Aanval op RSS-feeds mogelijk

2 december 2005

David Sancho, een onderzoeksexpert op het vlak van virussen, malware en worms bij Trend Micro, heeft in een rapport gewaarschuwd tegen de risico’s van een wormaanval die gebruik maakt van RSS-feeds. Hij schildert de ontwikkelingen in het virus- en worm-programmeren in de richting van de toepassing van ‘bot worms’. Het zijn programma’s die als een agent opereren voor een gebruiker of een programma. Ze worden over het algemeen beschouwd als malware die niets vermoedende gebruikers in steeds grotere aantallen treffen. Het is deze ontwikkeling die een grote vlucht zal nemen. Bot worms worden ontwikkeld op een modulaire wijze, wat betekent dat de ontwikkelaar van het programma uit een aantal verschillende aanvalmethoden kan kiezen, zoals het opzoeken van kwetsbaarheden, spam, peer-to-peer misbruik of het stellen voor de parameters ervoor. Het resultaat van dat ontwikkelproces is een worm die speciaal bestemd is voor het stelen van informatie of het controleren van een genfecteerde computer. Een manier om tegen deze bot worms te vechten is om soft- en hardware-systemen in te zetten die specifiek tegen dit soort bot-aanvallen verdedigen. Het ontdekken en blokkeren van de netwerkbestanden die de worm gebruikt om de kwetsbaarheden van het netwerk te exploiteren zijn de beste verdediging. Tot dit soort systemen behoren inbraakdetectiesystemen, inbraakpreventiesystemen en netwerk antivirussystemen. Toekomstige bot worms kunnen gericht zijn op het ‘kapen’ van RSS-feeds. RSS (real simple syndication) is gericht op het updaten van de content van websites, waarbij de bezoekers van de site de nieuwste berichten en publicaties via een RSS-feed client kunnen ontvangen.



De eenvoudigste manier om van de populariteit van dit medium te profiteren is om de bestaande feed clients te kapen en zo automatisch nieuwe kopien van wormen en andere bedreigingen naar de genfecteerde computers te downloaden. Dit wordt gerealiseerd door de clients te laten verwijzen naar kwaadaardige webcontent. Een dergelijke aanval heeft twee gevolgen. Het eerste gevolg is dat er een passief download-punt ontstaat, wat verbindingen kan starten zonder te worden onderkend. De bron van de verbinding is immers reeds een toegestane bron, zodat het persoonlijke firewalls en andere barrires kan passeren. Het tweede gevolg is dat de download blijft werken ook al wordt de worm ontdekt en verwijderd. Om echt van het probleem af te komen moet er een tool zijn die de configuratie van de RSS client schoont. Er bestaat op dit moment geen standaard bestaat voor het gebruik van deze programmatuur, zodat de aanval zich moet richten op specifieke software. Een dergelijke aanval is dan ook op dit moment nog niet echt gevaarlijk. Dat kan echter heel snel veranderen als in de nieuwe Internet Explorer 7 ingebouwde ondersteuning voor RSS-feeds zal zijn aangebracht. Dit opent namelijk (ook al gezien Microsofts’geschiedenis met ‘lekken’) aantrekkelijke mogelijkheden voor worm-schrijvers. Organisaties zullen standaard hun HTTP-verkeer moeten gaan scannen, omdat dit de meest populaire manier zal zijn om malware te verspreiden. Een andere mogelijke techniek kan het gebruiken zijn van de ‘polymorfic shellcode exploit attack’. De schrijvers van deze wormen kunnen een module creren die voortdurend de shellcode veranderd, maar wel telkens hetzelfde resultaat heeft. De meeste detectiesoftware gaat ervan uit dat malware voortdurend dezelfde shellcode gebruikt. Op die manier zou deze aangepaste code de detectie kunnen ontwijken. Het rapport is het lezen waard; het zijn maar een paar pagina’s en de veiligheid van onze netwerken vereist ook kennis over de mogelijke aanvallen die die netwerken te verwerken kunnen krijgen.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *