image

Nederlandse instellingen besmet via RTLO-truc

vrijdag 10 augustus 2012, 12:39 door Redactie, 13 reacties

De uitbraak van de Dorifel-malware is veel groter dan in eerste instantie werd gedacht en nog gaande, aldus het Russische anti-virusbedrijf Kaspersky Lab. Naast Nederland raakten ook organisaties in Denemarken, Filipijnen, Duitsland, Verenigde Staten, Spanje, Canada, China en Polen geinfecteerd. Nederland werd echter het zwaarst getroffen.

"Het aantal infecties in Nederland is naar 3113 gestegen, wat een stijging van meer dan 1100 computers in slechts een paar uur is", aldus analist David Jacoby. "Dit geeft aan dat niet alle computers up-to-date anti-virus software draaiden, of erger, helemaal geen virusscanner gebruikten."

RTLO
De malware verspreidt zich volgens Kaspersky Lab initieel via e-mail, waarbij het de "Right-to-Left-Override" (RTLO) kwetsbaarheid gebruikt om de werkelijke extensie van het bestand te maskeren. De malware downloadt vervolgens aanvullende malware die op de besmette computer documenten versleutelt. Ook probeert Dorifel bestanden op gedeelde netwerkmappen te versleutelen.

Security.nl legt in dit artikel uit hoe de detailweergave in Windows een oplossing voor RTLO is.

Nederland
Jacoby onderzocht de servers waarop de Dorifel-malware draait en ontdekte dat die niet goed was geconfigureerd, waardoor er eenvoudig toegang tot andere mappen was te krijgen. Daar werden nog veel meer kwaadaardige onderdelen ontdekt, waaronder Java-exploits en nep-virusscanners.

Op de vraag of deze aanval specifiek tegen Nederlandse bedrijven en overheidsinstanties is gericht kan Jacoby geen antwoord geven. "Dit kunnen we niet bevestigen, maar voor nog onbekende reden komende meeste slachtoffers uit Nederland."

Ronald Prins van Fox-IT laat via Twitter weten dat het "Dorifel boefje" 100 slachtoffers van de Hermes malware heeft voorzien. Hermes is Bankingmalware die aanvallers ook DDoS-aanvallen laat uitvoeren en remote shell geeft.

Het Taiwanese AegisLab maakte onderstaande screenshot van de RTLO-truc die Dorifel op bestanden toepast.

Reacties (13)
10-08-2012, 12:57 door Bitwiper
Door Redactie: "Het aantal infecties in Nederland is naar 3113 gestegen, wat een stijging van meer dan 1100 computers in slechts een paar uur is", aldus analist David Jacoby. "Dit geeft aan dat niet alle computers up-to-date anti-virus software draaiden, of erger, helemaal geen virusscanner gebruikten."
Klinkklare onzin. Er verschijnen meerdere exemplaren van per dag waarbij de makers zekerstellen dat geen enkele bekende virusscanner de malware detecteert voordat ze de betreffende malware spammen of op websites zetten. Je virusscanner gaat je echt niet redden in dit geval.

Het zou al een stuk helpen als virusscanners zouden waarschuwen (zomogelijk aan/uit te zetten) bij RTO bestandsnamen. Helaas ken ik geen enkele virusscanner die dat doet. Ook zou je het in Windows gewoon uit moeten kunnen zetten; voor ons westerlingen is het een verrassing dat RTLO bestaat.
10-08-2012, 13:16 door Security Scene Team
Net goed, en nu gaat de VS raketten lanceren? imma watch mah radarz lmfao xD
10-08-2012, 13:20 door eXpL0iT.be
Wat Bitwiper zegt klopt. Zo heb ik gisteren een andere sample naar VirusTotal gestuurd, deze is na 1 dag en 20 uur nog steeds FUD... Topie toch AV software!
Sample: http://is.gd/iot3L7
10-08-2012, 13:51 door LightFrame
Door eXpL0iT.be: Wat Bitwiper zegt klopt. Zo heb ik gisteren een andere sample naar VirusTotal gestuurd, deze is na 1 dag en 20 uur nog steeds FUD... Topie toch AV software!
Sample: http://is.gd/iot3L7

Ik zie daar: Analysis date: 2012-08-10 10:52:50 UTC

En de laatste update van de scanners is 2012-08-08.
Test 't nog eens zou ik zeggen.
10-08-2012, 14:25 door Anoniem
Specifieke RTL exploits zijn gewoon detecteerbaar. Dat doen we al heel lang.
10-08-2012, 14:28 door Anoniem
Kan iemand op pastebin een sample van de source van het email bericht zetten waarin deze trojan wordt verspreid?
(email adressen vervangen)
10-08-2012, 14:45 door Bitwiper
Het viel mij ook al op dat VirusTotal lijkt achter te lopen met het binnenhalen van antivirus updates; misschien doen ze dat wel bewust! Dit toont namelijk perfect aan dat virusscanners niet werken bij verse malware...

