Nieuws
image

Nieuwe Conficker variant begint bij nul

maandag 23 februari 2009, 12:43 door Redactie, 9 reacties

Op zestien februari werd een nieuwe variant van de beruchte Conficker worm ontdekt, die de auteurs makkelijker besmette machines laat gebruiken. Dat geldt echter niet voor de al meer dan 10 miljoen met variant B geïnfecteerde computers. In eerste instantie was het onderzoekers niet duidelijk dat het om Conficker B++ ging, maar verdere analyse bracht wat kleine aanpassingen aan het licht. Zo bevat deze versie een nieuwe backdoor functionaliteit. Vorige Conficker versies patchten het beveiligingslek in de Windows Server service waardoor ze binnenkwamen, in het geheugen.

De B++ variant, of Conficker.C zoals Microsoft hem noemt, past een aangepaste patch toe, die een specifiek patroon in inkomende shellcode en een URL zoekt. De via de URL aangeboden lading wordt alleen uitgevoerd als de malware die heeft geverifieerd. Er is echter geen eenvoudige manier voor de bende achter Conficker om het bestaande netwerk met de nieuwe variant te upgraden. Dit betekent dat Conficker.C weer van vooraf aan moet beginnen.

Reacties (9)
23-02-2009, 13:00 door Bitwiper
De eerste URL waar redactie naar [url=http://mtc.sri.com/Conficker/]verwijst[/url] bevat zo te zien (ik heb nu geen tijd om het stuk helemaal te lezen) een zeer interessante analyse compleet met technische details van de Conficker versies tot nu toe.

Interessant daaruit vind ik ook:
Nor have we seen such a broad spectrum of antivirus tools do such a consistently poor job at detecting malware binary variants since the Storm [4] outbreak of 2007.
M.a.w. AV-oplossingen presteren niet alleen ondermaats bij weinig verbreide malware, maar ook bij rommel waarvan de auteurs van bovenstaand artikel aangeven dat honeypots deze de afgelopen maanden nauwelijks konden missen.

Heeft iemand een goede verklaring waarom AV-oplossingen zo slecht presteren bij Conficker varianten?
23-02-2009, 13:26 door Napped
Dus iedereen moet gewoon hun toetsenbord als Oekraïens instellen :+
http://ascii-table.com/img/keyboard-465.png
zo erg ziet dat er dus niet uit ;)

Ik ben dan wel geen security expert of hacker/cracker whatsoever gewoon een student aan een beheeropleiding maar ik heb wel respect voor deze coders.
Jammer dat ze kwaad in de zin hebben.

@bitwiper.
Misschien heeft het te maken met de Windows server service waar het verbinding mee legt. waarschijnlijk detecteert de AV het pas wanneer hij andere malware download.

Ik blijk toch ervaring te hebben met de conflicter.A alleen dan onder een andere naam.
Een wijze les geleerd, je kan beter updates Pushen i.p.v. wachten totdat users ze detecteren.

En het downloaden van encrypted spul helpt de antivirus ook niet. Kaspersky heeft wel de mogelijkheid tot secure verbindingen te scannen, alleen neemt dat ook weer andere risico's met zich mee.
de software voert een MITM uit waardoor je een selfsigned certificate krijgt toegeven vanuit kaspersky. Geen enkele browser pikt dit natuurlijk ;)
23-02-2009, 14:48 door [Account Verwijderd]
Heeft iemand een goede verklaring waarom AV-oplossingen zo slecht presteren bij Conficker varianten?

Heel eenvoudig: signature based AV heeft weinig toegevoegde waarde omdat de wormen meer en meer polymorf worden. Bovendien is het zo dat de eigenlijke infectie piepklein is en redelijk onschuldig maar dat die dan nieuwe payload gaat halen van andere (obscure) servers. Die nieuwe payload is dan zo specifiek dat geen enkele AV snel genoeg is om hem te detecteren. En die nieuwe payload bevat dan doorgaans de meest geavanceerde rootkit technologie om zich blijvende te verstoppen.

