image

Malware opent Windows Remote Desktop als backdoor

vrijdag 1 augustus 2014, 17:19 door Redactie, 4 reacties

Een nieuwe variant van de Citadel-malware voegt op besmette systemen een gebruiker toe die via de Remote Desktopfunctie van Windows kan inloggen voor het geval de malware zelf van het systeem verwijderd wordt. Dat meldt beveiligingsbedrijf Trusteer, dat onderdeel van IBM is.

Citadel is een banking Trojan, voornamelijk ontwikkeld om geld van online bankrekeningen te stelen. De nu ontdekte variant maakt op de computer een gebruiker genaamd "coresystem" aan en voegt die toe aan de groep van beheerders en Remote Desktopgebruikers. Via Remote Desktop kunnen gebruikers op afstand op de computer inloggen, bijvoorbeeld voor beheer.

Back-up backdoor

Volgens Trusteer creëren de aanvallers op deze manier een "back-up backdoor" voor het geval de malware zelf wordt gedetecteerd en verwijderd. Gebruikers zouden in dit geval misschien denken dat hun systeem weer veilig is, terwijl de aanvallers nog steeds op afstand kunnen inloggen. Daarnaast kan het zijn dat communicatie via Remote Desktop niet meteen bij netwerkbeheerders opvalt.

"Het is duidelijk dat de beheerders van Citadel investeren in de overlevingskansen van hun malwarel". zegt Etay Maor. Hij merkt op dat het gebruik van Remote Desktop of VNC (Virtual Network Connection) niet alleen als back-up wordt gebruikt. Het biedt namelijk ook verschillende andere voordelen voor het plegen van bankfraude. In het geval van grote bedragen die de aanvallers proberen te stelen zou er niet op geautomatiseerde scripts kunnen worden vertrouwd en wordt de transactie handmatig uitgevoerd.

Door de handmatige aanpak kunnen de aanvallers bepaalde beveiligingsmaatregelen van de bank omzeilen, zoals bijvoorbeeld het analyseren van gedrag dat met geautomatiseerde scripts samenhangt. Ook kan de aanvaller een al geopende sessie van de gebruiker met de bank overnemen en via HTML-injectie extra informatie aan het slachtoffer vragen.

Als laatste kijken sommige banken naar de gebruikte computer om te bepalen of er geen fraude in het spel is. In dit geval is de aanval echter afkomstig van de computer van het slachtoffer en niet van de aanvaller zijn computer. Hoe de nieuwe Citadel-variant zich precies verspreidt en of die wijdverbreid is laat Trusteer niet weten.

Reacties (4)
01-08-2014, 21:54 door Anoniem
Van: Eric-Jan H te A

Ik verbaas me telkens meer over al die artikelen die hier verschijnen over wat een
stuk tuigware al dan niet doet op een reeds geïnfecteerd systeem.

Als een systeem geïnfecteerd is, is ALLES mogelijk.

Enige mate van bescherming (zelfs bij een infectie van een normale gebruiker) kun je verkrijgen door:
- zet services zoals rdp uit wanneer je ze niet nodig hebt
- zet bestandsdeling uit indien niet expliciet nodig
- werk normaal niet met een administrator account
- gebruik een serieus wachtwoord voor een administrator account. Je kunt het zelfs op je
computer plakken. Mits buiten beeld van je cammie ;-).
- zet UAC in de hoogste stand (in W7 dus niet de default)
- gebruik de administrator alleen voor installatie en onderhoud
- dus niet voor surfen
- en niet voor E-mails openen
- vraag je elke keer af wanneer UAC je om permissie vraagt. Is dit logisch
- gebruik geen installatiebestanden van een o zo handige gemeenschappelijke map
- gebruik alleen bestanden uit de map waarvoor de administrator alleen rechten heeft
- loop zo nu en dan de firewall-regels na.
- Acrobat reader hoeft geen internet toegang te hebben, wanneer je niet automatisch
update en (onverstandig) gebruik maakt van links in documenten.
- Regels blijven vaak na deïnstallatie staan. Slordig maar waar. Wijs een software-
producent er eens wat vaker op. Sommigen zijn alleen gevoelig voor de massa.

Wat zou het toch fijn zijn als UAC achteraf een samenvatting geeft
wat er met die permissie is gedaan. Dat mis ik echt.

Ik doe dit maar zeer ten dele zelf. Je weet wel de schoenmaker en de gaten in zijn
eigen schoenen. En wordt dus wel eens gebeten. Een schone back-up en een
bootable USB-stick maken dat ik rustig slaap.

En zo nu en dan gebeten worden maakt je alert en wijst je op wat in de toekomst
beter kunt vermijden. Een keygenerator voor een illegaal gedownload stukje software
draai ik nog wel, maar alleen in een geïsoleerde omgeving ;-)
02-08-2014, 20:27 door Anoniem
Wat is UAC?
03-08-2014, 10:33 door Ramon.C
Door Anoniem: Wat is UAC?

User Account Control. Dit had je zo effe kunnen googlen btw. Afijn.
04-08-2014, 16:36 door Anoniem
Is er een optie met een Windows 7 pc, om te voorkomen dat programma's zich nestelen in het autorun proces en dan met de pc mee opstarten? Is daar een optie voor in het register, kan windows dit zelf of is daar een programmaatje voor (nodig)?

Wat het register aangaat, is het mogelijk om een register via een BAT file terug te zetten, voor de pc opstart?

Wout
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.