Besmette USB-stick legde rechtbank plat
Een concurrent van de beruchte Conficker worm heeft gisteren via een besmette USB-stick het netwerk van de rechtbanken en gerechtshoven platgelegd. De malware zorgde ervoor dat medewerkers niet meer konden internetten en e-mailen. Volgens een woordvoerder zijn de besmette machines grotendeels schoongemaakt, maar kan het personeel uit voorzorg nog niet extern mailen en internetten. De computers raakten van binnenuit besmet met de Neeris worm, die waarschijnlijk via een besmette USB-stick is meegelift.
Neeris worm
Hoewel sommige media vermelden dat het om Neeris.A gaat, is het zeer waarschijnlijk een nieuwere variant van de malware die het Openbaar Ministerie heeft getroffen. Microsoft waarschuwde afgelopen april voor een nieuwe worm die zich via het zelfde beveiligingslek als Conficker bij Windows systemen naar binnen wurmde. Net als Conficker gebruikt de Neeris worm een exploit voor het MS08-067 lek, hoewel sommige varianten via de MS06-040 kwetsbaarheid binnenkomen.
Met Neeris besmette systemen downloaden de worm via HTTP, daarnaast verspreidt die zich ook via Autorun. Als laatste patcht het de TCP/IP laag van Windows systemen, om zo de beperking van het aantal uitgaande verbindingen op te heffen, die sinds XP Service Pack 2 van kracht was. Op 31 maart en 1 april van dit jaar was er een stijging van het aantal Neeris infecties zichtbaar.
"De eerste exemplaren van Neeris dateren van mei 2005, dus het lijkt erop dat de Conficker auteurs in dit geval de copycats zijn", zegt Ziv Mador van het Microsoft Malware Protection Center. Aan de andere kant hebben de makers van Neeris nu de MS08-067 exploit toegevoegd, waardoor het volgens Microsoft mogelijk is dat de cybercriminelen samenwerken of in ieder geval van elkaars creatie op de hoogte zijn. Neeris begon als een IRC bot die zichzelf via links in MSN Messenger berichten verspreidde.
Autorun uitschakelen
De nieuwe Neeris variant maakt verbinding via poort 449 met een Command en Control server. Het server wachtwoord dat het gebruikt om in te loggen werd in februari nog door andere bots gebruikt. De worm zorgt ervoor dat die bij elke systeem start geladen wordt, ook in Veilige Modus. Gebruikers krijgen het advies om voorzichtig met AutoPlay / Autorun te zijn of die anders gewoon uit te schakelen. Daarnaast geldt ook het advies wat voor de Conficker worm gegeven werd, zoals het patchen van alle machines, mocht dat nog niet gedaan zijn.
of heb ik t mis?
Mark
fd0
Op de nova website staat een filmpje van 5 minuten. Interessant om te lezen/zien:
http://www.novatv.nl/page/detail/uitzendingen/7053/Belastingdienst++doet+%27dom%27+met+USB-stick
Ik ben altijd bang dat dit soort nieuws altijd een aantal gevolgen heeft ontremd desastreuze wetsvoorstellen die worden voorgelegd om de nog meer controle te krijgen op de massa.
Het is mij nog niet gelukt.
Feitelijk kun je namelijk autorun niet blokkeren voor devices die nog niet op het systeem bekend zijn.
De enige echte oplossing is USB-aansluitingen fysiek onbereikbaar maken, geen cd/dvd drive in de PC en geen floppy of kaartlezer.
Uiteraard moet je dan ook nog de benodigde USB-aansluitingen voor bijvoorbeeld toetsenbord en muis vast maken aan de PC-behuizing, want voor je het weet heeft een of andere gebruiker er toch een USB-hubje tussen gehangen.
Uiteraard moeten ook eventuele firewire poorten uitgeschakeld zijn.
Zou jij dan kunnen uitleggen hoe je Windows duidelijk maakt dat autorun voor _alle_ media uit staat?
De enige echte oplossing is USB-aansluitingen fysiek onbereikbaar maken
1. Autorun uit via GPO.
2. In je anti-virus configureren dat ze geen uitvoerbare bestanden mogen starten van verwijderbare media.
3. Encryptie software die automatische usb sticks beveiligd.
Gebruikers vriendelijk en toch redelijk veilig.
Zou jij dan kunnen uitleggen hoe je Windows duidelijk maakt dat autorun voor _alle_ media uit staat?
De enige echte oplossing is USB-aansluitingen fysiek onbereikbaar maken
1. Autorun uit via GPO.
2. In je anti-virus configureren dat ze geen uitvoerbare bestanden mogen starten van verwijderbare media.
3. Encryptie software die automatische usb sticks beveiligd.
Gebruikers vriendelijk en toch redelijk veilig.
Het enige wat je dan dus zegt is gebruik geen sticks van anderen...
Autorun uitzeten via GPO heb ik al eens eerder gedaan en toen bleek dus gewoon een nog nooit gebruikte stick toch te autorunnen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
