Start » Windows XP » Overige » MIRC: opsporen en herstellen van aan Trojans gerelateerde aanvallen

MIRC: opsporen en herstellen van aan Trojans gerelateerde aanvallen

Gepost op 02-09-2003 - Windows XP - 0 reacties

Samenvatting

UPDATE: sinds 6 september 2002 is het aantal meldingen van gevallen waarin kwaadwillende gebruikers het patroon volgen dat in dit artikel wordt beschreven, sterk afgenomen. Het beveiligingsteam van Microsoft Productondersteuning heeft dit Microsoft Knowledge Base-artikel daarom aangepast om betere suggesties voor opsporing en herstel te bieden.

Microsoft heeft onderzoek gedaan naar een toename in activiteiten van kwaadwillende gebruikers die proberen code te laden op Microsoft Windows 2000-servers. Deze activiteit wordt doorgaans uitgevoerd met het programma Backdoor.IRC.Flood.

Na een analyse van computers waarop dit programma is uitgevoerd, is Microsoft tot de conclusie gekomen dat bij deze aanvallen waarschijnlijk geen gebruik wordt gemaakt van nieuwe productgerelateerde beveiligingsproblemen en dat deze aanvallen geen virussen of wormen lijken te zijn. In plaats daarvan probeert de kwaadwillende gebruiker te profiteren van situaties waarin gebruikers verzuimen de standaardvoorzorgsmaatregelen in acht te nemen die in het gedeelte Preventie van dit artikel worden beschreven. De activiteit lijkt te bestaan uit een gecoördineerde verzameling afzonderlijke pogingen om in te breken op Windows 2000-servers. Als gevolg daarvan wordt bij een succesvolle inbreuk een kenmerkend patroon achtergelaten. In dit artikel wordt een overzicht gegeven van de bestanden en programma's waarin op basis van dit patroon bewijs kan worden gevonden van een succesvolle inbreuk. Vervolgens kunt u de benodigde maatregelen nemen om:

te kunnen bepalen op welke computers is ingebroken;
deze computers te repareren en te herstellen.

Meer informatie

Gevolgen van aanval

Inbreuk op de server

Symptomen

Systemen waarop is ingebroken, vertonen een of meer van de volgende symptomen:

In de antivirussoftware kan worden aangegeven dat er Trojans, zoals Backdoor.IRC.Flood en varianten, zijn gevonden. In huidige antivirusproducten waarvoor bijgewerkte handtekeningbestanden worden gebruikt, worden deze Trojans herkend.
Als de computer waarop is ingebroken een domeincontroller is, wordt het beveiligingsbeleid aangepast. Enkele van de mogelijke gevolgen van een gewijzigd beveiligingsbeleid zijn:
- Gastaccounts die eerder uitgeschakeld waren, zijn weer ingeschakeld.
- Er worden nieuwe niet-geautoriseerde accounts gemaakt waaraan mogelijk beheerdersbevoegdheden zijn toegewezen.
- Beveiligingsmachtigingen worden gewijzigd op servers of in Active Directory.
- Gebruikers kunnen zich niet bij het domein aanmelden vanaf de werkstations.
- Gebruikers kunnen geen Active Directory-modules openen in MMC (Microsoft Management Console).
- In foutenlogboeken worden meerdere mislukte aanmeldingspogingen opgenomen van rechtmatige gebruikers waarvan de account is vergrendeld.

Technische gegevens

Als op de computer is ingebroken, kan schadelijke code, zoals Backdoor.IRC.Flood en varianten, worden herkend in de antivirussoftware. Neem voor meer informatie contact op met de leverancier van de antivirussoftware.

Op de servers die door Microsoft zijn geanalyseerd, zijn de volgende bestanden en programma's aangetroffen. De aanwezigheid van deze bestanden duidt erop dat op het systeem is ingebroken. Als deze bestanden of programma's op uw computer aanwezig zijn en niet door u of met uw medeweten zijn geïnstalleerd, voert u een volledige viruscontrole uit met een bijgewerkt viruscontroleprogramma.

