image

"Malware op NU.nl waarschijnlijk defect"

vrijdag 16 maart 2012, 18:08 door Redactie, 9 reacties

De malware die aanvallers op NU.nl plaatsten was waarschijnlijk defect, zo blijkt uit analyse van het Delftse beveiligingsbedrijf Fox-IT. "Het lijkt erop dat we mazzel hebben gehad", zegt Joost Bijl van Fox-IT tegenover Security.nl. Toch houdt hij een slag om de arm omdat het niet met zekerheid valt te zeggen of de malware niet op een andere manier actief wordt. Van de 'paar honderd' infecties die het beveiligingsbedrijf bij bedrijven onderzocht, bleek slechts één infectie verbinding met de servers van de criminelen te maken. Bijl noemt het opmerkelijk, aangezien het om een zeer goed geplande aanval lijkt te gaan.

Woensdag wist een aanvaller malware op de populaire nieuwssite te verstoppen. Het ging om een exploit die bezoekers die niet over de meest recente versie van populaire programma's zoals Java beschikten, met de Sinowal Banking Trojan infecteerde. Dit Trojaanse paard is ontwikkeld om geld van bankrekeningen af te schrijven.

Nederland
In tegenstelling tot eerdere berichten werden geen Indiase servers voor het hosten van de exploits gebruikt, maar Nederlandse IP-adressen. Fox-IT gaf de gebruikte domeinnamen en IP-adressen door aan anti-spamorganisatie Spamhaus en waarschuwde hostingprovider Serverboost.nl dat de IP-adressen beheerde. Spamhaus wist de exploit-kit domeinen en het back-up domein van de malware uit de lucht te halen. Later werd ook de server uit de lucht gehaald, waardoor de aanvaller geen controle meer over het botnet had.

Verder bleek dat de exploit-kit onderscheid maakte in gebruikers met Windows XP/2000 en gebruikers met Vista en nieuwere Windows-versies. In het geval van Windows 2000/XP werd de MBR bootkit geïnstalleerd. Op Vista en Windows 7 systemen zou de malware een "userland onderdeel" installeren, maar dit is niet tijdens de aanval op NU.nl waargenomen.

Defect
Fox-IT ontdekte verder dat in de malware een "id" was opgenomen, dat naar een gebruikersnaam op een Russisch forum voor cybercriminelen wijst. Het forum werd een aantal jaren geleden gehackt en de database gepubliceerd. Daaruit blijkt dat de gebruiker waarvan de naam ook bij de aanval op NU.nl betrokken zou zijn, een Yandex e-mailadres heeft. Yandex is een Russische e-mailprovider. Verder blijkt dat deze gebruiker in 2010 vanaf een IP-adres in Moskou op het forum inlogde.

Het meest opmerkelijke is dat de malware op het eerste gezicht defect lijkt. "Van alle infecties die we onderzochten, maakte slechts één infectie succesvol verbinding met de Sinowal command & control infrastructuur, wat op een succesvolle infectie duidt", schrijft beveiligingsexpert Michael Sandee.

"We weten niet waarom dit gebeurt en kunnen ook niet de reden hiervoor verifiëren." Andere onderzoekers zouden hetzelfde verhaal bevestigen, merkt Sandee in deze analyse van het incident op.

Reacties (9)
16-03-2012, 18:31 door [Account Verwijderd]
[Verwijderd]
16-03-2012, 18:50 door mrHenkie
Door Peter V: Ja, totdat iemand die rotzooi repareert. Krijgen we alsnog een probleem, zij het wat later.

Door Redactie: Het meest opmerkelijke is dat de malware op het eerste gezicht defect lijkt. "Van alle infecties die we onderzochten, maakte slechts één infectie succesvol verbinding met de Sinowal command & control infrastructuur, wat op een succesvolle infectie duidt", schrijft beveiligingsexpert Michael Sandee.

Als ze geen contact met de server kunnen leggen, hoe kunnen ze dan de nieuwe versie van de malware downloaden?
16-03-2012, 19:15 door Anoniem
Tja, ik weet nu ook niet meer wat ik nog moet geloven. Ik denk dat betrouwbaarder onderzoek en rapportage beslist op z'n plaats is. De media slaan regelmatig volledig de plank mis. Er wordt maar blind gekopieerd en geplakt qua berichtgeving.
16-03-2012, 19:21 door Anoniem
Waarom dacht men eerst dat het om een server in India ging en nu blijkt dat het afkomstig uit Nederland is?
16-03-2012, 21:34 door Anoniem
Door mrHenkie:
Door Peter V: Ja, totdat iemand die rotzooi repareert. Krijgen we alsnog een probleem, zij het wat later.

Door Redactie: Het meest opmerkelijke is dat de malware op het eerste gezicht defect lijkt. "Van alle infecties die we onderzochten, maakte slechts één infectie succesvol verbinding met de Sinowal command & control infrastructuur, wat op een succesvolle infectie duidt", schrijft beveiligingsexpert Michael Sandee.

Als ze geen contact met de server kunnen leggen, hoe kunnen ze dan de nieuwe versie van de malware downloaden?

Ik citeer:

Als ze geen contact met de server kunnen leggen, hoe kunnen ze dan de nieuwe versie van de malware downloaden?

Omdat de nieuwste versie al op de malware SITE staat, denk eerst na voor je wat zegt.
17-03-2012, 10:06 door Anoniem
Toch vreemd dat volgend Fox-IT niet zou werken, want ik werd gisteravond gebeld door een bedrijf die nu.nl als hun startpagina heeft en blijkbaar geïnfecteerd is, want er werd geprobeerd een transactie te doen van >€5000 naar Poolse bank.
Dus zo maar eens die kant op om te kijken of het inderdaad sinowal is, of dat ze geheel toevallig net op hetzelfde moment op een andere manier besmet zijn.
17-03-2012, 10:40 door Anoniem
Bij de domeinregistraties zijn veelal nummers met +7...... gebruikt. Dus Rusland ligt wel voor de hand. Wel lastig te volgen die informatie op www.mwis.ru. Wie kent er wat Russisch?
18-03-2012, 20:19 door Anoniem
Door Anoniem: Waarom dacht men eerst dat het om een server in India ging en nu blijkt dat het afkomstig uit Nederland is?

Omdat de gebruikte domeinen op .in eindigden. Maar die verwezen naar een server in nederland.
19-03-2012, 14:48 door Vergeten
Aangezien het wordt gelinkt via een domeinnaam kan dit zeer makkelijk weer online worden gegooid. Verander de DNS instellingen van die .in domein naar een server die werkt.. Hupsakee ze kunnen weer verbinden met een C&C.

Waarom denk je dat dingen zoals No-IP worden gebruikt? Zo kunnen ze de IP-Adres altijd veranderen zo nodig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.