Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Lauantai, 23.8.2003

Sobig-madon hyökkäys estettiin

Sobig.F-sähköpostimadon verkkohyökkäys saatiin estettyä. Perjantaina 22.8.2003 klo 22:00 Suomen aikaa alkavaksi ohjelmoitu hyökkäys estettiin useiden eri tahojen yhteistyöllä. Madosta löydetyn salatun 20 koneen listan avulla eri palveluntarjoajat, yritykset ja järjestöt, kuten F-Secure, Viestintäviraston CERT-FI-yksikkö, FBI ja Microsoft, paikallistivat suurimman osan hyökkäyksen tarvitsemista palvelimista. Nämä palvelimet joko suljettiin tai kytkettiin irti verkosta.

Kuusi tuntia ennen hyökkäyksen alkamisajankohtaa 11 palvelimista oli kytketty irti verkosta. Juuri ennen hyökkäystä 18 oli irrotettu. Yhteen jäljelle jääneistä palvelimista ei saatu yhteyttä, joka saattoi johtua siitä, että se oli sammutettu. Toinen taas oli vielä toiminnassa hyökkäyksen alettua, mutta tukkeutui välittömästi kun kymmenet tuhannet saastuneet koneet ympäri maailmaa yrittivät muodostaa siihen yhteyttä. Sobig.F-mato tulee toistamaan samaa hyökkäysyritystä samoihin kellonaikoihin joka perjantai ja sunnuntai syyskuun 10. päivään asti. Luultavasti nämäkään hyökkäykset eivät tule onnistumaan. Lue lehdistötiedote.

K2, 23.8.2003 14:01. Lähde: F-Secure

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 16 uutta / 16 )
pistettä.
Näytä vain kommentit joilla on vähintään
Ähäkutti!
Anonyymi kommentoija, 23.8.2003 14:34:51		 Pisteet: 0
Hyvähän se tietysti on, että hyökkäys estettiin, mutta pieni osa minusta toivoi että tuloksena olis ollut kunnon matopandemia joka vihdoin ja viimein olisi vähän avannut ihmisten silmiä, kun he ovat niin helkkarin tyhmiä etteivät tajua/viitsi mitään asioiden eteen tehdä ennen kuin kaikki menee vituralleen.
Maailmanlaajuinen hyökkäys olisi varmaan ainoa toimivat tietoturvan abc, jolla ihmiset (ja etenkin eräät nimeltä mainitsemattomat softapuljut) alkaisivat vähän miettia asioita.

hötömölö ja makrot + sähköposti ei yksinkertaisesti ole kovin terveellinen yhdistelmä.
Liika automaatio (ja koreilu) on pahasta, ei siitä mihinkään pääse.
Mystistä
Anonyymi kommentoija, 23.8.2003 20:48:56		 Pisteet: 0
Mitä muuten oli se "mystinen liikenne" Internetissä, mistä puhuttiin eilisillalla?
Kannattaa nuolaista ennen tipahdusta ?
Anonyymi kommentoija, 24.8.2003 22:37:31		 Pisteet: 0
Madosta on liikkellä muitakin variantteja...

Kannattaa sulkea portti 8998 sisään ja ulos kulkevalta liikenteeltä.
Vai muka torjuttiin
Anonyymi kommentoija, 25.8.2003 13:52:47		 Pisteet: 0
Lauantaina alkoi sähköposti soimaan.

Vai torjuttiin Sobig.f?

La-su tuli 22 000 Sobigia sähköpostitse .

Mitäs jos ispit sittenkin suodattaisivat maileista virusmailit pois?
Jazmo Oliko viruksen kirjoittaja yksinkertainen?
Jazmo, 23.8.2003 15:05:04		 Pisteet: +1
Viruksen ollessa noinkin monimutkainen ja 'hyvä', kuulostaa jännältä, että noita koneita, joihin yritettiin ottaa yhteyttä on noin vähän. Tietenkin, kuten kaikki sobigit, tämäkin on varmaan jonkinlainen kokeilu.

