Threat Management Gateway RTM (nye ISA)

ISA server er omdøpt og lagt til som medlem i Forefront porteføljen. Den heter nå Threat Management gateway og er nettopp ferdig. Klientdelen tidligere kjent som Firewall Client har derfor også fått navnet TMG Client.

Kjapt om nye ting i TMG

• URL Filtrering
• Kontrollere sluttbrukeres tilgang til ulike siter. 80 forskjelle URL grupper, basert på Microsofts Reputation Service (MRS) sine baser. TMG cacher data herfra og blokkerer tilgang til sites. Siden brukeren får isteden kan tilpasses. Filtreringsmodulen kan også brukes til å utelukke scanning av trafikken mtp personvern (f.eks mot banker).  
• Integrert Malware scanning
• Integrert scanning mottor for å stoppe malware før det kommer inn i nettet ditt
• Network Inspection System
• En generisk dekoder av protokoller, benytter seg av signaturer for kjente exploits og eventuelt blokkere disse. MS Malware protection center lager signaturer for denne tjenesten. En god måte å blokkere exploits på i perioden fram til en patch blir sluppet, vi kan nemlig komme med oppdaterte signaturer langt raskere enn ny kode.
• Oppdatering av Web Cache og støtte for BranchCache
• ISP Redudancy støtte
• Integrasjon med NAP og TMG Vpn
• SSTP
• SIP støtte
• SQL Logging
• Native x64 tjeneste, støtte for Windows 2008 R2

Last ned og prøv ut

(forøvrig: Office 2010 beta er ute for msdn og technet ab., veldig snart tilgjengelig for alle)

De to første dagene på TechEd

TechEd i Berlin i år og jeg er på plass igjen. Blir noe korte blogposter om de viktigste tingene jeg kommer over.

Dag 1

Første dagen ble det ikke mange sesjoner for min del. Det som var mest minneverdig var Mark Minasi’s foredrag om å sikre Windows. Var litt skuffa over nivået, var mer level 100 enn 300 som det var satt opp som. Men gode poeng hadde han. De som festa seg best var ikke nye, men gode nok til å gjenta:

• Blit kvitt LM autentisering i nettet ditt, denne er utviklet på 80 tallet og sikkerhetsmessig svak, ikke laget for dagens miljøer og ikke minst dagens mulige datakraft til å knekke koder. (Vi har anbefalt dette i 10 år… egen group policy innstilling)
• Passord policier bør kreve minst 8 tegn, helst 12 mener Mark. Han er motstander av komplekse passord siden de ofte gjør at folk skriver dem ned istedet. Såkalte “Pass phrases” derimot er han tilhenger av. Dvs å bruke setninger istedet for bare ord som passord. Lettere å huske og blir fort langt nok.
• En annen ting jeg er veldig enig i er at passordenes tid kommer til å være forbi, antagelig innen 5-10 år. Når datakraften vokser seg kraftig nok vil det kreve særdeles lange og komplekse passord for å gjøre dem vanskelig nok å knekke. Så start å se på PKI og SmartCards nå. (Litt tidlig å se på biometri til de store massene syns jeg)

	Ikke verdens peneste konferansesenter akkurat, men stort er det. Og lunsjen var god.

Kvelden

Etter en middag ved Hilton hotellet tok vi turen bort til den store markeringen av Berlin murens fall ved Brandenburger Tor. Det var enormt mye folk og ikke minst politisperringer overalt, så det å komme nærme nok til å se alt som skjedde var ikke akkurat lett. Men mye folk og litt glimt av hva som skjedde på en storskjerm fikk vi med oss. Vått og kaldt var det også.

Dag 2

Denne dagen begynte på Deutsche Bank sin presentasjon av sitt Windows 7 prosjekt. I all hovedsak fortalte and følgende punkter fra prosjektet og det var litt diskusjon og spørsmål rund de samme punktene