Immers, stel dat dat de malware die eXpL0iT.be uploadt door veel scanners wordt gedetecteerd, dan zou je niet weten of dat komt doordat ofwel de scanners heel goed zijn in het herkennen van nog onbekende malware, ofwel de malware feitelijk al wat ouder is en AV boeren er ondertussen definities voor hebben uitgebracht.

eXpL0iT.be heeft gewoon aangetoond dat de malware op 2012-08-08 maar door 1 virusscanner herkend zou zijn. Zodra de malware met nieuwere definities wordt geanalyseerd kun je wat zeggen over de reactiesnelheid van de AV boeren.
10-08-2012, 15:06 door LightFrame
Bitwiper,

Wat betreft de reactiesnelheid van AV boeren, die kun je hier mooi bekijken: http://www.blog.mrg-effitas.com/
(kijk ook op oudere pagina's in het blog)

Voorlopig resultaat van die tests is hier te vinden: http://www.mrg-effitas.com/current-tests/flash-test-results/

Wil hierbij opmerken dat dit niet alleen om detectie d.m.v. definities gaat. Uitleg over de gehanteerde testmethode kun je vinden op de pagina met het voorlopige resultaat.
10-08-2012, 15:31 door [Account Verwijderd]
[Verwijderd]
10-08-2012, 23:55 door Bitwiper
Door LightFrame: Wat betreft de reactiesnelheid van AV boeren, die kun je hier mooi bekijken: http://www.blog.mrg-effitas.com/
(kijk ook op oudere pagina's in het blog)

Voorlopig resultaat van die tests is hier te vinden: http://www.mrg-effitas.com/current-tests/flash-test-results/

Wil hierbij opmerken dat dit niet alleen om detectie d.m.v. definities gaat. Uitleg over de gehanteerde testmethode kun je vinden op de pagina met het voorlopige resultaat.
Dank voor deze URL's! Mooi overzicht, komt overeen met wat mijn eigen ervaring is met verse malware.
11-08-2012, 00:20 door Erik Loman
Door Bitwiper:
Door LightFrame: Wat betreft de reactiesnelheid van AV boeren, die kun je hier mooi bekijken: http://www.blog.mrg-effitas.com/
(kijk ook op oudere pagina's in het blog)

Voorlopig resultaat van die tests is hier te vinden: http://www.mrg-effitas.com/current-tests/flash-test-results/

Wil hierbij opmerken dat dit niet alleen om detectie d.m.v. definities gaat. Uitleg over de gehanteerde testmethode kun je vinden op de pagina met het voorlopige resultaat.
Dank voor deze URL's! Mooi overzicht, komt overeen met wat mijn eigen ervaring is met verse malware.
Alle AVs in deze test mogen blokkeren op basis van signature en gedrag (on-demand en real-time).
Zemana/HMP (= HitmanPro) is de enige on-demand scanner die mee doet in deze test. De grafiek geeft onterecht 1 rood blokje bij HitmanPro want tot op heden hebben we bij alles Pass gescoord (zie de Blog link).
Verder werkt Bluepoint op basis van white list (niet in de white list = blokkeren).
11-08-2012, 01:08 door LightFrame
Erik Loman, check 23.07.2012 (Zero Hour) daar werd een Zeus gemist. Dus 't ene rode blokje lijkt mij wel terecht. Maar wat is nou 1 zo'n piepklein blokje, het is alsnog een uitstekend resultaat! Met andere samples had een andere vendor die nu nog 0 blokjes heeft misschien wel een blokje gekregen en HMP niet.
De resultaten laten in ieder geval zien dat slechts een paar programma's, waaronder HMP, goed scoren m.b.t. bescherming tegen zero day/early life malware. Dan een groep die gemiddeld scoort en een paar die ronduit slecht scoren.

Bluepoint is inderdaad een vreemde eend in de bijt en naar mijn idee eigenlijk niet geschikt voor de gemiddelde computergebruiker. Die zal heel vaak zelf moeten beslissen wanneer iets niet in de whitelist staat en dan is de kans groot dat 't alsnog fout gaat.
11-08-2012, 09:57 door Anoniem
Van de Fox-IT blog:

Interesting what is mentioned in the Kaspersky write-up:
http://www.securelist.com/en/blog/208193776/Dorifel_is_much_bigger_than_expected_and_it_s_still_active_and_growing

David Jacoby writes, “The infection rate in the Netherlands has gone up to 3113 which is an increase of over 1100 computers in just a few hours.”

We saw 2257 infections nearly over a day and half ago. Add 1100 to that and you end up with 3357. I’d suggest buying a new calculator.

After the panel screenshot we showed most of the additional clients were seen on the 9th of August 2012, with reaching 2979 on Thursday afternoon and 3129 on Friday afternoon.

As the domain name for the C&C in XDocCrypt/Dorifiel is actually now sinkholed, we can expect that there are no additional payloads pushed via this. However the clients that are still infected with Citadel or the new Hermes can get infected with a new crypted version of XDocCrypt/Dorifiel again which might not be picked up by existing anti-virus products.

Lijkt er op dat Kaspersky een populair artikel wilde schrijven maar wat uit z'n duim zoog... Fear Uncertainty Doubt!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.