Opmerking: bestandspaden worden niet weergegeven omdat deze kunnen variëren.

Gg.bat: met Gg.bat wordt geprobeerd als beheerder, admin of hoofdmap verbinding te maken met andere servers. Vervolgens wordt naar de programma's Flashfxp and en Ws_ftp op de server gezocht, worden er meerdere bestanden, waaronder Ocxdll.exe, naar de server gekopieerd en wordt het programma Psexec gebruikt om opdrachten uit te voeren op de externe server.
Seced.bat: met Seced.bat wordt het beveiligingsbeleid gewijzigd.
Nt32.ini
Ocxdll.exe
Gates.txt
Task32.exe

In andere gevallen hebben kwaadwillende gebruikers legitieme programma's geïnstalleerd om de inbreuk mogelijk te maken. Als er dergelijke programma's op uw systeem aanwezig zijn en u deze niet hebt geïnstalleerd, is er mogelijk ingebroken en moet u een nader onderzoek uitvoeren.

Psexec
Ws_ftp
Flashfxp

De laatste bestanden die voor deze aanvallen worden gebruikt, zijn twee legitieme systeembestanden die standaard op systemen worden geïnstalleerd. Bij deze aanvallen worden echter aangepaste versies van bestanden met deze namen geïnstalleerd (Trojans). In de meeste antivirusprogramma's met bijgewerkte virushandtekeningbestanden worden de aangepaste versies van deze bestanden herkend.

MDM.exe
Taskmngr.exe

Zwakke plekken

Tot op heden lijken onze analyses erop te wijzen dat kwaadwillende gebruikers via zwakke of lege beheerderswachtwoorden toegang tot de systemen krijgen. Microsoft heeft geen aanwijzingen gevonden die tot de conclusie zouden kunnen leiden dat bij deze aanvallen gebruik wordt gemaakt van vooralsnog onbekende beveiligingsproblemen.

Preventie

Microsoft raadt gebruikers aan hun servers tegen deze en andere aanvallen te beschermen door de beste standaardbeveiligingsmaatregelen te nemen. Enkele van deze maatregelen zijn:

Lege of zwakke wachtwoorden niet toestaan.
Gastaccounts uitschakelen.
Huidige antivirussoftware met bijgewerkte virushandtekeningdefinities uitvoeren.
Firewalls gebruiken om interne servers, inclusief domeincontrollers, te beschermen.
De meest recente beveiligingspatches installeren.

Raadpleeg de handleiding Security Operations Guide voor Windows 2000 Server voor de beste configuraties voor Microsoft Windows 2000-servers. Deze handleiding is beschikbaar via de volgende Microsoft-website:

http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/default.asp

Ga naar de volgende Microsoft-website voor meer informatie over het bijwerken en beveiligen van Windows 2000 Server:

http://www.microsoft.com/technet/security/current.asp

U kunt ook het hulpprogramma Microsoft Security Baseline Analyzer gebruiken. Ga naar de volgende Microsoft-website voor meer informatie over Microsoft Security Baseline Analyzer:

http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp

Opsporing

Voor zover bekend zijn Microsoft Windows 2000 Server-systemen de enige systemen waarop de in dit artikel beschreven aanvallen van invloed zijn. Microsoft raadt klanten aan hun Windows 2000 Server-omgevingen te controleren om te bepalen of er bestanden aanwezig zijn die in het gedeelte Technische gegevens worden beschreven. Omdat het bij sommige van deze bestanden legitieme installaties betreft, moeten klanten het gebruik en doel van elk bestand controleren.

Herstel

Neem voor meer informatie over herstelmethoden op de gewenste wijze contact op met Microsoft Productondersteuning. Ga naar de volgende Microsoft-website voor meer informatie over de wijze waarop u contact kunt opnemen met Microsoft Productondersteuning:

http://support.microsoft.com/