• De hadde valgt å standardisere på x64 OS, faktisk det eneste som skulle rulles ut i bedriften. Der unntak fra regelen var nødvendig for å kjøre ulike applikasjoner skulle dette gjøres basert på gammelt Windows XP image x86 i en VDI løsning. Altså ikke en eneste fysisk klient skal kjøre x86 videre.
• Forøvrig samme anbefalning som IKT-Sjefen for Oljedirektoratet ga på sitt foredrag på lanseringsseminaret for Windows 7.
• De skulle videre sate på å bruke mesteparten av verktøyene for deployment, minus WDS der de hadde noe egetutviklet. Dette stillte en annen kunde i salen et veldig engasjert spørsmålstegn ved, hvorfor ikke bruke WDS? Eneste grunnen som ble oppgitt var at de hadde et egenutviklet system fra før som fungerte.
• Videre var planen å aktivt benytte integrerte løsninger som Bitlocker til å erstatte 3.parts programmer.
• I all hovedsak skulle VDI være løsningen for å løse app.compat utfordringer.
• De satser ellers veldig på både server og applikasjonsvirtualisering.
• I prosessen hadde de vært mye nøyere enn tidligere med å hente inn krav og ønsker fra forretningssiden og gått flere design runder for å finne best mulig konfigurasjon.

De to neste foredragene jeg gikk på var begge to av Michael Niehaus. For de som ikke kjenner han, en av utviklerne bak BDD/MDT i flere år og generelt sett “deployment geni”. Og en god foredragsholder.

• Første sesjonen var kun demo og gikk gjennom oppsett og bruk av MDT og WDS til deployment av Windows 7 på 30 minutter. En god demonstrasjon av hvor enkelt det er å få til en basis installasjon.
• Sesjon nr to med han gikk mer i detalj på nye muligheter i MDT 2010 konsollet og verktøyene rundt:
• WAIK er ute i versjon 2.0, nye WinPE images og ny måte å bygge disse på
• WinPE er ute i versjon 3.0
• USMT 4.0 er ute, ligger med i WAIK
• Ikke en nyhet lenger, men verdt å nevne igjen: USMT 4.0 bruker hardlink migration ved flytting av brukerens profil/data. Dette betyr at filene i seg selv ikke trenger å flyttes, man bare lenker dem inn på nytt på riktig sted etter deployment. Veldig mye tid å spare på å slippe kopieringsjobben som tidligere.
• DISM, det nye verktøyene for å lette jobben med offline image management, injekte pakker/språk, drivere etc.
• Videre var det mye gjennomgang av hvor lett det nye konsollet er å bruke, med drag and drop, cut & paste osv.
• En av mine favoritter er hvor lett det er blitt å dra inn driver samlinger, spesielt fra leverandører som Dell, som publiserer CAB filer pr modell med alle nødvendige drivere. MDT kan pakke ut disse og legge dem til.
• Selection Filters for pakker, applikasjoner og drivere var en annen av mine favoritter, meget lett å lage seg utvalg basert på katalogstrukturen for f.eks drivere, slik at kun nødvendige drivere blir injecta.

Med så mange tusen som skal spise samtidig er det mange veldig store spisesaler. Sesjonen før lunsj var tidlig ferdig, så jeg var blant de første inn. Sprøtt syn med så mange servitører på linje for å geleide oss inn til riktig buffet…

Favoritt rapporten min er ute igjen, SIR volume 7

Og det er vår egen Security Intelligence Report, også kalt SIR. Denne rapporten baseres på info vi får inn via våre MSRT, Forefront porteføljen, Windows Defender, OneCare, MSE nettverk. 450 millioner unike maskiner, altså et veldig godt datagrunnlag. I tillegg benyttes data fra Bing, Hotmail epost scanning (mer enn 300 millioner aktive brukere) og Shadowserver.org (spesifikt for Conficker tracking)

Andre eksterne kilder inkluderer følgende: http://www.first.org/cvss/cvss-guide.html, http://nvd.nist.gov/, http://datalossdb.org, http://www.securityfocus.com, http://www.secunia.com, http://www.securitytracker.com m.fl

Kort oppsummering

• Laveste infeksjonsrate har Finland, 1.9 maskiner pr 1000 maskin scannet.
• Norge har 3.3 maskiner infisert pr 1000 maskin scannet. 0.4 maskiner for mye til å havne på topp ti lista.
• Verdensgjennomsnittet ligger på 8.7 maskiner pr 1000.
• Win32/Conficker var den mest utbredte malware på verdensbasis, men kommer ikke på topp 25 lista en gang i Norge. Win32/taterf på andre plass på verdensbasis er heller ikke spesielt synlig i Norge.
• I Norge ligger Win32/ZangosearchAssistant på første plass. Denne ligger på 4.plass på verdensbasis
• Denne monitorerer nettbruk og viser pop-up reklame relatert til nettsidene som besøkes. Relatert til Hotbar og ZangoShoppingReports.
• Nr. 2 i Norge, Win32/Renos, ligger på 3 plass på verdensbasis
• Laster ned ulike andre uønskede programmer, deriblant flere falske antivirus.
• I Norge generelt er det vesentlig mindre tilstedeværelse av ormer enn resten av verden, men derimot er det signifikant mer av falske antivirus programmer (mine tidligere poster om dette)

