image

Botnet vernietigt computers binnen 10 dagen

woensdag 6 juli 2011, 12:52 door Redactie, 13 reacties

Een botnet dat in maart verschillende Zuid-Koreaanse websites platlegde, heeft alle besmette computers in het netwerk vernietigd. Veertig sites van de Zuid-Koreaanse overheid, het leger en kritieke infrastructuur, alsmede Amerikaanse websites, waren het doelwit van de aanvallers. Veertien van de aangevallen websites waren ook al in 2009 via een omvangrijke Distributed Denial of Service aanval platgelegd.

Net als de aanval uit 2009, werden de gebruikte machines na de aanval vernietigd. De malware bevatte een zelfvernietigingscode die binnen tien dagen werd geactiveerd. De code overschrijft het begin van elke fysieke schijf in de computer met nullen. Hierdoor wordt de computer zo goed als onbruikbaar gemaakt, aldus anti-virusbedrijf McAfee. "Doordat de master boot record (MBR) is overschreven, kan de computer niet meer starten." Ook worden bepaalde bestanden vervangen en verwijderd. "De combinatie van deze twee vernietigende technieken veroorzaakt maximale schade op de gecompromitteerde host en diens gebruikers."

De malware uit 2009 verwijderde allerlei bestanden met xml, .xls, .ppt, .doc, .pdf, .c en .cpp extensies. Voor het verwijderen werden alle bestande met een gzip algoritme gecomprimeerd en vervolgens met een wachtwoord versleuteld. Deze eigenschap was ook in de 2011 code aanwezig, maar niet actief. De malware werd voornamelijk op een Zuid-Koreaanse bestandsuitwisselingssite verspreid. In 2009 bestond het botnet uit meer dan 150.000 machines, hoeveel machines er nu betrokken zijn laat McAfee niet weten.

Noord-Korea
De virusbestrijder stelt dat de aanval door meerdere individuen met verschillend inzicht in de architectuur van de code is ontwikkeld. Daarbij zou het mogelijk een test kunnen zijn, om te zien hoe goed Zuid-Korea op cyberaanvallen is voorbereid. "Mogelijk door Noord-Korea of hun sympathisanten", aldus de beveiliger.

Verder zou de code en botnet-architectuur geavanceerd zijn, maar geldt dat niet voor de aanval. Mogelijk zouden de aanvallers hebben willen zien hoe snel de aanval werd opgemerkt en geanalyseerd. "Gewapend met deze kennis, zou de aanvaller cyberaanvallen, in combinatie met kinetische aanvallen kunnen lanceren, met een betere kennis van hoe Zuid-Korea op incidenten reageert", besluit McAfee.

Reacties (13)
06-07-2011, 14:22 door Anoniem
Zou iemand zich weleens afvragen of het in theorie ook niet mogelijk zou zijn dat Zuid-Korea zelf achter de aanvallen schuil gaat ?

De aanvallen in 2009 vielen ongeveer samen met de "Ulchi-Freedom Guardian" Joint US/Korea exercise, en een van de doelstellingen van deze oefeningen is het testen van de weerbaarheid van Zuid-Koreaanse systemen tegen cyberaanvallen.

"Ulchi Freedom Guardian also includes drills to defend South Korea from North Korea’s cyber and terrorist attacks of bombs, chemical warfare, and biological and radioactive weapons. A series of provocations by Pyongyang have encouraged Seoul and Washington to strengthen such exercises" (Bron: Donga)

Het zouden dus in theorie "mock attacks" kunnen zijn, zodat men aan de hand van de conclusies de beveiliging van de Zuid-Koreaanse infrastructuur kan verbeteren, terwijl het tegelijkertijd een goede gelegenheid is om weer eens met een stok richting het Noorden te slaan, en te wijzen op de 'clear and present danger' van Noord-Koreaanse cyberaanvallen.

