Morto: Ikke din gjennomsnittlige skumle crawly orm

Du vet allerede hvordan du kan holde skadelig programvare i sjakk. Vi leverandører av IT-sikkerhet er over hele emnet. Så det er greit å spørre. Hvorfor i pokker skrive om malware - enda en gang?

Enkel. Programvare for skadelig programvare er opptatt. Dette betyr at ting har endret seg siden jeg skrev 10 måter å oppdage skadelig programvare og 10 flere måter å oppdage skadelig programvare, spesielt når det gjelder å ringe hjem for bestillinger.

Neste spørsmål

Hvorfor en digital orm? De er så i går, knapt verdt innsatsen i forhold til trojanere og rootkits, den nåværende malware du jour. Riktig, bortsett fra en ny og forbedret wiggler.

Ormfornyelse

Hva er en orm? Det er ofte definert som malware som kan infisere og replikere uten vår hjelp. Det gjør det ved å bruke:

  • Inntrengningsverktøy : Utnytter sårbarheter på offerdatamaskinen for å få tilgang.
  • Installatører : Overfører hoveddelen av malcode til offeret.
  • Oppdagelsesverktøy : Finner andre datamaskiner i nettverket, sammen med e-postadresser, vertslister og DNS-informasjon.
  • Skannere : Finn ut om noen av de nylig funnet måldatamaskinene er sårbare for utnyttelsene som er tilgjengelige i penetreringsverktøyet.
  • Nyttelastdråper : Ytterligere malkoder kan deponeres for å utføre ønsker fra ormenutvikleren.

Som de fleste malware i dag, begynner ormer sin reise som en drive-by nedlasting knyttet til et skadelig nettsted eller et kompromittert offisielt nettsted. Når de er innebygd, begynner datamaskene øyeblikkelig å se etter andre mottakelige datamaskiner - behovet for å lage er for kraftig.

En orm som heter Morto

Nok generaliteter, vi er her for å lære om en Internett-orm kalt Morto. På overflaten er det typisk. Men etterforskerne fant noe rart. Som ingen annen skadelig programvare, forplanter Morto seg ved å bruke Remote Desktop Protocol (RDP). Du kan gjenkjenne det som Microsofts måte å få ekstern tilgang til datamaskiner:

Jeg antar, med RDP så utbredt, trodde Morto-utviklere at det ville være en fin måte å finne og få tilgang til andre datamaskiner på det samme nettverket.

De fleste proffene - og det er jeg enig i - synes å bruke RDP er halt. For det første er RDP ikke aktivert som standard på Windows 7. Det stopper Morto kald. Slik jeg ser det, er det mest sannsynlig å finne datamaskiner med RDP aktivert i en forretningsinnstilling. Hvis du gjør det, hjelper det oppstod systemadministratorer å løse problemer med datamaskinen uten å måtte vandre over hele bygningen.

Uansett er det enkelt å side Morto. Bare endre portnummeret til noe annet enn standarden på 3389. Og sørg for at alle admin-brukerkontoer har komplekse passord.

Kommandere og kontrollere

Jeg er glad du stakk med meg gjennom prelims. Nå blir det interessant.

Betydningen av kommunikasjon med kommando og kontroll (C og C) kan ikke overdrives. Spør hvilken som helst militær tilhenger.

Dette faktum går ikke tapt på malware-utviklere. I stedet for å fly blind, begynte de å utveksle informasjon med infiserte datamaskiner ved å bruke Internet Relay Chat (IRC). IRCBots er ett eksempel. For tiden bruker metoden du velger for å sende C- og C-trafikk programmer som Twitter og Facebook-meldinger.

Morto er unik

Ved første øyekast ser det ikke ut til at Morto har noen midler til å kommunisere. Rar. Å være ny malcode, ville jeg forvente at den skulle gjøre det.

Så kom jeg over bloggen, "Morto worm set a (DNS) record", av Symantecs Cathal Mullaney. Mens reverse-engineering Morto oppdaget et team fra Symantec noe. Morto kan kommunisere. Den ringer hjem ved hjelp av DNS-domenenavnsystemet.

Søren. Nok et hull hullet i den beleirede DNS-protokollen. Slik fant Symantec ut hva Morto gjorde:

"Mens vi undersøkte W32.Morto, la vi merke til at den ville forsøke å be om en DNS-post for et antall URL-er som ble hardkodet i det binære. Dette er på ingen måte uvanlig eller unikt, men da vi undersøkte URL-ene, la vi merke til at det ikke var tilknyttede DNS A-poster returnert fra våre egne DNS-forespørsler.

Ved videre undersøkelse slo vi fast at skadelig programvare faktisk bare søkte om en DNS TXT-post - ikke for et domener til IP-oppslag - og verdiene som ble returnert var ganske uventede. "

Her er resultatene (høflighet av Symantec):

Symantec forklarer hva den Morto-infiserte datamaskinen gjør med denne informasjonen:

"Trusselen forventet tydelig denne typen svar da den fortsatte å validere og dekryptere den returnerte TXT-posten. Den dekrypterte posten ga en vanlig binær signatur og en IP-adresse der trusselen kunne laste ned en fil (vanligvis en annen malware) for utførelse."

Den nedlastede filen er nyttelasten jeg beskrev tidligere. Og det er opp til Morto-utviklerne om hvilken tilleggskode som vil lastes ned og installeres.

Siste tanker

I stor skala har ikke Morto wow-faktoren til malware som Zeus. Likevel føles det som et betydelig skritt - et sprang, kanskje - i utviklingen av malware. Kommunikasjon via DNS TXT-poster er subtil, men effektiv - nøyaktig hva skurkene vil ha.

© Copyright 2021 | mobilegn.com