image

Citadel-malware onzichtbaar op Nederlandse pc's

vrijdag 21 december 2012, 13:25 door Redactie, 10 reacties

De malware waarmee cybercriminelen in Nederland een groot botnet genaamd Pobelka wisten te maken, heeft lange tijd onopgemerkt op computers kunnen functioneren. De Citadel-malware werd bij Nederlandse uitgevers, bouwbedrijven, banken, universiteiten, voedselproducenten, ziekenhuizen, zorgverzekeraars, luchtvaartmaatschappijen, nutsbedrijven, chemie-industrie en overheidsinstellingen aangetroffen.

Op de computers werden allerlei gegevens buitgemaakt, waaronder allerlei cliënt-certificaten en bijbehorende privésleutels. De Citadel-malware was op de meeste computers al enige tijd actief, aldus het Nederlandse beveiligingsbedrijf SurfRight in een rapport waar Security.nl over beschikt. Het ging hier om computers die veilig werden geacht omdat ze over een virusscanner beschikten.

Naast het stelen en manipuleren van webverkeer bekeek de Citadel-malware ook welke beveiligingssoftware was geïnstalleerd. "Hierdoor weten de aanvallers precies welke antivirusprogramma’s ze bij hun slachtoffers moeten blijven omzeilen."

Volgens SurfRight hadden de aanvallers via Citadel de aanwezige anti-virussoftware kunnen dwarsbomen of zelfs uitschakelen. "Dit hebben ze echter niet gedaan. Waarschijnlijk om te voorkomen dat computergebruikers of systeembeheerders gealarmeerd zouden worden", laat SurfRight weten.

Systeemrechten
De Citadel-malware die de Pobelka-bende gebruikte heeft geen systeemrechten nodig om zijn werk te kunnen doen. "De malware werkt dus ook gewoon op gebruikersaccounts met beperkte rechten", aldus SurfRight. Omdat Citadel niet als separaat proces actief blijft is het niet zichtbaar in proceslijsten, zoals in Windows Taakbeheer.

"Het is voor geschoolde computergebruikers dus niet duidelijk of het programma daardoor actief is. Hierdoor kan de malware ook niet eenvoudig zonder een herstart van de computer uit een operationeel systeem worden verwijderd."

Om ervoor te zorgen dat de malware een herstart van de computer overleeft installeert de Citadel-malware zichzelf in een submap onder “Application Data” (%AppData%), in de gebruikerscontext van de actieve computergebruiker. De naam van deze submap is willekeurig maar bestaat altijd uit 4 tot 6 alfabetische karakters. Het Citadel malware-bestand zelf heeft ook een willekeurig gekozen bestandsnaam met wederom een lengte van 4 tot 6 alfabetische karakters.

Eenmaal gestart kan de Citadel-malware, met hulp van een standaard Windows-functie, zichzelf in alle gebruikersprocessen injecteren, zoals webbrowsers en programma’s als Word en Excel, zodat het de gegevensdoorvoer kan onderscheppen, stelen of manipuleren.

Detectie
Om detectie voor virusscanners te dwarsbomen wordt de Citadel-malware op elke machine uniek versleuteld. Hierdoor is het niet mogelijk om middels een standaard ‘hash’ als MD5 of SHA256 alle varianten te ontdekken. En zelfs als er voor elk Citadel-botnet een unieke handtekening is, biedt dit geen garantie.

In de praktijk blijkt deze virushandtekening slechts in staat om een beperkt aantal virusexemplaren te identificeren omdat de aanvallers tussentijds hun malware bijwerken, aldus SurfRight.

Het beveiligingsbedrijf concludeert dan ook dat de Citadel-malware 'minachting' voor anti-virussoftware heeft. "En totaal niet bang is om ontdekt te worden."

Reacties (10)
21-12-2012, 13:51 door Anoniem
Als er een .exe onder Application Data staat dan moeten toch alle alarmbellen afgaan als die gestart wordt?
Is het werkelijk zo dat er op al die pc's in bovengenoemde indrukwekkende lijst van bedrijfscategorieen nergens
een group policy voor software restricties in gebruik is?
Ik voel me als self-made beheerder zolangzamerhand een roepende in de woestijn ten opzichte van al die
gecertificeerde professionele beheerders.... die zullen dat soort dingen toch ook wel leren bij hun MSCE
certificaten?
21-12-2012, 14:44 door AdVratPatat
Heel het kenmerk van polymorfe ring0 rootkits is dat ze niet traceerbaar zijn vanuit het OS zelf.
Vanuit het oogpunt van het OS staat er dus geen extra executable in de %AppData%, deze is namelijk verborgen via low level API hooks, lang verhaal, maar Google is je vriend.
Zoals vermeld in het artikel neemt een rootkit processen over, in plaats van ze traceerbaar toe te voegen. Injectie dus.
De payload en data zelf wordt overigens steeds vaker verborgen in een aparte, verborgen en individueel versleutelde partitie.

