32-bit Windows-backdoor krijgt 64-bit ondersteuning
Nu steeds meer computers op een 64-bit besturingssysteem draaien passen cybercriminelen hun malware hierop aan. In het verleden zijn er al specifieke 64-bit versies malware ontdekte, zoals de Zeus banking Trojan. In de tweede helft van 2013 bleek zelfs dat zo'n 10% van de malware die bij gerichte aanvallen werd ingezet alleen op 64-bit platformen werkte.
Een van deze malware-exemplaren is de Kivar-backdoor. De malware verspreidt zich via de RTLO-techniek. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode-karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Hierdoor wordt SexyPictureGirlAl[RTLO]gpj.exe in Windows als SexyPictureGirlAlexe.jpg weergegeven.
In het geval van Kivar doet de malware zich via RTLO voor als een Word-document, voorzien van bijbehorend icoon, maar is in werkelijkheid een uitvoerbaar bestand. Om de gebruiker niets te laten vermoeden wordt er een na het openen van de malware een afleidingsdocument geladen. In de achtergrond kan Kivar echter bestanden stelen, screenshots maken en toetsaanslagen opslaan.
De informatie die Kivar als eerste van een besmette computer verstuurt bestaat onder andere uit het IP-adres van het slachtoffer, Windows-versie, hostnaam, gebruikersnaam, versie van de malware, keyboardindeling en de recente documenten en desktop-map, zo meldt Trend Micro. Windowsgebruikers kunnen zich tegen de RTLO-techniek beschermen door detailweergave voor mappen in te stellen, aangezien dan zichtbaar wordt dat het zogenaamde document in werkelijkheid een applicatie is.
Dus ik kan mij niet beschermen tegen RLTO.
Ik gebruik windows 7 prof en norton internet security.
Wat kan de reden zijn van dat grijze veld ?
Graag reactie op deze vraag
En natuurlijk bij voorbaat dank voor enig antwoord
Dus ik kan mij niet beschermen tegen RLTO.
Ik gebruik windows 7 prof en norton internet security.
Wat kan de reden zijn van dat grijze veld ?
Graag reactie op deze vraag
En natuurlijk bij voorbaat dank voor enig antwoord
UPDATE: Hier in de comments staan wat meer details.
Het idee is dat je van alle bestanden met dat RLTO Unicode-karakter de uitvoering blokkeert.
Als je Mapopties opent klik je vervolgens weergave en dan staat er ergens een checkbox "extensies voor bekende standstypen verbergen." Deze moet je uitvinken en vervolgens onderin op toepassen klikken .Dan worden de extensies voor bestand weergeven. De geblokkeerde button waar jij het over hebt, heb je hiervoor dus niet nodig.
Ik hoop dat je hiermee geholpen bent.
Dus ik kan mij niet beschermen tegen RLTO.
Dit is overigens wel een beetje kort door de bocht. want je zou je bijvoorbeeld hier ook tegen kunnen beschermen door een onbekend bestand gewoon niet te openen of voor het openen te scannen.
Dus ik kan mij niet beschermen tegen RLTO.
Ik gebruik windows 7 prof en norton internet security.
Wat kan de reden zijn van dat grijze veld ?
Graag reactie op deze vraag
En natuurlijk bij voorbaat dank voor enig antwoord
UPDATE: Hier in de comments staan wat meer details.
Het idee is dat je van alle bestanden met dat RLTO Unicode-karakter de uitvoering blokkeert.
https://www.ipa.go.jp/security/english/virus/press/201110/E_PR201110.html
@Redactie, misschien ook even handig om deze migitation via secpol.msc in het artikel te zetten.
artikel te vinden is over dit onderwerp spreekt al boekdelen.
Met een paar slimme policy settings kun je nog veel en veel meer security problemen oplossen, inclusief allerlei exploits
van Java en Flash lekken, maar de wereld is er kennelijk niet in geinteresseerd en gaat gewoon verder met klagen over
de onveiligheid van Windows. Terwijl deze mogelijkheid om de namen en locaties van executable bestanden te beperken
juist heel krachtig is.
(geen executable bestanden op locaties waar de gebruiker kan schrijven, of in ieder geval niet op de desktop en in %TEMP%)
artikel te vinden is over dit onderwerp spreekt al boekdelen.
Met een paar slimme policy settings kun je nog veel en veel meer security problemen oplossen, inclusief allerlei exploits
van Java en Flash lekken, maar de wereld is er kennelijk niet in geinteresseerd en gaat gewoon verder met klagen over
de onveiligheid van Windows. Terwijl deze mogelijkheid om de namen en locaties van executable bestanden te beperken
juist heel krachtig is.
(geen executable bestanden op locaties waar de gebruiker kan schrijven, of in ieder geval niet op de desktop en in %TEMP%)
Als je wat beter zou zoeken, zou je overigens véél meer informatie kunnen vinden over deze policy.
Ik denk eerder dat Windows gewoon met een simpele oplossing moet komen. Op de mac ben ik niet anders gewend dan dat je ongesigneerde uitvoer bestanden die nieuw zijn voor het systeem, gewoon niet kunt uitvoeren door een simpele dubbelklik. Tot aan Mavericks moest je uitvoering met een extra muisklik bevestigen en sinds Mavericks moet je nog meer doen om nieuwe uitvoerbestanden te runnen zodat je niet verrast wordt door misleidende extensies.
Dat lijkt me toch een heel zinvolle strategie tegen dit soort ongein.
Ik denk eerder dat Windows gewoon met een simpele oplossing moet komen. Op de mac ben ik niet anders gewend dan dat je ongesigneerde uitvoer bestanden die nieuw zijn voor het systeem, gewoon niet kunt uitvoeren door een simpele dubbelklik. Tot aan Mavericks moest je uitvoering met een extra muisklik bevestigen en sinds Mavericks moet je nog meer doen om nieuwe uitvoerbestanden te runnen zodat je niet verrast wordt door misleidende extensies.
Dat lijkt me toch een heel zinvolle strategie tegen dit soort ongein.
Alleen heb je het probleem dat na verloop van tijd mensen toch de waarschuwings berichten gaan negeren, ik zie het
regelmatig met gebruikers dat ze foutmeldingen met duidelijke omschrijving wat er fout ging gewoon wegklikken.
Als je mapopties kiest vanuit het browservenster waarop de schijf(en) getoond
worden, dan is dat vakje inderdaad grijs(niet actief). Open daarom een venster
met mappen en/of bestanden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
