Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Software » Beheer & Beveiliging » Beveiligingsexperts bereiken doorbraak in bestrijding Conficker

Beveiligingsexperts bereiken doorbraak in bestrijding Conficker

Door Olaf van Miltenburg, maandag 30 maart 2009 17:42, views: 25.471

Beveiligingsexperts weten nog niet wat de worm Conficker voor besmette computers in petto heeft, maar hebben wel een vingerafdruk van de malware gevonden en een tool ontwikkeld die de malware snel op afstand kan detecteren.

Conficker is een worm die sinds zijn eerste verschijning, in oktober 2008, een enorm aantal besmettingen op zijn naam heeft staan. Onduidelijk is wat de worm voor schade aan gaat richten: er zijn alleen aanwijzingen dat de malware op 1 april zal ontwaken. Conficker gebruikt een scala aan geavanceerde technieken die het systeembeheerders en beveiligingsexperts moeilijk maken inzage te krijgen in onder andere de verspreidingswijze.

Ook de detectie was lastig tot nu toe: alleen het scannen van individuele machines bracht een infectie aan het licht, waarmee beheerders van grote aantallen systemen niet blij waren. Onderzoekers van het Honeynet Project hebben nu in samenwerking met beveiligingsexpert Dan Kaminsky een nieuwe tool ontwikkeld op basis van een doorbraak bij de detectie. "Conficker verandert eigenlijk hoe Windows er uit ziet op het netwerk en deze verandering kan op afstand, anoniem en heel, heel snel gedetecteerd worden", beschrijft Kaminsky.

Hij wist afgelopen vrijdag samen met Tillmann Werner en Felix Leder van het Honeynet Project de vingerafdruk te vinden op basis van data die de deelnemers aan het project beschikbaar stelden. Sindsdien zijn de drie druk bezig geweest met het ontwikkelen van een tool, die inmiddels is uitgebracht en wordt geïntegreerd in netwerkgereedschap als Nmap. Hierdoor kunnen systeembeheerders snel ontdekken of systemen binnen een netwerk geïnfecteerd zijn.

Eindgebruikers kunnen de worm met de meeste gangbare antivirussoftware detecteren en te lijf gaan. Een van de symptomen van besmetting zou het niet kunnen bezoeken van sites als Windows Update of de sites van makers van beveiligingssoftware zijn. 

Volgende 18:16 Motorola introduceert touchscreentelefoon
Vorige 17:12 Mmo-game Huxley verschijnt voorlopig niet voor console
Advertentie

Categorieën

Lees meer over

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 65 reacties zichtbaar650 Off-topic / Irrelevant: 54 reacties zichtbaar54+1 On-topic: 11 reacties zichtbaar11+2 Informatief: 6 reacties zichtbaar6+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door g0tanks, maandag 30 maart 2009 17:48

Score: 0
Ook wel leuk om te weten: Microsoft heeft een beloning van $250,000 voor degene die informatie heeft over de maker dat kan leiden tot een arrestatie. :P

http://edition.cnn.com/20...virus.downadup/index.html

edit: @GuidoH had ik niet gezien ;(

[Reactie gewijzigd door g0tanks op maandag 30 maart 2009 17:57]

Door n00bs, maandag 30 maart 2009 18:16

Score: 0
En toen was het een grote 1 April grap :Y)

Door Cidious, maandag 30 maart 2009 18:48

Score: 0
Zou ik wel stijl vinden.. een zodanig geavanceerde worm schrijven die bijna niet te stoppen is en op 1 april laten ontwaken als onschuldig niks beschadigende 1 april grap..

Dat vind ik nog eens stijl.. dan hebben die malware schrijvers wel een harde piemel maar beschadigen ze er niks mee..

want dat is het toch.. mensen die virussen schrijven worden daar toch geil van? dat moet haast wel..

Door CAPSLOCK2000, maandag 30 maart 2009 19:13

Score: 0
Op een bepaalde manier beschouwd is die schade er nu al. Duizenden systeembeheerder zijn wereldwijd bezig met deze worm. Dat is al genoeg schade op zich.
Je zou wel kunnen stellen dat als die systeembeheerders hun werk direct goed hadden gedaan er niks aan de hand was geweest, maar zo werkt het toch ook weer niet.