• Noen vil kanskje også finne det interessant at Taterf er en av ormene som tydeligvis har fått nytt liv. Denne har økt 156% siden sist rapport. Denne stjeler brukernavn og passord til store online rollespill, som igjen brukes for å stjele gull og andre ting fra spilleren. Dette selges da videre.
• Phishing er det fortsatt mye av der ute, men i mai og juni eksploderte det, i stor grad pga “kampanjer” som hadde ulike sosiale nettverk som mål/angrepsvektor.
• Bildet under syns jeg er veldig interessant, det viser hvor få infeksjoner som er funnet ut av MSRT på nyere OS sammenlignet med eldre.  Tallene er pr 1000 av det angitte OS, så hvor mange som kjører det påvirker ikke tallene slik sett. Men selvsagt er det variasjoner her også pga bruksområder for de ulike OS’ene.

Bildet under her igjen viser hva slags hovedkategori sårbarheter som ble benyttet av malware. Både vi og andre, f.eks symantec, har fra lansering av Windows Vista pratet om at angrep og malware i større og større grad rette seg mot applikasjoner, da de nå er enklere mål. Dette syns tydelig i grafen under:

Den samme trenden underbygges i stor grad av grafene under også, som viser tydelig at de fleste spredningsmekanismer via nettleser benytter hull i plugins og ikke selve nettleseren på nyere OS. Det enkleste målet velges selvsagt igjen av angriperene.

(klikk på bildene for å se dem større). De blå søylene viser Microsoft sårbarheter og på Windows XP er det disse det er flest av. Mens på bildet til høyre ser vi samme rapport for Windows Vista og der er det stort sett sårbarheter i plugins som benyttes.

Se hele rapporten og les mer på http://www.microsoft.com/security/portal/Threat/SIR.aspx

And we have lift-off

Windows 7 launch ble gjennomført i Oslo forrige uke, samtidig som våre lanseringspartnere holdt arrangement i Kristiansand, Stavanger, Bergen, Trondeim, Trømso, Bodø og Mo i Rana. Kort rapport følger under.

Det var lagt opp til en helt annerledes agenda enn vanlig, kun 20 minutter taletid for oss i MS og resten av sesjonene var partnere og kunder som delte sine erfaringer. Hvis du har tilbakemeldinger på dette nye opplegget (og var der helst), send gjerne en mail eller kommentar.

Over: Det gikk med relativt mye tid til å få alt på plass og litt ekstra teknisk utstyr måtte inn i siste liten pga mange påmeldte og behov for ekstra skjermer og lyd.

Over/Under: Men det ble jo ganske fint til slutt.

Og fullt ble det i salen til og.

Undertegnede forsøkte seg som konferansier og åpner her kl 12

COO i Norge Espen Gylvik ønsker velkommen.

Og John Henrik Andersen, direktør Windows Commercial, forteller kort om hvorfor Windows 7

Selv syns jeg de beste sesjonene var til slutt, når Oljedirektoratet, Deep Ocean og Sogn og Fjordande fylkeskommune delte sine erfaringer. Referanse sakene på de to andre kommer snart her.

SCCM SP2 klar

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=3318741a-c038-4ab1-852a-e9c13f8a8140

Fått så mye spørsmål etter denne at den fortjener en egen blogpost, om enn kort. Dette er oppdateringen mange har ventet på for full Winodws 7 støtte.

Endelig!!

Har jobba mye en stund nå med Windows 7 lanseringen og spesielt de to siste ukene, har dessverre godt litt utover blogginga også.

MEN IMORGEN lanserer vi Windows 7 for alt og alle! Det hele skjer med et seminar mellom kl 12 og 16 imorgen i Oslo, pluss i 7 andre byer, der det blir holdt av partnerne våre. Her blir det ca 30 minutter taletid for Microsoft, deretter er det kun partnere og kunder som forteller om sine windows 7 erfaringer. Det er mange som er godt i gang allerede. Og på kvelden holder consumer gjengen fest.