De vermeende motivatie van Noord-Korea in 2009 zou de deelname zijn van Zuid-Korea aan de Cyberstorm cyberwar oefeningen, volgens de Zuid-Koreaanse lezing van de gebeurtenissen, zie bijvoorbeeld :

S. Korean Puppets' Move to Participate in U.S.-led Cyber Storm Exercises Blasted
http://www.kcna.co.jp/item/2009/200906/news27/20090627-20ee.html

Cyber attack retaliation against Seoul`s move to join `Cyber Storm`
http://www.koreaherald.com/specialreport/Detail.jsp?newsMLId=20090710000075

Was Noord-Korea de schuldige achter de DDoS aanvallen, of speelt Zuid-Korea "Wag The Dog" ?
06-07-2011, 14:38 door prikkebeen
Dit vereist bescherming tegen virussen en malware op een ander niveau. Intel heeft McAffee opgekocht en ik denk dat er dus straks Intel chips op de markt komen met McAfee inside die dit varkentje wel wassen. Vergezocht? Wie weet.
06-07-2011, 14:38 door Anoniem
Juist ja, en kunnen de pc eigenaren nu de schade verhalen op hun antivirus/firewall provider? Want die hoort dit soort shit tegen te houden.Daar betaal je voor.(tenzij je een gratis antivirus en /of firewall hebt).Mischien kan de huisjurist Heer Engelfried daar iets over zeggen?
06-07-2011, 14:42 door Anoniem
"Dit vereist bescherming tegen virussen en malware op een ander niveau. Intel heeft McAffee opgekocht en ik denk dat er dus straks Intel chips op de markt komen met McAfee inside die dit varkentje wel wassen. Vergezocht? Wie weet."

McAfee had dit rapport ook uitgebracht zonder de overname door McAfee. Ook wordt er niet verwezen naar hardware matige AV oplossingen om deze dreiging tegen te gaan.
06-07-2011, 15:11 door prikkebeen
Door Anoniem: "Dit vereist bescherming tegen virussen en malware op een ander niveau. Intel heeft McAffee opgekocht en ik denk dat er dus straks Intel chips op de markt komen met McAfee inside die dit varkentje wel wassen. Vergezocht? Wie weet."

McAfee had dit rapport ook uitgebracht zonder de overname door McAfee. Ook wordt er niet verwezen naar hardware matige AV oplossingen om deze dreiging tegen te gaan.

Nee. De verwijzing ontbreekt. Maar lijkt het je niet logisch? Er is straks, n.a.v. dit soort berichten, goud te verdienen in dat marktsegment. De tot nu toe aangeboden software faalt op alle fronten schijnbaar.
06-07-2011, 17:25 door tuxick
Ik versta toch iets anders onder 'vernietigen van computers'.
06-07-2011, 21:10 door Skizmo
Door prikkebeen: Dit vereist bescherming tegen virussen en malware op een ander niveau. Intel heeft McAffee opgekocht en ik denk dat er dus straks Intel chips op de markt komen met McAfee inside die dit varkentje wel wassen. Vergezocht? Wie weet.
Of je installeert gewoon een goed OS. Virusscanners in hardware chips alleen om dat het OS zo brak is ? ja... dat is te ver gezocht. Ik zou het persoonlijk niet kopen.
07-07-2011, 02:09 door prikkebeen
Door Skizmo:
Door prikkebeen: Dit vereist bescherming tegen virussen en malware op een ander niveau. Intel heeft McAffee opgekocht en ik denk dat er dus straks Intel chips op de markt komen met McAfee inside die dit varkentje wel wassen. Vergezocht? Wie weet.
Of je installeert gewoon een goed OS. Virusscanners in hardware chips alleen om dat het OS zo brak is ? ja... dat is te ver gezocht. Ik zou het persoonlijk niet kopen.

Dat goede OS waar jij waarschijnlijk naar verwijst gebruik ik al jaren en ik ben er blij mee.
Een dualboot systeem is mogelijk immuun voor deze aanvallen op dit moment bedenk ik me nu ineens. Tenminste, als je Linux na Windows installeert. De malware moet in dat geval eerst GRUB verwijderen en het is (voor mij) de vraag of dat momenteel ingebakken is en uitgevoerd kan worden. Iemand daarover iets gelezen misschien?
07-07-2011, 08:59 door Anoniem
Door prikkebeen: Dat goede OS waar jij waarschijnlijk naar verwijst gebruik ik al jaren en ik ben er blij mee.
Een dualboot systeem is mogelijk immuun voor deze aanvallen op dit moment bedenk ik me nu ineens. Tenminste, als je Linux na Windows installeert. De malware moet in dat geval eerst GRUB verwijderen en het is (voor mij) de vraag of dat momenteel ingebakken is en uitgevoerd kan worden. Iemand daarover iets gelezen misschien?

