Slik stoppet de Flashback

Pierre-Marc Buerau er sikkerhetsingeniør og seniorrådgiver i slovakiske sikkerhetsselskapet Eset.

Nå har han og kollegene Esets viruslab i Bratislava har dykket dypt inn i Flashback-trojaneren som har gått rundgang på Mac-er rundt om i verden, og har kommet over ett par overraskende elementer.

Dødt botnett

Trojaneren OSX/Flashback ble først oppdaget for ganske nøyaktig ett år siden, i september 2011. Skadevaren har siden fått æren som den mest utbredte på Mac-plattformen.

- Det ble registrert en topp i infeksjonen av OSX/Flashback i mars 2012. Da startet denne trusselen å forplante seg gjennom å utnytte sårbarheter i Java-applikasjonen som leveres med Apple OS X, forteller Christian Teien Sørensen norgessjef i Esets nordiske partner Eurosecure.

Buerau og sikkerhetsfolkene hans har i sine undersøkelser blant annet avslørt at de mange hundre tusen infiserte Mac-maskinene rundt omkring til sammen danner et massivt botnet.

I løpet av undersøkelsen forsvant imidlertidig den siste kommando-serveren fra nettet, og Flashback-botnettet er nå dødt. En kommandoserver brukes av svarthattene for å administrere infiserte maskiner, som for eksempel å oppdatere skadevaren.

Spennende trojaner

Eset besluttet å undersøke trojaneren grundigere av flere årsaker.

Flashback var i utgangspunktet spennende på grunn av plattformen den angrep, nemlig Mac-en. At den i tillegg brukte infiserte maskiner i et eget Mac-botnett var også veldig spennende, ettersom det er det første Mac-botnettet som vi har sett foreløpig.

Sannsynligvis blir Flashback ikke det siste Mac-baserte botnettet vi ser, for jo flere Mac-maskiner vi bruker, jo mer skadevare vil utvikles for plattformen.

Andre ting som gjorde det verdt å studere trojaneren nærmere er også måten den spionerte på brukernes nettsurfing.

I tillegg brukte Flashback avanserte metoder for å sette opp og kontrollere botnettet, blant annet med kommandoer sendt via Twitter, redundante kommandoservere og dynamiske domenenavn.

Reverse enginering

Flere av Esets sikekrhetsteam har deltatt i undersøkelse og reverse engineering av Flashback-trojaneren.

Mens ett team ved hovedkontoret i Bratislavajobbet for å utvikle en generisk deteksjonsalgoritme for skadevarenvar flere team ved Esets andre viruslaber rundt om i verden med å reversere koden.

- For det første var det jo ønskelig å informere brukerne om trusselen slik at de kunen sjekke sine systemer for skadevaren, og hvis infisert, rense dem, sier Anders Nilsson i Eurosecure.

Etter å ha knekket koden som skadevaren bruker for å opprette dynamiske domener, satte Eset i gang arbeidet med å kartlegge og registrere så mange av Flashback-domenene som mulig, i samarbeid med andre sikkerhetsaktører.

Resultatet ble at botnettet som Flashback brukte, til slutt ble drept, og Mac-brukere kan igjen sove trygt.

Ihvertfall til neste gang.

Se video: Eset reveals further facts about OS X Flashback Trojan (w/Pierre-Marc Buerau)