BitTorrent-gebruikers doelwit Adobe-hackers
Hackers hebben de populaire Torrentsite Isohunt.com gebruikt voor het infecteren van bezoekers via het nog altijd ongepatchte beveiligingslek in Adobe Reader en Acrobat. De website waarschuwt bezoekers om geen onbetrouwbare PDF-bestanden die op de computer staan te openen. "Met name die zonder enige interactie beginnen met downloaden." Isohunt erkent dat de zero-day PDF-aanval inmiddels ook op de eigen website voorkomen. "We doen ons best om alle adverteerders die deze slechte advertenties tonen te weren, maar we zijn niet perfect. Dus nogmaals, open, bekijk en download geen PDF bestanden die automatisch verschijnen." In de tussentijd krijgen systeembeheerders het advies om 193.104.22.0/24 en 89.149.236.46 te blokkeren. 193.104.22.0/24 zou eerder al bij andere aanvallen zijn betrokken.
Nieuwe aanval
Dat PDF-bestanden het hackerwapen bij uitstek zijn blijkt uit een nieuwe, geavanceerde aanval waar het Internet Storm Center (ISC) voor waarschuwt. De shellcode van deze aanval was slechts 38 bytes groot. Hoewel die dezelfde heap spraying techniek als andere exploits gebruikt, is het tweede gedeelte van de shellcode als ander object aan het PDF document toegevoegd. In eerste instantie lijkt deze code corrupt te zijn, maar Adobe Reader opent toch het hele document in het geheugen, waaronder de corrupte code. Volgens Bojan Zdrnja zijn de voordelen voor een aanvaller duidelijk. Die kan wat de exploit doet eenvoudig wijzigen, zonder dat het eerste gedeelte van de shellcode moet worden aangepast.
Dat maakt automatische analyse van elke tool die een JavaScript interpreter voor de toegevoegde JavaScript gebruikt onmogelijk. Verder onderzoek wijst uit dat er twee verstopte binaries aanwezig zijn en dat het PDF document alles bevat om de machine volledig over te nemen. Er hoeft niets "extra's" te worden gedownload. "Niet alleen is dit een interessant voorbeeld van een kwaadaardig PDF document dat een geavanceerde lading bevat, maar ook hoeveel moeite de aanvallers doen om ervoor te zorgen dat hun malware niet alleen voor anti-virusbedrijven, maar ook voor de slachtoffers lastig is te detecteren", aldus de ISC-handler.
Meer meldingen
Zdrjna adviseert gebruikers in afwachting van een patch om JavaScript uit te schakelen. Er verschijnen namelijk steeds meer meldingen van PDF documenten die dit zero-day lek misbruiken. "Als we het nieuwe jaar moeten beoordelen aan de complexiteit die aanvallers nu gebruiken, dan ziet er niet goed uit."
Dan doe je iets niet goed, subnet wel goed ingevuld? Als je bij subnet bv. 0.0.0.0 laat staan/gebruikt word idd. 'alles' geblokkeerd. Gebruik het volgende 193.104.22.0 met als subnet : 255.255.255.0 en 89.149.236.46 met als subnet 255.255.255.255 (of resp. /24 of /32, afhankelijk van wat je firewall verstaat).
Dan doe je iets fout, mon Brave !!
Dan doe je iets fout, mon Brave !!
Ik gebruik Comodo FW, daar kan ik een IP reeks ingeven, wat ik daar invulde was: (begin) 193.104.22.0 en (eind) 193.104.22.24.
89.149.236.46 blokkeerde ik als een single IP. Kan eigenlijk weinig fout in gaan. Zo heb ik wel meerdere IP ranges geblokt op die manier.
De single IP geeft geen problemen. Hmm.. nog weer eens geprobeerd (echt exact hetzelfde als de laatste keer) en nu geeft het geen problemen. Erg vreemd. Nou ja, het is opgelost iig :P
Dan doe je iets fout, mon Brave !!
Ik gebruik Comodo FW, daar kan ik een IP reeks ingeven, wat ik daar invulde was: (begin) 193.104.22.0 en (eind) 193.104.22.24.
89.149.236.46 blokkeerde ik als een single IP. Kan eigenlijk weinig fout in gaan. Zo heb ik wel meerdere IP ranges geblokt op die manier.
De single IP geeft geen problemen. Hmm.. nog weer eens geprobeerd (echt exact hetzelfde als de laatste keer) en nu geeft het geen problemen. Erg vreemd. Nou ja, het is opgelost iig :P
Blij dat ik gereageerd heb want het gaf jou de trigger het nog eens te doen ;-)
Toppie !!
Ze kunnen beter adviseren om een adblocker te gebruiken, dat scheelt behalve deze aanval ook een hoop andere zooi.
Errr.. Volgens mij moet je toch eens even opzoeken hoe CIDR notatie werkt. Een 193.104.22.0/24 subnet loopt van 193.104.22.0 t/m 193.104.22.255.
http://nl.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Errr.. Volgens mij moet je toch eens even opzoeken hoe CIDR notatie werkt. Een 193.104.22.0/24 subnet loopt van 193.104.22.0 t/m 193.104.22.255.
http://nl.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Hij heeft het niet over het hele subnet hoor hij heeft het over de reeks ip adressen eindigend op 0 tot 24 dat is wat anders dan /24
Blij dat ik gereageerd heb want het gaf jou de trigger het nog eens te doen ;-)
Toppie !!
idd :-) thnx Syzygy
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
