Iako je Microsoftov sigurnosni propust iz 10. mjeseca 2008. godine već stvar prošlosti (MS08-067), i danas su mnoge mreže u Hrvatskoj i regiji zaražene crvima koji iskorištavaju taj poznati propust.
Uz Trend Micro Officescan i Worry Free rješenja možete vrlo jednostavno otkriti aktivnost takvog malware-a u mreži, čak i bez sveobuhvatne instalacije po mreži, te pritom unaprijediti sigurnost kod korisnika, ponuditi kvalitetnu konzultantsku uslugu i steći povjerenje korisnika - a naravno ostvariti i dodatni popust u slučaju realizacije prodaje!

Vratimo se na trenutak u prošlost. Na dan 23.10.2008. Microsoft je izdao kritičnu zakrpu za propust koji u osnovi omogućava udaljeno izvršavanje bilo kakvog programa na Windows računalima širom svijeta. Postaje jasno da je iskorištavanje propusta idealno za “tihu” propagaciju mrežnog crva bez ikakve interakcije sa korisnikom. I doista, već nekoliko dana poslije pojavljuje se mrežni crv koji koristi upravo navedeni propust za širenje: Conficker/Downad. Očekivano, milijuni Windows servera i klijenata ubrzo su zaraženi eksponencijalnom stopom.

Danas je Conficker zaraza u opadanju na globalnoj razini, što potvrđuju detaljne statistike Conficker working Group-a (CWG). Ipak, Hrvatska, Bosna i Hercegovina, te druge zemlje u regiji pokazuju vrlo visoku stopu zaraze čak i danas (gledano u odnosu na adresni prostor lokalnih ISP-eva). Vrlo je teško govoriti o apsolutnim brojkama, no podaci CWG-a upućuju da je Hrvatska na 63. mjestu, a BiH na čak 7. mjestu po stopi zaraženosti, od ukupno 184 zemalja obuhvaćenih statistikom.
Ovo je posljedica činjenice da zemlje u regiji imaju relativno visok stupanj “internetizacije”, ali praćen lošom praksom održavanja, slabom antivirusnom tehnologijom, niskim stupnjem znanja i visokom stopom piratiziranog softvera (koje se ne krpa automatski). Raširenost Conficker crva u pravilu indicira loše stanje sigurnosti endpoint-ova (obzirom da je patch za crv dostupan od 10/2008) i vjerovatno prisutnost puno šireg spektra malware-a.

Stoga možete računati da ćete i danas (12/2010), dvije godine poslije, u većini organizacija i mreža pronaći tragove aktivnosti Conficker-a ili srodnih crva koji iskorištavaju već dugo poznati propust, najčešće bez znanja korisnika ili administratora!

Valja naglasiti da Trend Micro proizvodi još od 10/2008. godine štite na mrežnom sloju od Confickera i svakog budućeg malware-a koji širenje temelji na propustu MS08-067! Dovoljno je imati uključenu Firewall ili bolje rečeno Network Virus Scanner komponentu bilo kojeg TM proizvoda - pa su čak i nezakrpana računala automatski zaštićena.

Evo kako otkriti tragove Conficker i srodnog malware-a u mreži koristeći instalaciju samo jednog Trend Micro Officescan ili Worry Free Business Security (WFBS) klijenta:

1. Izgraditi samostalni Officescan ili WFBS MSI paket i instalirati ga u korisnikovom okruženju
2. Konfiguracija klijenta mora imati ove karakteristike: pravo ažuriranja sa interneta, sva prava izmjene konfiguracije, uključen firewall sa default politikom (Access all ili Low Security Level).
3. Instalirati na jedno domensko računalo ili bilo kojeg člana workgroup-a u mreži tvrtke ili organizacije
4. Opcionalno: na navedenom računalu otvoriti jedan share sa write pravima (ovo je popularna metoda širenja crva)
5. Pričekati cca 1h, idealno 24-48 ili više sati
6. Prikupiti i interpretirati logove

Interpretacija Officescan ili WFBS firewall logova na klijentu

U Firewall logovima tražite jednu od navedenih detekcija:

• MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT
• Net Virus -- MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT

Zatim interpretirate Firewall logove kako slijedi:

Ako je stupac Direction: Incoming ili Receive
Tada je IP adresa navedena u stupcu Local Host/IP cilj napada (žrtva), a IP adresa u stupcu Remote Host/IP je napadač odnosno crvom zaraženo računalo. Pronađite navedeno računalo u mreži (najčešće se radi o računalu koje nema ažurnu AV zaštitu ili nema novije zakrpe).