De enige effectieve manier om dit tegen te gaan is de administratieve rechten afpakken van al wie ze niet nodig heeft op z'n pc en een Host Based IPS (McAfee HIPS, Cisco CSA etc...) te installeren. Laat dat nu net dingen zijn waar een consument geen boodschap aan heeft.
23-02-2009, 15:59 door [Account Verwijderd]
[Verwijderd]
23-02-2009, 16:09 door Bitwiper
Door deej
Heeft iemand een goede verklaring waarom AV-oplossingen zo slecht presteren bij Conficker varianten?

Heel eenvoudig: signature based AV heeft weinig toegevoegde waarde omdat de wormen meer en meer polymorf worden.
Polymorfe (zichzelf veranderende) malware bestaat al heel lang. Is er in Conficker soms een -tot heden-onbekende technologie ingebouwd waarmee nieuwe varianten zich moeilijk of niet laten voorspellen?
Bovendien is het zo dat de eigenlijke infectie piepklein is
Conficker.A was al 62,976 bytes [url=http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=2]volgens Symantec[/url].
en redelijk onschuldig maar dat die dan nieuwe payload gaat halen van andere (obscure) servers.
In 60kB moeten toch voorspelbare patronen te vinden zijn lijkt me. Vermoedelijk hebben de AV-boeren deze worm onderschat en vereiste de analyse veel getalenteerde mankracht (die misschien steeds minder beschikbaar en/of erg duur is).

Dat nageladen spul lastig te detecteren is snap ik. IPS, non-admin, allemaal prima, maar we geven met z'n allen geld uit aan AV als first line of defense (detectie van malware voordat deze wordt opgestart. Daarbij is een MS08-067 infectie in eerste instantie lastig mee te tellen omdat virusscanners op file-I/O triggeren. Aan de andere kant wordt er vervolgens een DLL naar C:\Windows\System32 geschreven en dat mag toch wel op enige aandacht rekenen! Van AV verwacht ik zekerl dat ze bij het lezen van de malware vanaf een USB-stick of netwerk-share alarm slaan.

Een bestand van ca. 60kB dat zich verspreidt moet voorspelbaar en te detecteren zijn. Behalve gissen zie ik nog geen onderbouwde verklaring waarom Conficker zo slecht gedetecteerd wordt door gangbare AV-oplossingen.
23-02-2009, 23:32 door Ilja. _V V
[quote="door Napped"]Dus iedereen moet gewoon hun toetsenbord als Oekraïens instellen[/quote]Dat werkt alleen bij de A-variant, die overigens ook de geologische locatie van het IPnummer probeert te vinden. Ik heb van het weekend al dat rapport doorgenomen & de B-variant word vanuit Buenos Aires, Argentinie aangestuurd. Deze mist de toetsenbord-zelfmoord.
De B++-variant heeft 3 modificaties plus 39 nieuwe subroutines, waarmee de globale Cabal-samenwerking geinitieerd door Microsoft word omzeild. Zonder die samenwerking had Conficker eenzelfde of grotere impact gehad dan Sasser of Storm.
In alle varianten komt het erop neer dat er een buffer-overflow gecreeerd word.
Verdere analyse & beknopte vertaling gaat me boven de pet. ;-)
24-02-2009, 00:44 door Anoniem
Heeft iemand een goede verklaring waarom AV-oplossingen zo slecht presteren bij Conficker varianten?

Hieronder een link naar een artikel hoe de worm te werk gaat:

http://www.dshield.org/diary.html?storyid=5842

In dat artikel concludeert de schrijver dat Conficker niet is geschreven door een amateur maar door een professional.
24-02-2009, 23:31 door Anoniem
Dat werkt alleen bij de A-variant, die overigens ook de geologische locatie van het IPnummer probeert te vinden.
Aha, dus of het ip-adres uit het Holoceen of het Pleistoceen komt?
25-02-2009, 20:20 door Anoniem
Door Bitwiper Heeft iemand een goede verklaring waarom AV-oplossingen zo slecht presteren bij Conficker varianten?

Deze software bevindt zich buiten de Windows partities, ze zit geëncrypteerd in ongepartitioneerde raw-data ruimte, opgedeeld in stukken. Buiten dat is er nog veel meer aandacht besteed aan het niet gedetecteerd worden.


Door Anoniem
Dat werkt alleen bij de A-variant, die overigens ook de geologische locatie van het IPnummer probeert te vinden.
Aha, dus of het ip-adres uit het Holoceen of het Pleistoceen komt?

Hahahaha =P


Dark
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search