Door uid0, maandag 30 maart 2009 19:31

Score: 0
dat is niet perse waar
conficker komt binnen via ongepatchte lekken (inderdaad de schuld van de systeembeheerder) maar ook door het aansluiten van usb media door gebruikers, het raden (bruteforce) van gebruikerswachtwoorden etc. En niet alles kan je afschermen.

Door Sfynx, dinsdag 31 maart 2009 12:18

Score: 0
maar ook door het aansluiten van usb media door gebruikers, het raden (bruteforce) van gebruikerswachtwoorden etc. En niet alles kan je afschermen.
Goede beheerders geven gebruikers niet de benodigde systeem- en/of netwerkrechten om de worm zich diep ergens in te laten nestelen. Dan maakt het niet meer uit wat een gebruiker doet met z'n USB-stick of wachtwoord.

Door Roland684, maandag 30 maart 2009 19:32

Score: 0
Mwa.. updates installeren, etc. is juist het werk van systeembeheerders, ik vind niet dat je dat schade kunt noemen. Echt schade komt er pas als de systeembeheerders nu nog geen actie ondernemen en er woensdag systemen uitvallen, dan kun je spreken van nalatigheid.

Als Microsoft zijn werkt direct goed gedaan zou hebben, zouden we misschien minder systeembeheerders nodig gehad hebben :) Bij ongeveer elk ander bedrijf is veiligheid een afweging tussen kosten en risico.

Door Xorsist, maandag 30 maart 2009 19:33

Score: 1
En hoezo werkt dat ook weer niet zo? Moeten systeembeheerders niet net als normale gebruikers gewoon zorgen dat ze up to date zijn met hun patches? Ik bedoel dat men een test-traject heeft voor patches OK, maar als men na 6 maanden nog steeds vatbaar is .... sorry maar dan weet je in mijn ogen gewoon niet waar je mee bezig bent.

Door CAPSLOCK2000, dinsdag 31 maart 2009 01:39

Score: 0
Met "dat" bedoel ik dat een ongepatched systeem nog geen toestemming is om er een worm op te installeren.
Hoewel er geen schade zou zijn opgetreden als de systeembeheerder z'n werk had gedaan, kun je niet zeggen dat de schade de schuld is van de systeembeheerder. Je kan het hem kwalijk nemen, maar het was niet zijn bedoeling om die systemen "kapot" te maken.
Uiteindelijk is de schrijver van deze worm de schuldige.

Door pvangils, dinsdag 31 maart 2009 13:53

Score: 2
Moet je eens proberen te bereiken in een enterprise omgeving. 10.000 pcs, 500 servers, tientallen lokaties wereldwijd in tal van tijdzones, duizenden USB sticks, honderen laptops van externe consultants en 24/7 productie. Of nog: een handvol verschillende domeinen, alle Windows versies van 98 tot en met Windows 7 (client) en WinNT tem Win2008 (server), verschillende talen van OS, VLANs, DMZs, enz enz. Niet weten waar je mee bezig bent? Je hebt volgens mij geen flauw idee waarover je het hebt.

Mensen onderschatten vaak wat het is om up to date te blijven. Het is niet omdat jij met je PC effe naar Windows Update gaat om wat patches te downloaden en daarna direct te rebooten dat je dat kan herhalen in een multinational. Ongeacht de policies kan je nooit alle risico's vermijden.

Door Kabouterplop01, dinsdag 31 maart 2009 22:38

Score: 0
Een goede stap zou zijn om een legale versie, die normaal en automatisch te patchen valt te gebruiken, dat is een stuk minder asociaal. Dan verdient MS meer en is er dus meer geld om te zorgen dat anti malware producten beter aansluiten. Zodat MS ook verantwoordelijk gehouden kan worden! Nu gooien een heleboel mensen hun eigen "ramen" in. Sterker nog het kan ze geen reet schelen; dat soort mensen hoort niet eens achter een pc thuis..