Mutta olisiko 20 'laajakaistayhteyden' päässä olevaakaan konetta selvinnyt monesta sadasta tuhannesta yhteyden otosta? Mitään kuormantasaustahan tuossa ei ole käytössä, joten laittaa minut ihmettelemään mitä kirjoittaja on oikein suunnitellut.

Onko seuraavassa versiossa ehkä dynaaminen p2p verkko, jossa jokainen mato tietää vaikka viiden muun viruksen saastuttaman koneen ip:n ja kysyy/lähettää heille tämän ohjelman / nettiosoitteen. Tästä muodostuisi kyllä hirveät määrät nettiliikennettä.
blog -> http://blog.qkaasu.com/
Re: Oliko viruksen kirjoittaja yksinkertainen?
Anonyymi kommentoija, 23.8.2003 15:10:27		 Pisteet: 0
Viruksen ollessa noinkin monimutkainen ja 'hyvä', kuulostaa jännältä, että noita koneita, joihin yritettiin ottaa yhteyttä on noin vähän. Tietenkin, kuten kaikki sobigit, tämäkin on varmaan jonkinlainen kokeilu. Mutta olisiko 20 'laajakaistayhteyden' päässä olevaakaan konetta selvinnyt monesta sadasta tuhannesta yhteyden otosta? Mitään kuormantasaustahan tuossa ei ole käytössä, joten laittaa minut ihmettelemään mitä kirjoittaja on oikein suunnitellut.
Olet oikeilla jäljillä, olen melko varma että tuo oli vain varasuunnitelma sen varalta ettei virus olisi ehtinyt levitä noin laajalle.
Re: Oliko viruksen kirjoittaja yksinkertainen?
Anonyymi kommentoija, 23.8.2003 18:36:58		 Pisteet: +1
Mutta olisiko 20 'laajakaistayhteyden' päässä olevaakaan konetta selvinnyt monesta sadasta tuhannesta yhteyden otosta? Mitään kuormantasaustahan tuossa ei ole käytössä, joten laittaa minut ihmettelemään mitä kirjoittaja on oikein suunnitellut.
Itselläni kävi sellainen ajatus että ehkä ei ollutkaan tarvetta että monta sataa tuhatta konetta saisi vastauksena sen www-osoitteen. Kuormantasausta ei ole, mutta kun protokollana käytetään UDP:tä niin aina osa koneista saa vastauksen. TCP-sessiota kun ei tarvitse perustaa, vaan riittää että yksi UDP-paketti pääsee sisään (osoitteen kysely), ja siihen vastataan toisella UDP-paketilla jossa on se www-osoite vastauksena. Toki kaikki koneet eivät läpi pääse mutta aika kevyt tuollainen kysely on, niin koneen kuin nettipiuhankin osalta.

Olettaen että yksi kysely UDP headereitten kanssa olisi vaikka 100 byteä. Samoin vastauspaketin koko. Nettipiuhana 256/256kbit ~25.6kt/s. Kyselyitä ehdittäisiin ottaa vastaan ja lähettää niihin vastaus täten 256 sekunnissa, 15360 minuutissa, 921600 tunnissa.

