Nowy robak Windows łamie słabe hasła

[SE7EN]

Morto – nowy robak sieciowy

Od dwóch dni serwisy zajmujące się bezpieczeństwem komputerowym donoszą o pojawieniu się nowego robaka sieciowego nazwanego Morto. Atakuje on źle zabezpieczone systemy Microsoft Windows wykorzystując do tego celu protokół RDP (

Zaloguj lub Zarejestruj się aby zobaczyć!

) wykorzystywany przez tzw. zdalny pulpit. Morto nie eksploituje żadnej luki w oprogramowaniu, a atak polega na próbie odgadnięcia nazwy użytkownika i hasła. Po infekcji robak szuka w sieci kolejnych komputerów z uruchomioną usługą RDP i próbuje je zainfekować. Powoduje to znaczący wzrost ruchu sieciowego na typowym dla tej usługi porcie 3389/TCP. Masową propagację Morto od jej początku obserwujemy dzięki systemowi

Zaloguj lub Zarejestruj się aby zobaczyć!

.

Obserwacje systemu ARAKIS
Regularny wzrost ruchu na porcie 3389/TCP pojawił się 15.08.2011, natomiast 24.08 nastąpił nagły i wyraźny skok, który utrzymywał się do 26.08.

28.08 aktywność na porcie wróciła do normy sprzed masowej propagacji Morto.

Skanowania RDP widziane były zarówno w honeynecie (wykresy powyżej), jak i w darknecie (poniżej).

Poniżej próbka surowego ruchu sieciowego – pakiet

Zaloguj lub Zarejestruj się aby zobaczyć!

komponentu X.224 służący do nawiązania połączenia (faza inicjacji połączenia RDP). Widać w nim ustawione

Zaloguj lub Zarejestruj się aby zobaczyć!

(rozpoczynające się od ”mstshash”), które zawiera nazwę użytkownika.

Specjaliści zajmujący się analizą robaka Morto twierdzą, że próbuje się łączyć zawsze na konto “administrator” z użyciem zestawu predefiniowanych haseł. Do honeypotów ARAKIS-a trafiały jednakże próby połączeń zawierające nazwę nie tylko tego użytkownika (chociaż w znacznej większości). Nie wiemy, czy próby połączeń RDP na konta innych użytkowników są też efektem działania tego robaka, czy raczej jest to inne zagrożenie. Stosowane w systemie ARAKIS niskointeraktywne pułapki nie pozwalają nawiązać pełnej sesji z atakującymi (usługa Remote Desktop nie jest w pełni symulowana), przez co nie możemy stwierdzić, czy za wszystkimi próbami włamań stoi Morto.

Uwaga! Z powodu ogromnej ilości danych w dalszych analizach wykorzystaliśmy pełny zapis ruchu sieciowego z pięciu najczęściej atakowanych sond systemu ARAKIS od 20.08 do 28.08.

Poniżej przedstawiamy listę najczęściej wykorzystywanych nazw użytkowników:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Interesujący ciąg znaków znajduje się na piątej pozycji – jest to znak drukowalny (”a”) poprzedzony dwoma niedrukowalnymi (”FF” i “FE” w kodzie szesnastkowym). Ciekawe wydaje się także użycie “NCRACK_USER” – najprawdopodobniej ktoś nieumiejętnie skorzystał z automatycznego skanera (najprawdopodobniej był to ncrack) – lamerka w wykonaniu script kiddie. Wśród nazw użytkowników znalazły się także słowa w wielu innych niż angielski językach, np. “usuario” (hiszpański), “skannata” (fiński), “administrateur” (francuski), czy “Verwalter” (niemiecki).

Poniżej znajduje się lista sieci (grupowanie po numerach AS), z których widzianych było najwięcej prób połączeń RDP (ataków). Proszę pamiętać, że choć w liście uwzględniono tylko połączenia w których przesłana była nazwa użytkownika (odrzuciliśmy sprawdzania otwartości portu 3389/TCP), to jak wspomniane było wyżej nie mamy pewności, czy wszystkie połączenia związane są z robakiem Morto. Ponadto istnieje prawdopodobieństwo, że źródłowe adresy IP nie są jednoznacznie źródłem ataku – mogą być to pośrednicy, za którymi ukrywa się prawdziwy atakujący. W celu odzwierciedlenia adresu IP na ASN i państwo użyliśmy serwisu IP to

Zaloguj lub Zarejestruj się aby zobaczyć!

.

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Przyjrzymy się liczbie unikalnych adresów IP (nie liczbie połączeń). Adres IP, który łączył się wiele razy będzie w tym przypadku miał wartość 1. Ta statystyka ukaże sieci, które miały najwięcej różnych atakujących. Należy pamiętać, że większe sieci z racji “efektu skali” mogą być wyżej.

