De malware waarmee cybercriminelen in Nederland een groot botnet genaamd Pobelka wisten te maken, heeft lange tijd onopgemerkt op computers kunnen functioneren. De Citadel-malware werd bij Nederlandse uitgevers, bouwbedrijven, banken, universiteiten, voedselproducenten, ziekenhuizen, zorgverzekeraars, luchtvaartmaatschappijen, nutsbedrijven, chemie-industrie en overheidsinstellingen aangetroffen.
Op de computers werden allerlei gegevens buitgemaakt, waaronder allerlei cliënt-certificaten en bijbehorende privésleutels. De Citadel-malware was op de meeste computers al enige tijd actief, aldus het Nederlandse beveiligingsbedrijf SurfRight in een rapport waar Security.nl over beschikt. Het ging hier om computers die veilig werden geacht omdat ze over een virusscanner beschikten.
Naast het stelen en manipuleren van webverkeer bekeek de Citadel-malware ook welke beveiligingssoftware was geïnstalleerd. "Hierdoor weten de aanvallers precies welke antivirusprogramma’s ze bij hun slachtoffers moeten blijven omzeilen."
Volgens SurfRight hadden de aanvallers via Citadel de aanwezige anti-virussoftware kunnen dwarsbomen of zelfs uitschakelen. "Dit hebben ze echter niet gedaan. Waarschijnlijk om te voorkomen dat computergebruikers of systeembeheerders gealarmeerd zouden worden", laat SurfRight weten.
Systeemrechten
De Citadel-malware die de Pobelka-bende gebruikte heeft geen systeemrechten nodig om zijn werk te kunnen doen. "De malware werkt dus ook gewoon op gebruikersaccounts met beperkte rechten", aldus SurfRight. Omdat Citadel niet als separaat proces actief blijft is het niet zichtbaar in proceslijsten, zoals in Windows Taakbeheer.
"Het is voor geschoolde computergebruikers dus niet duidelijk of het programma daardoor actief is. Hierdoor kan de malware ook niet eenvoudig zonder een herstart van de computer uit een operationeel systeem worden verwijderd."
Om ervoor te zorgen dat de malware een herstart van de computer overleeft installeert de Citadel-malware zichzelf in een submap onder “Application Data” (%AppData%), in de gebruikerscontext van de actieve computergebruiker. De naam van deze submap is willekeurig maar bestaat altijd uit 4 tot 6 alfabetische karakters. Het Citadel malware-bestand zelf heeft ook een willekeurig gekozen bestandsnaam met wederom een lengte van 4 tot 6 alfabetische karakters.
Eenmaal gestart kan de Citadel-malware, met hulp van een standaard Windows-functie, zichzelf in alle gebruikersprocessen injecteren, zoals webbrowsers en programma’s als Word en Excel, zodat het de gegevensdoorvoer kan onderscheppen, stelen of manipuleren.
Detectie
Om detectie voor virusscanners te dwarsbomen wordt de Citadel-malware op elke machine uniek versleuteld. Hierdoor is het niet mogelijk om middels een standaard ‘hash’ als MD5 of SHA256 alle varianten te ontdekken. En zelfs als er voor elk Citadel-botnet een unieke handtekening is, biedt dit geen garantie.
In de praktijk blijkt deze virushandtekening slechts in staat om een beperkt aantal virusexemplaren te identificeren omdat de aanvallers tussentijds hun malware bijwerken, aldus SurfRight.
Het beveiligingsbedrijf concludeert dan ook dat de Citadel-malware 'minachting' voor anti-virussoftware heeft. "En totaal niet bang is om ontdekt te worden."
Deze posting is gelocked. Reageren is niet meer mogelijk.