Malware rammer cross-platform, og NU også VMware-images!!

Nixu Blog

Nixu Blog

August 31, 2012 at 10:01

Tidligere har malware, virus, trojanere eller anden ondsindet kode primært været rettet mod en enkelt platform.

Det kunne være Windows, Mac OS X eller en af de mobile platforme. Tendensen er dog den, at den nyeste malware rammer bredere i retning af cross-platform malware, og helt nyt er, at trojaneren nu aktivt forsøger at identificere og inficere VMware-images fra host operativsystemet.

Seneste malware på cross-platform der er opdaget er Crisis og Java.Awetook.

”W32.Crisis/OSX.Crisis” er en informationstyv, hvor det primært er brugernavne og passwords der indhentes, hvilket kan have alvorlige konsekvenser hvis disse lækkes.

”Java.Awetook” er udviklet og kompromitterer primært den nye Java 7, i det sårbarheden giver angriberen mulighed for at eksekvere ondsindet kode ud af Java sandkassen og ind på det bagvedliggende system. Dette kan få virkelig kritiske konsekvenser.

Begge sårbarheder har det til fælles, at de begge er baseret på Java og kan inficere både Mac OS X og Windows.

 

Hvilke foranstaltninger bør skærpes, og hvordan?

Først og fremmest bør sikres, at der er installeret Antivirus på alle systemer, herunder gælder både Mac og PC (Den gamle skrøne med at Mac’s er immune overfor virus, burde efterhånden være blevet aflivet, hvis ikke, så skal det altså gøres nu!).

Derudover understeger de to sårbarheder endnu engang vigtigheden af, at man benytter sig af IPS (Intrusion Prevention System) beskyttelse, hvilket giver enten firewallen (hvis det er installeret på gatewayen) eller Antivirus produktet (hvis det er installeret på endpointen) mulighed for at scanne netværkstrafikken, opsnappe denne type angreb, og forhindre dem.

Mange virksomheder har desværre ikke gjort så meget ud af at beskytte de små lokale VMware test maskiner, eftersom de typisk kun bliver brugt til mindre test, og derfor har ligget lavt i risikozonen for at blive inficeret. Denne trend bryder netop ”Crisis” ved aktivt at kigge efter VMware images på de kompromitterede maskiner og forsøger at inficere dem, hvilket jo er helt nyt!!

Hvis dette er starten på et nyt mønster, som det jo kunne tyde på, så må anbefalingen helt klart være at Antivirus skal installeres på alle VMware systemer, uanset hvor lidt de benyttes.

 

Hvordan sikres opdatering af foranstaltninger, når ny malware opdages?

Både i forhold til ”W32.Crisis/OSX.Crisis” og ”Java.Awetook” blev der fra Symantecs side udsendt IPS signaturer, som kunne detekterer sårbarhederne allerede kort efter de blev opdaget. Oracle har også udsendt deres rettelser til Java, og således er producenterne hurtige til at sikre imod ny malware.

Men som virksomhed, kan det være rigtig svært, at hele tiden sikre patching af de kritiske rettelser fra flere forskellige producenter. Oftest er der etableret patch politikker og procedurer som beskriver faste tidspunkter for patching, og der kan således godt gå et tidsrum, før kritiske rettelser implementeres i virksomhedens netværk. Desuden kan rettelser berøre 3. parts applikationer, som kræver en stor indsats, at samle oplysninger om, og konstant være opdateret med. Derfor anbefaler vi, brug af værktøjer, som samler disse patches og giver et overblik over hvilke programmer lige netop din virksomhed bør opdatere. Læs mere om patch management her:

 

Har vi set disse tendenser tidligere?

Både ja og nej. Sårbarheder som inficerer systemer på tværs af platforme, er set før, men er helt klaret taget til udbredelse, hvilket jo nok også kommer af at udbredelsen af Macs, både i virksomhederne og privat, er steget væsentligt de sidste par år.

Sårbarheder der kan identificere VMware-systemer, som ligger på den kompromitteret maskine, og efterfølgende inficerer dem, er derimod helt ny og ikke set før ”Crisis”.