Malware opent Windows Remote Desktop als backdoor
Een nieuwe variant van de Citadel-malware voegt op besmette systemen een gebruiker toe die via de Remote Desktopfunctie van Windows kan inloggen voor het geval de malware zelf van het systeem verwijderd wordt. Dat meldt beveiligingsbedrijf Trusteer, dat onderdeel van IBM is.
Citadel is een banking Trojan, voornamelijk ontwikkeld om geld van online bankrekeningen te stelen. De nu ontdekte variant maakt op de computer een gebruiker genaamd "coresystem" aan en voegt die toe aan de groep van beheerders en Remote Desktopgebruikers. Via Remote Desktop kunnen gebruikers op afstand op de computer inloggen, bijvoorbeeld voor beheer.
Back-up backdoor
Volgens Trusteer creëren de aanvallers op deze manier een "back-up backdoor" voor het geval de malware zelf wordt gedetecteerd en verwijderd. Gebruikers zouden in dit geval misschien denken dat hun systeem weer veilig is, terwijl de aanvallers nog steeds op afstand kunnen inloggen. Daarnaast kan het zijn dat communicatie via Remote Desktop niet meteen bij netwerkbeheerders opvalt.
"Het is duidelijk dat de beheerders van Citadel investeren in de overlevingskansen van hun malwarel". zegt Etay Maor. Hij merkt op dat het gebruik van Remote Desktop of VNC (Virtual Network Connection) niet alleen als back-up wordt gebruikt. Het biedt namelijk ook verschillende andere voordelen voor het plegen van bankfraude. In het geval van grote bedragen die de aanvallers proberen te stelen zou er niet op geautomatiseerde scripts kunnen worden vertrouwd en wordt de transactie handmatig uitgevoerd.
Door de handmatige aanpak kunnen de aanvallers bepaalde beveiligingsmaatregelen van de bank omzeilen, zoals bijvoorbeeld het analyseren van gedrag dat met geautomatiseerde scripts samenhangt. Ook kan de aanvaller een al geopende sessie van de gebruiker met de bank overnemen en via HTML-injectie extra informatie aan het slachtoffer vragen.
Als laatste kijken sommige banken naar de gebruikte computer om te bepalen of er geen fraude in het spel is. In dit geval is de aanval echter afkomstig van de computer van het slachtoffer en niet van de aanvaller zijn computer. Hoe de nieuwe Citadel-variant zich precies verspreidt en of die wijdverbreid is laat Trusteer niet weten.
Ik verbaas me telkens meer over al die artikelen die hier verschijnen over wat een
stuk tuigware al dan niet doet op een reeds geïnfecteerd systeem.
Als een systeem geïnfecteerd is, is ALLES mogelijk.
Enige mate van bescherming (zelfs bij een infectie van een normale gebruiker) kun je verkrijgen door:
- zet services zoals rdp uit wanneer je ze niet nodig hebt
- zet bestandsdeling uit indien niet expliciet nodig
- werk normaal niet met een administrator account
- gebruik een serieus wachtwoord voor een administrator account. Je kunt het zelfs op je
computer plakken. Mits buiten beeld van je cammie ;-).
- zet UAC in de hoogste stand (in W7 dus niet de default)
- gebruik de administrator alleen voor installatie en onderhoud
- dus niet voor surfen
- en niet voor E-mails openen
- vraag je elke keer af wanneer UAC je om permissie vraagt. Is dit logisch
- gebruik geen installatiebestanden van een o zo handige gemeenschappelijke map
- gebruik alleen bestanden uit de map waarvoor de administrator alleen rechten heeft
- loop zo nu en dan de firewall-regels na.
- Acrobat reader hoeft geen internet toegang te hebben, wanneer je niet automatisch
update en (onverstandig) gebruik maakt van links in documenten.
- Regels blijven vaak na deïnstallatie staan. Slordig maar waar. Wijs een software-
producent er eens wat vaker op. Sommigen zijn alleen gevoelig voor de massa.
Wat zou het toch fijn zijn als UAC achteraf een samenvatting geeft
wat er met die permissie is gedaan. Dat mis ik echt.
Ik doe dit maar zeer ten dele zelf. Je weet wel de schoenmaker en de gaten in zijn
eigen schoenen. En wordt dus wel eens gebeten. Een schone back-up en een
bootable USB-stick maken dat ik rustig slaap.
En zo nu en dan gebeten worden maakt je alert en wijst je op wat in de toekomst
beter kunt vermijden. Een keygenerator voor een illegaal gedownload stukje software
draai ik nog wel, maar alleen in een geïsoleerde omgeving ;-)
User Account Control. Dit had je zo effe kunnen googlen btw. Afijn.
Wat het register aangaat, is het mogelijk om een register via een BAT file terug te zetten, voor de pc opstart?
Wout
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