Onkohan päättelyssäni mennyt jokin vikaan? Näin itse sen laskeskelin kuitenkin.
Re: Oliko viruksen kirjoittaja yksinkertainen?
Anonyymi kommentoija, 23.8.2003 20:40:21		 Pisteet: +1
Olettaen että yksi kysely UDP headereitten kanssa olisi vaikka 100 byteä. Samoin vastauspaketin koko. Nettipiuhana 256/256kbit ~25.6kt/s. Kyselyitä ehdittäisiin ottaa vastaan ja lähettää niihin vastaus täten 256 sekunnissa, 15360 minuutissa, 921600 tunnissa. Onkohan päättelyssäni mennyt jokin vikaan? Näin itse sen laskeskelin kuitenkin.
Virushan käyttää ntp:tä kellonajan hakemiseen ja 20 palvelinkonetta antavat internet-osoitteen vasta kello 22. Koska koneiden kellot kuitenkin muutamia kymmeniä millisekunteja heittää ja palvelimen kellon ollessa muutamaa millisekuntia vailla 22 (Suomen aikaa), niin sinne jo tulee todella paljon udp-kyselyitä, eikä se niistä enää selviä, joten tasan 22 kone on jo saavuttamaton.
Re: Oliko viruksen kirjoittaja yksinkertainen?
Anonyymi kommentoija, 23.8.2003 23:15:09		 Pisteet: +1
Virushan käyttää ntp:tä kellonajan hakemiseen ja 20 palvelinkonetta antavat internet-osoitteen vasta kello 22. Koska koneiden kellot kuitenkin muutamia kymmeniä millisekunteja heittää ja palvelimen kellon ollessa muutamaa millisekuntia vailla 22 (Suomen aikaa), niin sinne jo tulee todella paljon udp-kyselyitä, eikä se niistä enää selviä, joten tasan 22 kone on jo saavuttamaton.
Olet ymmärtänyt väärin. Kone on saavuttamaton suurimmalle osalle koska kaikki paketit eivät mitenkään pääse läpi. Mutta osa pakeista pääsee , sen verran mitä letkun bandwidth antaa myöden. Muut dropataan. Mutta siis osa MENEE läpi. Jos kyse olisi tcp-session luomisesta jossa samalta koneelta pitää monta pakettia mennä läpi, olisi erittäin epätodennäköistä että tcp-sessio saataisiin aikaiseksi. Mutta kun kyse on udp:sta niin tilanne on aivan eri. Riittää samalta koneelta vain yksi paketti, eikä ole väliä jos seuraavat dropataan koska niitä ei tarvita vastauksen saamiseen. Ellei sitten oli esim. palveluntarjoajan puolesta järjestetty siten että jos liikenne ylittää tietyn rajan niin kaikki paketit dropataan.
Re: Oliko viruksen kirjoittaja yksinkertainen?
Anonyymi kommentoija, 23.8.2003 19:39:20		 Pisteet: 0
Kumma ettei se viruksen kirjoittaja sisällyttänyt koodiin joitain tuhansia vääriä IP-osoitteita. Tällöin lääkettä tarjoavilla tahoilla olisi ollut vähän hankalampaa jäljittää ja sulkea niitä muutamaa oikeaa kohdetta.
Re: Oliko viruksen kirjoittaja yksinkertainen?
Anonyymi kommentoija, 23.8.2003 19:52:24		 Pisteet: 0
Kumma ettei se viruksen kirjoittaja sisällyttänyt koodiin joitain tuhansia vääriä IP-osoitteita. Tällöin lääkettä tarjoavilla tahoilla olisi ollut vähän hankalampaa jäljittää ja sulkea niitä muutamaa oikeaa kohdetta.
Kun ohjelmakoodin suoritusta seuraa jollain disassemblerilla tms, niin ei kovin hankala ole löytää niitä osoitteita mitä virus oikeasti käyttää. Kyllähän se viruskoodi joutuu ne oikeat osoitteet sieltä valitsemaan. Vai tarkoititko kenties että tuhansia vääriä IP-osotteita ja muutama oikea, joista virus arvalla valitsee jonkun, oli sitten toimiva tai ei. Sillonhan virus ei välttämättä osuisikaan oikeaan osoitteeseen, varsinkin jos suhde olisi että 1000 väärää ja 10 oikeata. Aika pieni todennäköisyys arvalla silloin osua toimivaan.
Re: Oliko viruksen kirjoittaja yksinkertainen?
Anonyymi kommentoija, 23.8.2003 20:02:37		 Pisteet: 0
Aika pieni todennäköisyys arvalla silloin osua toimivaan.