Ieder end-point met OS/HDD en een (indirecte) verbinding naar buiten is per definitie kwetsbaar, ongeacht de account-restricties. Het probleem zit hem vaak ergens tussen de bureaustoel en de muis...

Certificering is een heel ander verhaal.
21-12-2012, 14:44 door Anoniem
MCSE == Must Consult Someone Experienced...
21-12-2012, 14:55 door Anoniem
Ik zeg misschien iets heel stoms, maar wanneer je Bitlocker gebruikt en alleen in %Program Files% en Windows folder executables toelaat etc....dan kan er toch niets gestart worden vanaf die Appdata folder?

Of is het iets anders dan een executable/script.
21-12-2012, 14:59 door Erik Loman
Door AdVratPatat: Heel het kenmerk van polymorfe ring0 rootkits is dat ze niet traceerbaar zijn vanuit het OS zelf
Citadel is geen rootkit. Citadel vereist geen systeembeheerdersrechten en draait onder het account van de gebruiker. Lastige van Citadel is dat de binary bijna elke dag wordt bijgewerkt naar een nieuwe versie om zo de AV definities voor te blijven.
21-12-2012, 15:20 door AdVratPatat
Door Erik Loman:
Door AdVratPatat: Heel het kenmerk van polymorfe ring0 rootkits is dat ze niet traceerbaar zijn vanuit het OS zelf
Citadel is geen rootkit. Citadel vereist geen systeembeheerdersrechten en draait onder het account van de gebruiker. Lastige van Citadel is dat de binary bijna elke dag wordt bijgewerkt naar een nieuwe versie om zo de AV definities voor te blijven.
Je hebt helemaal gelijk, Citadel (Zeus) is een Trojan, bedankt voor de correctie.
21-12-2012, 15:41 door Anoniem
Sorry bedoelde Applocker, geen Bitlocker!!!
21-12-2012, 16:22 door Anoniem
Door Anoniem: Als er een .exe onder Application Data staat dan moeten toch alle alarmbellen afgaan als die gestart wordt?
Is het werkelijk zo dat er op al die pc's in bovengenoemde indrukwekkende lijst van bedrijfscategorieen nergens
een group policy voor software restricties in gebruik is?
Ik voel me als self-made beheerder zolangzamerhand een roepende in de woestijn ten opzichte van al die
gecertificeerde professionele beheerders.... die zullen dat soort dingen toch ook wel leren bij hun MSCE
certificaten?

Helaas zijn er tegenwoordig steeds meer applicaties die weigeren nog langer van program files gebruik te maken. Spotify, chrome, dropbox, skydrive. Sommige kan je niet eens meer daar installeren.
21-12-2012, 16:53 door Anoniem
Door Anoniem: Sorry bedoelde Applocker, geen Bitlocker!!!

Ja precies, Applocker of Software Restriction zoals het in oudere versies heet moet dit gewoon afvangen.
Programma's in het userprofiel of op andere door de user schrijfbare plekken moet je gewoon verbieden en
dan kan dit soort dingen niet meer binnenkomen met gebruikersrechten.
Ze zullen dan minimaal moeten werken met een privilege escalation bug om voldoende rechten te krijgen.
(en volgens mij gaat het dan nog niet door het kip-ei verhaal dat je een privilege escalation pas kunt doen
als je programma al draait, wat dus niet toegestaan wordt)
21-12-2012, 23:00 door Anoniem
Nog wat domeinen welke gerelateerd zijn aan Pobelka :

-krotnanebe.ru
-radostbelki.ru
-ehalgreka.ru
-dirkavprobirke.ru
-loshadivokeane.ru
-mishkazaichishka.ru
-pauknavolnah.ru

Deze domeinen zijn geregisteerd in Juni, terwijl de domeinen in Rickey's artikel uit Maart stammen. Wat dat betreft lijkt het een andere campagne te zijn, van dezelfde criminele bende (met wederom Citadel malware).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.