image

Trojaans paard mijdt computer met Virtual Machine of sandbox

zaterdag 20 september 2014, 06:30 door Redactie, 6 reacties

Een Trojaans paard dat zich op de olie- en gassector richt blijkt geen computers te infecteren die in een Virtual Machine of sandbox draaien. De malware werd verspreid via de gehackte website van een technisch bedrijf. De site werd gehackt net nadat het bedrijf een financiële injectie had gekregen.

Zodra iemand de website werd bezocht werd er een informatie-lek in Internet Explorer gebruikt om te kijken wat voor beveiligingssoftware er was geïnstalleerd. Er werd specifiek naar software van Kaspersky Lab en Trend Micro gezocht, zo meldt beveiligingsbedrijf BromiumLabs. Vervolgens werden bekende lekken in IE, Java en Adobe Flash Player gebruikt om malware op opgepatchte computers te installeren. De gebruikte exploits waren afkomstig uit de populaire beveiligingstool Metasploit.

In het geval de aanval succesvol was werd er een Trojaans paard op de computer geïnstalleerd. De installatie werd echter afgebroken als de malware verschillende processen op de computer ontdekte, bijvoorbeeld van de Virtual Machinesoftware VMWare en VirtualBox of de sandboxsoftware SandboxIE. Op deze manier zou de malware proberen om automatische analysetools te omzeilen. Onlangs beweerde Symantec nog dat 20% van de malware niet op Virtual Machines werkt, hoewel andere onderzoekers stellen (PDF) dat het percentage veel hoger ligt.

Reacties (6)
20-09-2014, 09:37 door Briolet
In het geval de aanval succesvol was werd er een Trojaans paard op de computer geïnstalleerd.

Is het idee achter een Trojaans paard niet dat je het zelf installeert?
20-09-2014, 09:42 door [Account Verwijderd] - Bijgewerkt: 20-09-2014, 09:42
[Verwijderd]
20-09-2014, 23:57 door Eric-Jan H te D
Door Briolet:
In het geval de aanval succesvol was werd er een Trojaans paard op de computer geïnstalleerd.

Is het idee achter een Trojaans paard niet dat je het zelf installeert?

Je hebt helemaal gelijk. Als tegenmaatregel kun je ze overgieten met "Sweet and sour pork".
21-09-2014, 10:41 door Anoniem
"Een Trojaans paard dat zich op de olie- en gassector richt blijkt geen computers te infecteren die in een Virtual Machine of sandbox draaien."

Als iedereen dat gaat doen werkt dat toch niet meer?
Bij ons draaien ALLE machines als virtual machine. Dan zouden we nooit door trojaanse paarden en andere ellende
getroffen kunnen worden?
Ik neem aan dat dit soort oplossingen (VMware farm met Citrix servers of gevirtualiseerde desktops) ook in de
olie- en gassector populair zijn.
22-09-2014, 16:20 door Anoniem
Dat hangt volledig af van het doelwit, het zou niet uitzonderlijk zijn mocht de auteur voorkennis hebben over het doelsysteem of doelsystemen. Dan is het niet-werken op een VM of SandBox ook geen blokkerende factor maar een hulpmiddel, de malware zal zich dus niet in de VM nestellen maar wél in de host waar de VM op draait. Véél handiger en je hebt minder "return-traffic" met de thuisbasis. Plus, als het je lukt, ben je ook nog eens quasi onzichtbaar heer een meester over elke VM, zonder dat je er een bit malware in moet schieten.
22-09-2014, 20:07 door Anoniem
"de malware zal zich dus niet in de VM nestellen maar wél in de host waar de VM op draait. Véél handiger en je hebt minder "return-traffic" met de thuisbasis"

Helemaal geen zelfs... de VM host is uiteraard geen Windows machine maar een dedicated hypervisor waar geen
prutsers op aan het surfen zijn en die geen verbinding met internet heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.