Støyende trojaner på ukjent kartleggingsoppdrag

Sikkerhetseksperter har oppdaget en merkelig form for Linux-trojaner som kan være i gang med et eller annet kartleggingsoppdrag.

To sikkerhetsselskaper, Internet Security Systems (ISS) og Intrusec, har samarbeidet om å analysere kode som Intrusec har fanget opp. Intrusec var først ute med å legge ut en varsel på sitt nettsted, og døpte koden for "Trojan 55808" på grunn av størrelsen på TCP-pakkene som den er opptatt av å sende og motta. Selskapet har siden godtatt forenklingen til "Stumbler" som ISS har gjennomført.

I sin varsel, som ble sist oppdater 19. juni, skriver Intrusec at de har gjennomført en foreløpig analyse av en av flere trojanere som genererer mye trafikk over Internett, i form av pakker med en TCP vindusstørrelse på 55.808 bytes. De presiserer at Stumbler bare er en av disse, og at koden de har sett på virker som en kopi av en annen trojaner eller orm. De er usikre på om Stumbler bør karakteriseres som trojaner, orm, zombie eller bakdør, og advarer at ukjente Stumbler-varianter kan inneholde ondsinnet kode, noe de ikke har funnet ennå i det de har analysert.

Intrusec betegner Stumbler som en distribuert portskanner som er vanskelig å oppdage. Den ser ut til å tilhøre en familie med portskannere som ikke replikerer seg selv eller distribuerer seg selv, men som likevel må ha en viss utbredelse. Måten den skjuler seg på, og måten den dekker over hvem den kommuniserer med, gjør at den ikke kommuniserer effektivt. På den andre siden virker det som om trojanere innen samme familie kan fange opp meldinger fra hverandre, og det kan være en mekanisme som samler informasjonen til det som kan være en form for kartlegging med ukjent hensikt. Stumbler har bare vært iakttatt på Linux-systemer, men det vil ikke by på problemer å overføre koden til Unix-systemer. Det er mulig at en "opprinnelig" variant av Stumbler kan være Windows-basert, heter det. En interessant egenskap er Stumblers evne til å slette seg selv dersom den ikke har kontakt med Internett.

Hvordan Stumbler spres, vites ikke. Intrusec antyder muligheten for enten manuell installasjon, eller gjennom datainnbrudd som er styrt av andre enn Stumbler selv.

Stor trafikk med TCP-pakker med vindusstørrelse 55.808 kan være et tegn på Stumbler-infeksjon, selv om det også finnes legitim trafikk med denne vindusstørrelsen.

ISS skriver i sin melding at tallet på infiserte verter ser ut til å være begrenset, slik at det de kaller "Stumbler-nettverket" foreløpig i liten grad vil kunne brukes til datainnbrudd eller tjenestenektangrep. Dersom nettverket skulle bli større, for eksempel ved en vellykket bakdørinstallasjon gjennom en eller annen sårbarhet, vil Stumbler-nettet kunne bli svært skadelig.

Intrusec viser til en advarsel sendt ut av snokvarslingsspesialisten Lancope allerede 9. juni. Da hadde Lancope ikke annet å gå ut fra enn trafikkanalyser fra sitt eget "honningnett" og fra nettverket til et større universitet. De antok at det måtte dreie seg om en "tredje generasjons trojaner", som teoretisk kunne tenkes å nå opptil 63 prosent av alle IP-adresse i løpet av 17 timers intervaller. Betegnelsen "tredje generasjon" innebærer at trojaneren ikke kan rammes ved å stenge spesifikke IP-adresser (første generasjon) og heller ikke ved å avdekke spesielle "signaturer" i nettverkstrafikken (andre generasjon). Lancope mener dette viser hvor påkrevet det er med snokvarslingssystemer som reagerer på unormale mønstre i nettverkstrafikken.

Lancope advarte straks både CERT og det amerikanske føderale politiet FBI.

Intrusec mener Stumbler og dens familie kan være et eksperiment med nettopp denne formen for tredje generasjonstrojaner, og advarer at koden enkelt kan endres for å volde skade. De anbefaler at IT-sikkerhetsansvarlige setter seg inn i sporeteknikker gjennomgått i en artikkel av John Payton: Tracking Down the Phantom Host.

Til toppen