Ook bij dual boot start je computer niet meer gewoon op als je MBR is overschreven. Je BIOS zal dat toch moeten lezen voordat het OS aan de beurt komt om wat te doen. Het enige voordeel van dual boot is dat je waarschijnlijk met een bootable CD de boel wel weer op kunt starten.

Een oplossing zou kunnen zijn om je windows omgeving virtueel te draaien. Ik weet niet of dat virus door die virtualisatielaag heen kan komen om direct de MBR te overschrijven of dat je dan alleen een niet startende VM hebt. En dat los je op door iedere keer een snapshot te maken van je virtuele disk en die terug te zetten.

Peter
07-07-2011, 10:08 door Anoniem
Door Skizmo: [/iOf je installeert gewoon een goed OS. Virusscanners in hardware chips alleen om dat het OS zo brak is ? ja... dat is te ver gezocht. Ik zou het persoonlijk niet kopen.[/quote]
Houd nu eens op met dit soort opmerkingen. Wanneer het door jou bedoelde OS dezelfde verspreiding zou hebben als Windows (want daar doel je op) dan is het nog maar de vraag of er niet net zoveel ellende voor bedacht werd. Wanneer genoeg destructieve geesten zich ergens op storten, wordt het moeilijk om de sluizen dicht te houden.
07-07-2011, 11:46 door prikkebeen
Ook bij dual boot start je computer niet meer gewoon op als je MBR is overschreven. Je BIOS zal dat toch moeten lezen voordat het OS aan de beurt komt om wat te doen. Het enige voordeel van dual boot is dat je waarschijnlijk met een bootable CD de boel wel weer op kunt starten.

Als de MBR overschreven is wel uiteraard. Ik vroeg me alleen af of deze malware dat kan en ook doet.
Overigens kun je met een Windows installatie cd/dvd de MBR ook repareren via de herstelconsole en met een dualboot kan dan ook altijd. Misschien met alleen een Linux cd of samen met een Windows cd.
07-07-2011, 11:56 door rsterenb
Botnet vernietigt computers binnen 10 dagen

Hmmz.. Dit heeft niets met de vernietiging van een computer te maken; de kop slaat nergens op. De computer wordt onbruikbaar. Tijdelijk.
Ik verwacht van security.nl iets beters dan dit soort 'spraakmakende' [sic] koppen.
07-07-2011, 21:50 door Skizmo
Door Anoniem:
Door Skizmo: Of je installeert gewoon een goed OS. Virusscanners in hardware chips alleen om dat het OS zo brak is ? ja... dat is te ver gezocht. Ik zou het persoonlijk niet kopen.

Houd nu eens op met dit soort opmerkingen. Wanneer het door jou bedoelde OS dezelfde verspreiding zou hebben als Windows (want daar doel je op) dan is het nog maar de vraag of er niet net zoveel ellende voor bedacht werd. Wanneer genoeg destructieve geesten zich ergens op storten, wordt het moeilijk om de sluizen dicht te houden.

Hou nu eens op met dit soort opmerkingen. Bekijk de beveiligingen nu eens op een reeel niveau. Hou Windows en Linux (want daar doel ik op) eens tegen het licht en heb het lef om ze allebei critisch te beoordelen, want dan zul je erachter komen dat de interne motor van Linux toch echt veel beter in elkaar zit. Linux beveiligd alles van binnenuit, maar Windows blijft maar muren om de buitenkant heen bouwen. Beide hebben natuurlijk geen verdediging tegen social enginering, want de gebruiker is altijd de zwakste schakel, maar als het om aanvallen van buitenaf gaat, verliest Windows toch echt GRUWELIJK.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.