Oslo seminaret er fullt og vi har måttet øke stol og matbestillingen:) Hvis du er i en av de andre byene under kan du sjekke linkene til seminarene lanseringspartnerne våre har:

Bergen
Stavanger
Trondheim
Kristiansand
Nord-Norge (Mo i Rana, Bodø, Tromsø)

Lyst til å lese mer om Windows 7, teknisk, mens det blir dårlig med blogginga fra meg. Sjekk denne bra artikkelen om DX 11.

På twitter er det også langt flere oppdateringer fra meg om dagen. Og hvis du vil følge med på all verdens interessant innhold rundt Windows 7 nå, test www.collecta.com for real-time søk. Lag deg et søk på “windows 7” og det detter inn nye ting hele tiden nå.

Jobber også for å bli ferdig med white-paperet mitt om å håndtere applikasjons kompatibilitet, tatt litt tid fra bloggen det og. Håper å bli ferdig i løpet av helgen (må fo proofing tools til å funke med den utgaven av Office 2010 jeg kjører… noe å glede seg til der og!)

Kom med innspill på annen informasjon fra oss som ville gjort det enklere for dere å ta i bruk nytt OS. bruker kommentarfelt eller Contact link.

Same old, same old. VA 2.0

Får veldig mye spørsmål både direkte og via kollegaer og kundeservice om dagen rundt Volume Activation 2.0. Det samme skjedde når Windows Vista ble lansert, men nå er det jo enda flere som er i gang med Windows 7.

Derfor på tide å gjenta dette:

• Alle Windows 7 klienter må aktiveres, også Volume utgaver
• Dette kan gjøres med en MAK nøkkel direkte på klienten og at denne aktiverer seg mot våre servere
• Eller det kan gjøres med en sentral tjeneste der KMS nøkkelen installeres. Klientene vil da aktivere seg mot denne serveren internt og kun KMS servere må aktiveres en gang mot våre servere.
• KMS nøkkelen skal IKKE benytte direkte på vanlige klienter. Den kan aktiveres svært få ganger.
• KMS servere kan også aktivere servere. 25 klienter eller 5 servere trengs aktive før aktivering kan gjennomføres.

Det var superkortversjonen, det finnes litt flere alternativer og muligheter rundt hvordan man setter opp dette. Mine blogposter rundt VA 2.0 og vista gjelder fortsatt for Windows 7. Sjekk dem ut her.

Ta også en kikk på brosjyra vi laget om dette sist, mens vi jobber med en oppdatert norsk utgave.

Utover dette finnes det massevis av engelsk info om emnet på Technet.

Makeover av bloggen

Nå har bloggen sett lik ut i nesten tre år, var på tide å friske den opp litt. Blogsystemet vårt består jo av en rekke stilmaler og så kan man manuelt overkjøre en og en stil etterpå. Ikke helt optimalt, men fikk da endret det jeg ville på denne stilen til slutt.

Målet var nytt og lysere grafisk oppsett, tydelig Windows og oversiktelig nok tag cloud, lett tilgjengelig søk. Vi har nå forøvrig fått satt opp Bing søk i blogløsningen vår også.

Merker at det begynner å bli noen år siden jeg kunne webutvikling. Kom gjerne med kommentarer i kommentar felt, epost/(kontakt link) eller twitter.

Opplæring av brukere på ny plattform (white paper)

Det siste halve året har dette vært en diskusjon som dukker opp oftere og oftere, i det siste oftere enn diskusjoner rundt hvordan man best deployer teknisk. Oppskriften der er jo lett :) MDT+SCCM|WDS+Win7. På bruker opplæring er oppskriften faktisk langt vanskeligere og har et større behov for tilpasning fra bedrift til bedrift og ikke minst internt til ulike brukergrupper/demografiske grupper.

Så, jeg har oppsummert en del av aspektene vi diskuterer i disse møtene i et kort white paper, 8 sider ble det vel. Her finner du tanker om innfallsvinkel, mulige måter å drive opplæring på, samt ressurser for dette (windows 7 + Office) og eksempler.

 Last ned fra Skydrive her

Passer jo bra i denne sammenheng å vise sitatet fra Crayon sin referanse sak om Windows 7 utrulling også:

Solid State Disker og Windows 7

Kort post om hvordan Windows 7 er tilpasset dagens SSD’er. Disse blir jo både mer populære og billigere, ikke minst fordi det loves bedre respons, lengre batterilevetid, raskere oppstart og mindre støy.