Ako je stupac Direction: Outgoing ili Send
Tada je IP adresa navedena u stupcu Local Host/IP napadač odnosno crvom zaraženo računalo, a IP adresa u stupcu Remote Host/IP je cilj napada.

Evo primjera logova iz Officescan klijenta (klikni za uvećati):

U navedenom primjeru: računalo pod poljem Local Host (192.168.100.223) je napadač i izvorište zaraze (jer stupac Direction ima vrijednost Send), a računalo 192.168.100.213 je samo cilj napada. Stoga se koncentrirajte na čišćenje računala 192.168.100.223.

U Worry Free klijentu primjer firewall log detekcija izgleda ovako (klikni za uvećati):

U gornjoj slici: računalo pod poljem Local IP (192.168.100.221) je samo cilj napada (jer stupac Direction ima vrijednost Incoming), a računalo 192.168.100.223 je napadač i izvorište zaraze.

Koristeći gore opisani postupak ćete korisniku vrlo jasno ukazati na problem kojeg vjerovatno nije svjestan te ponuditi mu uistinu vrijednu informaciju - sve to uz instalaciju Trend Micro klijenta na samo jednom računalu u mreži.

Ukoliko u mreži imate i Officescan ili WFBS server, tada gore navedene firewall logove možete dohvatiti i kroz web konzolu. Interpretacija logova iz web konzole je slična kao što je opisano gore, a primjer takvih detekcija je na slici niže.

Imajte na umu da malware koji iskorištava navedeni propust je u pravilu složena aplikacija koja ima mogućnosti automatske nadogradnje, što znači da danas može biti neaktivna, a već sutra može dobiti instrukciju za probijanje administratorske lozinke u domeni, krađu različitih lozinki i podataka (keyboard logger), masovno slanje spama koje dovodi korisnika na blacklistu, uništavanje podataka ili čak preusmjeravanje novca na krive račune kroz internet banking aplikacije (man in the browser attack). Stoga je pronalaženje i čišćenje ovakvog malware-a definititivno važno, a predstavlja idealnu priliku za prodaju kvalitetnog antimalware rješenja.

Tema ovog članka bila obrađena na jednom od naših webex-a, snimku možete pronaći ovdje (traje 50 minuta).

Kako bi vam pomogli u otkrivanju malware-a a ujedno i u zamjeni slabijih antimalware rješenja, do 31.12. vam osiguravamo 50% popusta za zamjenu konkurencije uz slijedeća dva uvjeta:

- postojanje licence za konkurentski proizvod (ili ponude za konkurentsko rješenje u slučaju da korisnik nema nikakav klijentski antimalware sustav)

- screenshot firewall loga ili sam log iz kojeg je moguće uočiti malware prema uputama iz ovog članka

Ponuda vrijedi za slijedeće Trend Micro proizvode:

- Worry Free Business Security Standard/Advanced

- Enterprise Security for Endpoints (Light)

Informacije iz gornjeg članka bi vam trebale pomoći u podizanju razine svijesti o problemu, jer iako se malware ne manifestira ne znači da ne postoji, ali i kvalitete rješenja kod samog korisnika!

 Dva korisna članka na ovu temu iz prošle godine možete pronaći ovdje:

Antivirusni firewall na klijentima - zašto je bitan? Najnoviji primjer Downad/Conficker crva

Kako riješiti Downad / Conficker zarazu u mreži

Trebate više informacija? Slobodno nas kontaktirajte!