image

Microsoft ontdekt backdoor op netwerkniveau

maandag 10 december 2012, 15:44 door Redactie, 6 reacties

Microsoft heeft een backdoor ontdekt die zich in tegenstelling tot traditionele achterdeurtjes op netwerkniveau verbergt. De Exforel-malware zou volgens de softwaregigant voor een specifieke aanval op een bepaalde organisatie zijn ingezet. Eenmaal actief implementeert de malware een eigen TCP/IP stack en kaapt het verkeer op niveau van Network Driver Interface Specification (NDIS).

NDIS is een door Microsoft en 3Com ontwikkelde standaard die de communicatie tussen hardware en protocollen regelt. Door op het NDIS-niveau te zitten kan de backdoor het TCP-verkeer onderscheppen. Vervolgens is het mogelijk om zo bestanden te uploaden, downloaden, uitvoeren of TCP/IP pakketten te routeren.

"De door Exforel gebruikte backdoor op NDIS-niveau is veel onopvallender dan traditionele backdoors. Er is geen verbindende/luisterende poort, dus is het lastiger op te merken. Het backdoorverkeer is hierdoor volledig onzichtbaar voor user-mode applicaties", zegt Chung Feng van het Microsoft Malware Protection Center.

Reacties (6)
10-12-2012, 17:28 door Anoniem
Daar staat echter tegenover dat een dergelijk systeem 2 IP adressen heeft, wat in een netwerk monitoring app
de bellen kan doen rinkelen (zeker als ze hetzelfde MAC adres gebruiken naar buiten toe).
10-12-2012, 17:48 door vimes
...Eenmaal actief implementeert de malware een eigen TCP/IP stack en kaapt het verkeer op niveau van Network Driver Interface Specification (NDIS)...

En hoe wordt dit beestje actief?
11-12-2012, 01:40 door Anoniem
Zit er nou een lek in NDIS of is er gewoon een stukje malware wat hier gaat zitten als je het (perongeluk) installeerd?
11-12-2012, 11:01 door dutchfish
Door vimes: ...Eenmaal actief implementeert de malware een eigen TCP/IP stack en kaapt het verkeer op niveau van Network Driver Interface Specification (NDIS)...

En hoe wordt dit beestje actief?

Niet.

Zie: Microsoft NDIS sample driver.

Zie ook:
http://stackoverflow.com/questions/12495211/communicationg-with-ndis-on-winxp-7

Chears
11-12-2012, 11:06 door dutchfish
Door Anoniem: Zit er nou een lek in NDIS of is er gewoon een stukje malware wat hier gaat zitten als je het (perongeluk) installeerd?

Nee.

Er zitten gewoon diverse lekken (lees: onvolkomenheden in het NDIS hooking process)

m.a.w. iederen kan zijn eigen implementatie van de stack maken, al dan niet ipv4.
11-12-2012, 12:15 door SirDice
Door Anoniem: Zit er nou een lek in NDIS of is er gewoon een stukje malware wat hier gaat zitten als je het (perongeluk) installeerd?
Het laatste.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.