GlasBlog

ATLAS (Active Threat Level Analysis System) von Arbor Networks basiert auf ein Netzwerk aus Peakflow SP Systemen. Laut Arbor verwenden 70 Prozent der weltweiten Service-Provider-Netzwerke Peakflow SP um ihr Netzwerk zu analysieren, dies soll dann 80 Prozent des globalen Internet-Verkehrs abdecken. Diese gesammelten Informationen fließen dann in ATLAS zusammen und werden dort durch das Arbor Security Engineering & Response Team (ASERT) ausgewertet. Dies ermöglicht die frühzeitige Erkennung und Zurückverfolgung großer Sicherheitsbedrohungen. Die dadurch gewonnenen Informationen ermöglichen es Arbor äusserst präzise Informationen über Malware, Exploits, Phishing und Botnets zu erhalten.

Ein weiteres Kernstück von ATLAS bildet das Portal. Hier fließen die Ergebnisse an einem Punkt zusammen und man erhält Informationen zu folgenden Punkten:

Quelle: Arbor Networks: ATLAS

Symantec erhöhte seinen ThreadCon heute um 03:00GMT von 1 auf 2. Auslöser dafür war W32.Downadup:

W32.Downadup is a worm that spreads by exploiting the Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874). 

Also ein weiterer Freund, der sich die MS008-067 Schwachstelle zunutze macht. Interessant ist dies besonders dann, wenn man Symantecs ThreadCon mit Arbors ThreadIndex vergleicht. Beide berufen sich auf Ergebnisse aus der Analyse von Honeypots, kommen jedoch zu vollkommen unterschiedlichen Ergebnissen.

Arbor begründet den Anstieg der Angriffe auf Port 445 und 139 folgendermaßen:

That rise in the past few days corresponds to attacks on older vulnerabilities, specifically CVE-2005-1935 and CVE-2003-0818; we’re not seeing any significant activity on CVE-2008-4250 (MS08-067).

Es handelt sich also laut Arbor nicht um einen äusserst aktiven W32.Downadup, sondern um alte Bekannte aus den Jahren 2003, CVE-2003-0818: “Multiple integer overflows in Microsoft ASN.1 library” und 2005, CVE-2005-1935: ”Heap-based buffer overflow in the BERDecBitString function in Microsoft ASN.1 library”. Oder wir müssen davon ausgehen, dass Symantec und Arbor Opfer vollkommen verschiedener Angriffe geworden sind?

Jose Nazario von Arbor Networks schrieb einen anschaulichen Bericht zu einem von ihm untersuchten RFI Botnetz. Keine neuen Erkenntnisse, jedoch ein gutes und anschauliches Beispiel für die Hintergründe.
Ich habe die gleichen Erfahrungen im Zusammenhang mit meinem RFI Honeypot gemacht. Ein detaillierter Bericht dazu folgt, sobald ich die erste stabile Version fertig habe.

Emre Bastuz, vermutlich bekannt durch NepenthesFE, hat einen sehr guten Wiki Artikel zur Installation des Client-Side-Honeypots Capture-HPC geschrieben. Capture-HPC basiert größtenteils auf VMWare. In einem virtuellen Gastsystem wird dem Client eine URL übergeben. Beim Aufruf der URL wird die Veränderung von Daten, der Registry und Aktivitäten im Netzwerk aufgezeichnet. Nach diesem Vorgang wird das System wiederhergestellt und mit der nächsten URL begonnen.

Heute Mittag wurde, nach langer Durststrecke, Nepenthes um eine weiteres vuln-Modul erweitert. Es handelt sich um die ms08-067 Schwachstelle. Das Changeset finde man hier. Das Modul verfügt über den aktuell bekannten Handshake. Ich werde gegen später Nepenthes neu kompilieren und berichten.

Tillmann Werner hat eine Analysen eines MS08-067 Exploits veröffentlicht. Die Analyse enthält den kompletten TCP Traffic der “Call Back Shell”. Diese hätte dann auch das Binary laden sollen. Leider war der Server zu dem verbunden werden sollte nicht mehr online. Trotzdem sieht man sehr schön die ersten Versuche diese Schwachstelle zu nutzen.