Kjapt om SSD

• Random reads. Dette er SSD diskens store fortrinn ytelsesmessig. I motsetning til ordinære plate disker er det jo her ikke noe mekanikk som må flyttes rundt på disken.
• Seqential reads & writes. Flere av dagens SSD disker er blitt veldige gode på dette også, på reads er noen av dem dobbelt så kjappe som en bra 7200 RPMs. Når det gjelder writes er variasjonen stor, noen SSD’er er kjappere enn ordinære HD’er, mens andre fortsatt ligger langt etter.
• Random writes & Flushes. Dette er området disker har slitt med lenge og mye av grunnen til at de utstyres med cache, de fleste disker klarer nemlig ikke akseptable tider ved direkte skriving til plata. Og problemet kan du fortsatt merke godt med SSD’er, men dette varierer også mye. Faktisk er random writes & flushes vanskeligere å løse optimalt med SSD enn ordinære disker. (les mer her om du er interessert)

Windows 7 forbedringer

• SSD består av flash blokker og celler. Disse trenger man faktisk å slette innholdet på før noe nytt kan skrives til dem. Dette er eneste måten å være sikre på at cellene er 100% tomme og at dataene vil bli lagret riktig. Windows 7 støtter Trim kommandoen i ATA protokollen og vil benytte dette med disker som sier de støtter det. Dette medfører at disken får beskjed om filer som slettes og at tilhørende celler også kan slettes. Dette gjør at disken kan planlegge dette på forhånd og at ikke en write til et område også vil kreve en erase først og dermed gå treigere. Trim kommandoen er også integrert med partisjons og volum kommandoer som format og delete. Dette er også med å øke levetiden på cellene.
• Windows 7 vil slå av defragmentering på SSD disker og disker med bedre enn 8 MB/s random reads.
• På SSD disker med god nok random reads og writes/flushes vil Superfetch, Readyboost og boot prefetching bli skrudd av.
• Bitlocker vil også etter første kryptering sende en Trim kommando til SSD’er for at de skal få optimalisert cellene på disken igjen etter kryptering.
• Det er også innebygget flere tester for å score disker på de nødvendige lese og skrive parameterne.

Et spørsmål som ofte dukker opp er hvorvidt man burde plassere pagefila på en SSD eller ikke?

Svaret er ja, de fleste operasjonene mot denne fila er random reads eller større seksvensielle writes som støttes godt.

Hibernate fila derimot skrives og leses i store sekvensielle biter og kan derfor plasseres på en ordinær Hd eller en SSD.

(fått sånt ergonomisk tastatur…ganske vanskelig å venne seg til…)

MDOP 2009 R2 (ute seint i Oktober)

I stor grad dreier dette seg om Windows 7 støtte for Windows 7 i alle komponenter, minus Med-v. For Server og management delene dreier den nye støtten seg om Windows Server 2008 R2.

Med-V støtte for Windows 7 er planlagt i SP1 for dette produktet og denne blir lansert en gang i Q1 2010.

Andre ting som er med i R2 oppdateringen:

• AppLocker støtte for App-v, noe som gjør at app-v klienten vil overholde group policyen som er satt for Applocker.
• Advanced group policy management (AGPM) vil støtte cross-forest management av group policy objekter.
• AGPM får også bedre søk og filtreringsfunksjonalitet, igjen for å gjøre det lettere å håndtere et større antall policies.
• Desktop Error Monitoring får nye Top rapporter, f-eks Top system errors.

mer info om MDOP hvis du ikke har fått med deg denne pakka før:

http://www.microsoft.com/windows/enterprise/products/mdop/default.aspx

AutoRun endringer i Windows 7

Det ble gjort noen endringer for å i større grad motvirke dette som spredningsmekanisme for virus.

Først, forskjellen på to begreper som mange blander:

- AutoRun: Funksjonen som starter et program fra en type media som blir tilkoblet pc’en.

- AutoPlay: Dette er funksjonen som gjør at et spesielt program på maskinen kan startes når man putter inn media med en spesiell type innhold. F. eks media player når man putter inn en Video DVD. Autoplay parser også autorun.inf fila og viser muligheter her fra i AutoPlay menyen.