De virusmaker toont wel wat dingen aan. De hoeveelheid machines die besmet zijn bestaan uit illegale versies (die niet te updaten vallen) en ongepatchte versies (bedrijfsleven met systeembeheerders die kortweg niet genoeg tijd hebben om dit soort dingen te onderzoeken) en om bepaalde redenen niet patchen.

Door Xirt, maandag 30 maart 2009 20:35

Score: 0
Als conficker onschuldig blijkt te zijn mogen ze blij zijn met die schade: in dat geval wijst conficker op de mogelijkheid die er is om veel systemen te injecteren en te misbruiken. Voor er dan een conficker 2 komt die wel schade aanricht is het dan hopelijk voor de mensen duidelijk dat er iets gedaan moet worden tegen dit soort wormen.

Door Antipater, maandag 30 maart 2009 19:40

Score: 0
Helaas, dat was vroeger zo. Nu zullen virus-schrijvers ongetwijfeld denken dat ze een grote e-penis hebben, maar is de voornaamste motivatie toch het grote geld. (Naast spionage)

Door GuidoH, maandag 30 maart 2009 18:56

Score: 0
Wat ik me nu bedenk... Ze kunnen die 250.000 dollar beter besteden aan het veiliger maken van Windows, zodat het wat minder makkelijk gemaakt wordt om de systemen te infecteren.

* GuidoH is zo blij met z'n Mac...

Door Cheatah, maandag 30 maart 2009 20:30

Score: 0
Voor 250.000 dollar kun je een "vage kennis" of "slechte vriend" van de dader aan het praten krijgen. Wat denk jij dat Microsoft eigenlijk uitgeeft aan het beveiligen van al hun softwarepakketten? Ik kan je beloven dat het een veelvoud is van dat bedrag.

Door GuidoH, maandag 30 maart 2009 20:47

Score: 0
Hoe dom denk je dat diegene die dit gemaakt heeft is? Die gaat vast niet tegen een "vage kennis" of "slechte vriend" vertellen dat hij zoiets gemaakt heeft, dat is ongeveer het domste dat je kan doen. :+

En hoeveel ze uitgeven aan beveiliging? Zo te zien niet genoeg. Maar om nou mensen geld te geven om iemand aan te geven die een beveiligingslek gevonden heeft in hun bagger software... Is dat niet een beetje raar dan? ;)

Door Freakertje, dinsdag 31 maart 2009 12:09

Score: 0
De Mac heeft in mijn visie ook wel software die als bagger beschreven kan worden, maar dat is mijn mening. Het zou je sieren om ook wat minder ongefundeerd te lopen bashen op MicroSoft, want veel software die ze schrijven is gewoon goed bruikbaar. Anders waren we wellicht nooit gekomen in de IT als dat we nu zijn.

En je noemt het wel het domste wat je kunt doen om te vertellen wat je gedaan hebt, maar zo zit de menselijke psyche wel in elkaar. Wat heb je eraan als je iets gepresteerd hebt dat je aan niemand kan vertellen? De menselijke psyche zit zo in elkaar dat veel mensen willen vertellen wat ze gepresteerd hebben om zo in een groep mee te komen, prestige en aanzien te krijgen, etc. Sommige mensen kunnen hier heel goed mee omgaan en weten het te verbergen, maar gaan er dan soms alsnog geestelijk aan onderdoor, omdat het als een loden blok op hun ziel rust.

Alles in jouw post getuigt dat je nogal makkelijk over dingen denkt, terwijl alles veel genuanceerder ligt. Een beetje de pest van de huidige maatschappij...

Door darkfader, dinsdag 31 maart 2009 01:07

Score: 0
Altijd nog beter aan de authoriteiten aangeven dan aan een andere duistere kring waar ze graag de private key zouden willen weten. Nah, voorlopig alleen software en schadeclaims.

Door Bilel, maandag 30 maart 2009 18:02

Score: 0
Een soort spookje in een doosje. Ik vraag me toch wel af wat er gaat gebeuren.

