstrekning Operation Bot Roast også gjelder botnettet til Storm.

    Les også:

Til toppen