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Lista państw bez podziału na AS-y – całkowita liczba ataków (niezależnie ile unikalnyh adresów IP skanowało):

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Lista państw bez podziału na AS-y – liczba unikalnych adresów IP (znowu należy uwzględnić “efekt skali” – kraje z większą liczbą podłączonych do sieci komputerów – potencjalnie więcej zarażonych – mogą być wyżej):

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Zarówno aktywność robaka Morto, jak i pozostałe skanowania RDP mogą zostać wykryte za pomocą reguł

Zaloguj lub Zarejestruj się aby zobaczyć!

. W systemie ARAKIS najczęściej dopasowywaną reguła na porcie 3389/TCP jest:

• “ET POLICY RDP connection request” (
  Zaloguj lub Zarejestruj się aby zobaczyć!
  ),
  “ET POLICY MS Remote Desktop Administrator Login Request” (
  Zaloguj lub Zarejestruj się aby zobaczyć!
  ),
  “MISC MS Terminal server request” (
  Zaloguj lub Zarejestruj się aby zobaczyć!
  )
  “ET SCAN Behavioral Unusually fast Terminal Server Traffic, Potential Scan or Infection” (
  Zaloguj lub Zarejestruj się aby zobaczyć!
  )

Aktywność robaka Morto ma odzwierciedlenie w statystykach reguł snortowych w systemie ARAKIS:

Inne serwisy
Większość znanych serwisów zajmujących się bezpieczeństwem odnotowały pojawienie się robaka Morto. Wzmożona aktywność sieciowa została zauważona przez specjalistów z Internet Storm Center SANS Institute:

• Zaloguj lub Zarejestruj się aby zobaczyć!
  
  
  Zaloguj lub Zarejestruj się aby zobaczyć!

Poniżej przedstawiamy wykres aktywności na porcie 3389 obserwowanej przez

Zaloguj lub Zarejestruj się aby zobaczyć!

Na blogu firmy F-secure znajduje się analiza Morto:

Zaloguj lub Zarejestruj się aby zobaczyć!

spreading (2011-08-28). Udostępniona jest lista haseł, które robak używa w celu dostania się do systemu. Jest ona dostępna także w

Zaloguj lub Zarejestruj się aby zobaczyć!

wraz z dokładnym opisem zagrożenia, w tym co robi na zaatakowanym systemie. Poniżej publikujemy listę haseł z serwisu Microsoft:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Jak donoszą specjaliści z firmy Microsoft, po udanej infekcji robak próbuje łączyć się do następujących serwerów. Listę tą można użyć do wykrycia zainfekowanych systemów we własnej sieci:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

W zainfekowanym systemie Morto zabija procesy, które uznaje (po nazwach) za aplikacje związane z bezpieczeństwem. Jest to bardzo popularne działanie wykonywane po infekcji przez złośliwe oprogramowanie.

Niedługo na naszym blogu przedstawimy wyniki dalszych analiz i obserwacji. Stay tuned

Źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[OXYGEN THIEF]

Specjaliści ds. bezpieczeństwa komputerowego ostrzegają przed nowym robakiem atakującym system Windows. Malware wykorzystuje hasła niskiej jakości. Robak został nazwany "Morto", a odkryto go w zeszłym tygodniu w fińskiej firmie F-Secure - administratorzy zauważyli wiele połączeń z internetem o niewiadomym pochodzeniu.

"Mimo, że ogólna liczba komputerów raportujących wykrycie robaka jest niska w porównaniu z bardziej znanymi rodzinami złośliwych programów, można zauważyć ruch generowany przez Morto", powiedział Hil Gradascevic, badacz z Microsoft Malware Protection Center (MMPC). Morto rozprzestrzenia się za pomocą RDP (Remote Desktop Protocol), protokołu kontroli połączeń między komputerami.

Robak rozprzestrzenia się dokonując logowania do serwerów Remote Desktop za pomocą słabych haseł, takich jak "abc123". Wszystkie wersje systemu Windows, począwszy od XP, korzystają z RDP, które wymaga nazwy użytkownika i hasła do logowania do zdalnego systemu.

Komputer zainfekowany przez Morto skanuje sieć lokalną w poszukiwaniu kolejnych maszyn z RDP i próbuje się włamać wykorzystując popularne hasła. Gdy któreś z haseł zadziała, robak instaluje dodatkowe elementy malware na serwerze i niszczy jego oprogramowanie. Skanowanie w poszukiwaniu potencjalnych celów generuje znaczny ruch na porcie TCP 3389, co zwróciło uwagę administratorów sieci.

Jak wynika z opinii zawartej na blogu Microsoft, wykorzystujący hasła typu "123456" lub "xyz123" worm Morto może być narzędziem hakerów do walki z ich przeciwnikami. Został utworzony po to, by sparaliżować ruch ofiary przez atak DoS (denial of service).

Info: instalki.