Door Zaphod69, dinsdag 31 maart 2009 14:29

Score: 0
Doet me denken aan een verhaal van Freek de Jonge. Dat eindigt met het leger (olv Ed Nijpels) dat het doosje open komt maken omdat er van alles in zou kunnen zitten. Op dat moment bleek het natuurlijk leeg, terwijl het tot dat moment alles kon bevatten.

Het sprookje blijft dus alleen intact als we het doosje dicht laten ;-)

Door Kalief, maandag 30 maart 2009 18:09

Score: 0
Conficker verandert eigenlijk hoe Windows er uit ziet op het netwerk en deze verandering kan op afstand, anoniem en heel, heel snel gedetecteerd worden

Dus ze proberen nu niet zozeer de verandering zelf te detecteren maar of er een verandering is en misschien hoe die tot stand komt?

Door the_stickie, maandag 30 maart 2009 20:48

Score: 2
Het is best mogelijk dat men eigenlijk massaal pakketjes gaat sniffen. Omdat men inmiddels een patroon heeft gevonden in de manier waarop een geïnfecteerde machine zich op het netwerk gedraagt, kan men zo achterhalen welke machines op het netwerk geïnfecteerd zijn.
nmap maakt dàt mogelijk, maar ook bijvoorbeeld het detecteren van "open" poorten en finger oefeningetjes. Zo zou het bijvoorbeeld kunnen dat conficker op een bepaalde manier reageert op een bepaalde poort oid. Dat maakt het relatief eenvoudig om snel te scannen.
Gezien de geavanceerdheid van de rest van het virus, ga ik er eigenlijk vanuit dat het niet zal gaan om 1 poort en/of 1 reactie, maar een combinatie van gedragingen die een machine verdacht maken.

Door A4-tje, maandag 30 maart 2009 18:35

Score: 0
Ze proberen een verandering t.o.v. het normale te vinden. Ziet Windows op het netwerk er opeens anders uit dan is het besmet.
Vraag is natuurlijk wel ten opzichte van wat de verandering moet worden gemeten aangezien dit virus al redelijk lang op internet rondwaart (oktober 2008). en ieder netwerk (want daar zijn de meeste problemen mee) is weer anders.....

Door analog_, maandag 30 maart 2009 18:58

Score: 0
Je kan toch zelf een virtuele 100% veilige opstelling bouwen. Vervolgens netwerk traffiek analyseren van de steriele omgeving. Vervolgens doe je hetzelfde maar met aantal vrijwel zeker besmette machines en zoek je verschillen op. Bijvoorbeeld de manier waarop windows op een gesloten tcp poort reageert. Of een of andere RPC procedure.

Door SadBunny, dinsdag 31 maart 2009 09:28

Score: 0
Moet je nog goed je best doen - veel van de betere virussen nowadays hebben counter-sandbox-procedures, wat wil zeggen dat ze (evt heuristische) detectiemechanismen hanteren om te kijken of ze niet toevallig in een testomgeving draaien (in welk geval ze vervolgens slapend, aka dormant, blijven waardoor ze moeilijk te detecteren zijn).

Dit werkt door bijvoorbeeld te kijken of je op een of ander obscuur ip-adres (zodat de sandboxen van de major AV producten het niet kennen) een bepaald geformatteerd antwoord op een bepaalde TCP verbinding krijgt. Krijg je die als virus dan niet, dan undo je alles wat je tot dan toe geflikt hebt en doe je net of je niet bestaat.

En aangezien dit een van de betere virussen schijnt te zijn...

Door Turiya, dinsdag 31 maart 2009 09:42

Score: 0
Dat request naar dat IP adres is nou juist bijzonder meetbaar en bruikbaar voor de opsporing van besmette machines

Door directjohan, maandag 30 maart 2009 18:46

Score: 0
Wordt dit virus nou wel of niet door een virusscanner zoals AVG ontdekt?

Door thomas1991, maandag 30 maart 2009 18:51

Score: 2
Dit wordt meestal door de meeste virusscanners gedetecteerd maar soms vergeet men wel is te updaten en dan is het TE laat...