Endringer

1. Autoplay vil ikke lenger vise muligheten til å kjøre det som autorun.inf foreslår for ikke-optiske media. På bildene over ser du at Autorun er slått av, men det som er definert i autorun.inf vises i menyen (rød firkant). Grønn firkant er det vanlige trygge valget å se på filene, autorun.inf valget over ser for den vanlige bruker helt likt ut, men vil starte en fil og infisere maskinen. I Windows 7 blir ikke dette trikset for å lure brukeren mulig, menyen til høyre viser kun trygge valg.
2. Dialogene til AutoPlay vil eksplisitt fortelle om og gruppere valg som faktisk kjører fra media og ikke lokal pc. Bildene under viser denne forskjellen. Merk at på Windows 7 dialogen til høyre må en optisk stasjon benyttes for å i det hele tatt få opp valget om “Run setup.exe”

(Enkelte USB’er vil kunne opptre som cd/DVD stasjon ovenfor OS’et og dette vil gjøre at de kommer rundt)

XP, Server 2003 og Vista

En god nyhet jeg nettopp kom over er at dette er blitt “back porta” til XP Sp3 og Windows Vista. Les mer og last ned her:

 http://support.microsoft.com/kb/971029

Botnet trender

Lenge siden jeg har kikka på botnets nå, på tide igjen nå, er jo en av “favorittene” mine innen ondsinnet kode.

Tidligere poster med intro til Botnets her.

Grafen er hentet fra Shadowserver.org, en gruppe som overvåker en rekke botnets. Tallen på Y aksen er antallet aktive  C&C servere, ikke antall bots.

Botnet kontroll

Botnets begynte jo med enkel kontroll via IRC, som siden ble langt mer avansert og ikke minst automatisert. Dette ble etterhvert, og er i en del tilfeller fortsatt, botnets store svakhet. Ved å overvåke trafikk og se etter uventet IRC trafikk kunne de spores og ikke minst stoppes ved å blokkere IRC serveren de koblet seg til (Command and & Control server). Botene ble videreutviklet til å ha alternative C&C servere, failback løsninger og i siste instans bakdører eieren kunne bruke til å få kontroll igjen. Det neste skrittet var å gå vekk fra IRC og over til peer-to-peer baserte systemer. Disse er som kjent langt mindre sårbare og vanskeligere å ta ut. Det gir også et behov for mer komplekse boter og vedlikehold.

Nylig ble det observert bot’er som fikk kommandoer via RSS feeds, som igjen kom fra Twitter. Den nå stengte Twitter kontoen ble brukt til å poste linker til kommandoer eller filer som skulle lastes ned og utvide/oppdatere boten.

Twitter feeden til høyre inneholder base64 kodede strenger som igjen referer til linker. Disse viser igjen videre til filer eller kommandoer.

Hos flere andre micro blogging tjenester er det funnet lignende kontoer og kommandoer/henvisninger som blir sendt ut.

Waledac botnet’et (oppdaget Dec 2008)

Dette nettverket har vært aktivt med å sende spam siden det ble oppdaget. Benyttes ofte til å utføre social engeenering i forbindelse med større hendelser i verden, som mange er klar over pga pressedekning osv. Nettet har også en avansert funksjonalitet for å oppdatere både seg selv og spam’en som sendes ut, ofte oppdateres botkoden 2 ganger om dagen, i perioder enda oftere. Mye av Viagra og lignende spam du har fått siste året har kommet fra dette nettet.

I tillegg til spam laster ofte bot’en ned falsk antivirus programvare, som er ganske plagsom og varsler brukeren enormt mye. Den etterligner også Windows Security center. Tanken bak det hele er å få brukeren til å klikke på linken for å kjøpe fullversjon av “antivirus” programmet og løse alle disse sikkerhets”problemene”. til kun $49,95.

Nettet krypterer trafikken sin og er relativt dynamisk i sin utforming og flytter for eksempel rundt på hvilke noder som skal gjøre hvilke oppgaver. En node kan for eksempel opptre som Spam utsender, mens andre kun er kommando proxier.

Som Storm benytter dette nettet  P2P kommunikasjon, men over HTTP. Koding av meldinger gjøres med en kompleks variasjon av RSA, AES, Bzip2 komprimering og base64 encoding og en xml basert meldingsstruktur. Protokollen de har laget seg omtales som HTTP2P, der RSA antagelig benyttes til session keys mellom noder og servere, mens AES er bekreftet brukt til å kryptere trafikk mellom nodene. Hver node har også sitt eget hardkodede sertifikat.

Nettet benytter seg også av såkalt Fast flux, TTL på oppslag satt til 0 og DNS servere flytter ofte rundt til andre noder.