Mulla on silti jotenkin semmoinen kutina, että joku niistä _sadoista tuhansista_ saastuneista koneista osuisi jossain vaiheessa oikeaan.
Re: Oliko viruksen kirjoittaja yksinkertainen?
Anonyymi kommentoija, 23.8.2003 22:32:37		 Pisteet: 0
Kun ohjelmakoodin suoritusta seuraa jollain disassemblerilla tms, niin ei kovin hankala ole löytää niitä osoitteita mitä virus oikeasti käyttää. Kyllähän se viruskoodi joutuu ne oikeat osoitteet sieltä valitsemaan.
mitäs se auttaa? vahinkohan on silloin jo tapahtunut monessa muussa paikassa kun näet mitä osotteita se niistä oikeasti käyttää..
..tuotahan osaa koodista ei lueta ennen tiettyä ajankohtaa..
Re: Oliko viruksen kirjoittaja yksinkertainen?
Anonyymi kommentoija, 23.8.2003 23:17:18		 Pisteet: 0
mitäs se auttaa? vahinkohan on silloin jo tapahtunut monessa muussa paikassa kun näet mitä osotteita se niistä oikeasti käyttää.. ..tuotahan osaa koodista ei lueta ennen tiettyä ajankohtaa..
Tuota kuvitteletko että omassa suljetussa verkossa ei voisi tehdä omaa esim. ntp-palvelinta joka palauttaa sen tietyn kellonajan, tai koodia treissatessa muuttaa jotain hyppyä siinä kohdassa kun se ohjelma tarkistaa kellonaikaa. Jos et ole itse kosakan esim soft-icea käyttänyt, niin voin kertoa että siinä mennään yksi komento kerrallaan kuten muissakin debuggereissa, ja samalla on mahdollisuus missä tahansa välissä muuttaa muuttujien arvoa tai hypätä tiettyyn kohtaan ohjelmakoodia. Eli tämä ei kyllä ole ongelma, vaikka etukäteen koodia treissaisi.
Re: Oliko viruksen kirjoittaja yksinkertainen?
Anonyymi kommentoija, 24.8.2003 03:55:09		 Pisteet: +1
Kumma ettei se viruksen kirjoittaja sisällyttänyt koodiin joitain tuhansia vääriä IP-osoitteita. Tällöin lääkettä tarjoavilla tahoilla olisi ollut vähän hankalampaa jäljittää ja sulkea niitä muutamaa oikeaa kohdetta.
Kun ohjelmakoodin suoritusta seuraa jollain disassemblerilla tms, niin ei kovin hankala ole löytää niitä osoitteita mitä virus oikeasti käyttää. Kyllähän se viruskoodi joutuu ne oikeat osoitteet sieltä valitsemaan. Vai tarkoititko kenties että tuhansia vääriä IP-osotteita ja muutama oikea, joista virus arvalla valitsee jonkun, oli sitten toimiva tai ei. Sillonhan virus ei välttämättä osuisikaan oikeaan osoitteeseen, varsinkin jos suhde olisi että 1000 väärää ja 10 oikeata. Aika pieni todennäköisyys arvalla silloin osua toimivaan.
Se viruskoodi voisi kylmästi kokeilla ne kaikki 10'000 konetta, jotka taasen synkkaisivat jostain aikaa, eivätkä näyttäisi mitään ennen tiettyä hetkeä. Niistä kovin monen ei tarvitse olla oikeita, jos virukset koittaisivat niistä kaikkiin. Eli eihän se ole hämäystä, että koodin sekaan laitetaan käyttämättöminä stringeinä ip osoitteita, vaan ihan toimivina kuten ne 20 oikeaa.

Nyt kiinnostaa, mitä virus olisi ladannut, jos olisi ladannut. Saivatko viranomaiset tai viruslääkefirmat selville sen? Odotettiinko, että tämä koodi laitettiin 20 viruksen palvelimelle vai missattiinko tämä tilaisuus? Kaiken kaikkiaan tämä sobig.f tuntuu olevan enemmän proof of concept, koska poistaa itsensä lopuksi ja sisältää 'tyhmyyksiä'. NotSoBig.t ei välttämättä toimi yhtä tyhmästi, vaan saattaa lainata 'mystisen troijalaisen', joka lähetteli 55808 ikkuankoolla tcp paketteja, tapaa käyttää verkkoa. Tuntuu siltä, että ihmisten hyväuskoisuus olisi yllättänyt kirjoittajat. Jos se ei olisi testi, sen ei olisi ollut tarkoitus levitä noin nopeasti.