Ik heb er zelf ook is last van gehad en ik kon de Windows update niet meer bereiken, geen enkele updatesite meer (McAfee, spybot S&D, lavasoft,...) niets werkte meer, dan via een anti-spywareprogramma dit verwijderd door eerst te downloaden via andere computer en dan te gebruiken...
(o.a. op norton is er zo een programma te vinden)

Dus al bij al is het te detecteren ALS men op tijd heeft geüpdatet...

Door Roland684, maandag 30 maart 2009 19:00

Score: 2
Er is 1 groot ding dat ik niet snap: dat virus zit knap in elkaar, met zware encrypties, P2P-updates, etc. maar waarom maakt het maar gebruik van 1 enkel lek in Windows?
Virussen die meerdere lekken gebruiken zijn helemaal niet zeldzaam en aangetoond zeer successvol. Waarom laat iemand die zo'n complex virus maakt, zo'n grote steek vallen?

Dit virus leent zich gewoon perfect voor bijvoorbeeld Microsoft om het belang van een geldige licentie/updates aan te tonen, of wetgevers om encryptie te verbieden.
En dan eigenlijk vooral voor wetgevers die een wetgeving willen doordrukken.

Het is simpel uit te schakelen met 1 patch en wacht tot een bepaalde datum zodat er een flink media-offencief gestart kan worden nog voordat het virus echt actief kan worden.
Het virus is aan de ene kant (met name de communicatie/distributie) zo geniaal dat het de experts maar niet lukt het te bestrijden, maar aan de andere kant (hack-mogelijkheden) lijkt het een eerste probeerseltje van een scriptkid.

(of zou dit virus op 1 april blijken te beschikken over nog meer hacks?)

Door killingdjef, maandag 30 maart 2009 19:26

Score: 0
Interessante gedachtegang, je zegt dus eigelijk dat "bepaalde mensen" baat hebben bij dit virus om wetgeving er doorheen te drukken?

Door Roland684, maandag 30 maart 2009 19:41

Score: 1
Ja. En dat zonder "terrorisme" te gebruiken, want de kracht van dat woordje begint op zijn retour te raken ;)

Ik zie al hele reeksen wetsvoorstellen voor me die encryptie verbieden, software-downloads verbieden, p2p-netwerken verbieden, toezicht op computers te verplichten, providers verplichten in te grijpen in bepaald netwerkverkeer, etc.
Een ramp is altijd handig om dingen door te drukken, of dat nu de titanic of 9/11 is.

Maar toegegeven: dat virussen gemaakt zouden worden door de antivirusbedrijven is ook een flinke complot-theorie }>

Door uid0, maandag 30 maart 2009 19:34

Score: 1
Encryptie verbieden vanwege een virus zou dom zijn. Wel iets wat politici zouden kunnen doen, maar dom.

Dat vuurwapens verboden zijn, voorkomt nog steeds niet dat criminelen ze hebben. Encryptie verbieden betekent dat de burger niet meer veilig is, maar de internetcrimineel trekt zich daar geen seconde wat van aan.

Door Roland684, maandag 30 maart 2009 19:43

Score: 0
En daarom heb je even een ramp/dreiging nodig om in de paniek/ophef die dat veroorzaakt, je domme dingen door te kunnen drukken.

Door telenut, maandag 30 maart 2009 20:51

Score: 0
als mensen 1 lek laten zitten, denk je dan dat ze bewust al de andere gaan dichten?
De meeste pc's zijn up-to-date, of zijn het gewoon helemaal niet...

Door Bilel, maandag 30 maart 2009 20:00

Score: 0
Ik ben het toch wel eens met Roland, iemand zal vanaf overmorgen baat gaan hebben bij dit virus. Als iemand gewoon zijn computerskills wil uittesten had hij het gewoon op auto-on gezet. Dat er 6 maanden overheen gaan laat toch zien dat er een soort complot bezig is, misschien iets met P2P.

Door Goderic, maandag 30 maart 2009 20:32

Score: 0
Dat hoeft toch niet? Misschien dat hij, net omdat hij er toch geen verlies bij heeft als het niet lukt, 6 maanden heeft gewacht.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 18:16 Motorola introduceert touchscreentelefoon
Vorige 17:12 Mmo-game Huxley verschijnt voorlopig niet voor console
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011