Mye av meldingstypene og kommandostrukturen har blitt gjennomskuet av ulike sikkerhetsfirmaer, men ikke alt er kartlagt ennå. Botnet’et går også ganske langt i forsøke å gjemme kommandoer som lett vil avsløre dem, f.eks oppdatering av seg selv eller installering av ny malware kode. Ved flere anledninger skjedde dette gjennom krypterte exe filer embedded i jpg filer bot’en fikk beskjed om å laste ned.

Pushdo / Cutwail (oppdaget 2007)

Et ikke like kjent nett, men det er antagelig nr to på lista over spamnet, med over 7,7 milliarder epost hver dag. Den bidrar også i stor grad til å spre annen malware. Dette gjør forsåvidt at malware alarmen ofte går på nodene, men kun den ordinære malwaren oppdages ofte, Pushdo komponentene operer nesten utelukkende i minnet, uten å skrives til disk under kjøring av OS’et (men koden må selvsagt lastes fra disk på et tidspunkt). Spam komponenten som lastes ned kalles Cutwail.

Det ser ikke ut til at nodene selv sørger for å spre seg videre, som for eksempel enkelte Storm noder hadde til oppgave. Koden derimot blir ofte endret og komponenter lagt til. Ifølge enkelte rapporter tyder ting på at Botnet eierne har avtaler med andre nett om å spre Pushdo. For eksemepl har vårt Malware Protection Center observert downloadern Win32/Bredolab brukt som spredningsmekanisme for en rekke annen malware, inkludert Cutwail/Pushdo. (Bredolab er akkurat lagt til i MS Removal Toolkit du får via Windows Update om du har valgt det)

Det virker mer som et generelt verktøy til ulik kriminell virksomhet enn et spesialisert nett. Dette underbygges også av at kontaktinfo for å benytte seg av nettets tjenester er relativt lett tilgjengelig. Forøvrig oppga de å ha tilgang på rundt 1 million norske epost adresser og spam til alle disse kostet 3000 rubler. Med dagens kurs ca 670 kr. (interessant nok er de villige til å gi en ordentlig kvittering så man kan få utgiften ført ordentlig i regnskapet. I Russland er jo ikke lovene rundt dette like strenge)

En egen downloader modul besørger nedlastning ny kode og henter info om dette fra en av en rekke servere, alle fra ulike leverandører på/med ulike ASN. Pushdo laster også ned en egen kernel driver som settes opp til å lastes tidlig, også om Safe Mode benyttes. Dette gjør den for å sikre seg mot deteksjon og at den alltid er installert og kjørende. Den vil blant annet sørge for at endring av dens egne registry settinger ikke fungerer og at den alltid har sin egen kode injected i services.exe når en instans av denne startes.

“Kampanje” modulen kan installere annen malware, for eksempel Popup reklame. Modulen kan da sørge for at dette skjer, men også at tidligere installert malware fjernes samtidig.

Kilder

http://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/

http://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/infiltrating_the_waledac_botnet_v2.pdf

http://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/study_of_pushdo.pdf

http://www.microsoft.com/security/portal/Threat/SIR.aspx

http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20081231

MDT 2010 klar for nedlastning

http://microsoft.com/mdt

Download her

• Deployment points og distribution shares kombineres til et share. Disse kan være på en lokal disk, shared folder, dfs.
• Bedre management av deployment shares, styr dem fra enhver pc med workbench installert. Gitt at du har nok rettigheter på share
• Cut, paste, drag, drop støtte i deployment workbench..
• Bedret støtte for å lage fysiske installasjonsmedia
• Støtte for Powershell til automatisering
• Støtte for å refreshe installasjoner av Windows 7 som er bitlocker kryptert uten å måtte dekryptere først (eller renske disk)
• Støtte for Windows 7
• Støtte for Windows Server 2008 R2
• Støtte for SCCM SP2 (beta nå)
• USMT 4.0 støtte

What’s new dokument

Windows 7 bootcamp på Norefjell

Bootcampen vår, trening av konsulenter på windows 7 og Windows server 2008 R2 er i full gang på Norefjell nå. Det er nok ikke så hardt som ordet bootcamp kan tyde på, vi er riktignok oppå fjellet, men bor på det nye Quality Spa hotellet. Kan anbefales.

Vi fikk med nesten alle på bildet. Som du ser er vi ganske mange og delt førsteplass for flest deltagere går til Umoe og Atea.