image

64-bit versie IE doelwit digitale bankrover

zondag 10 maart 2013, 15:03 door Redactie, 7 reacties

Voor het eerst is er een Trojaans paard ontdekt dat 64-bit browsers op een specifieke manier aanvalt om zo toegang tot online bankrekeningen te krijgen. Het gaat om een nieuwe variant van de Gozi Trojan, die een Man-in-the-Middle-aanval (MiTM) op de 64-versie van Internet Explorer uitvoert. Volgens het Duitse anti-virusbedrijf G Data heeft Gozi daarmee een primeur in handen.

Er waren eerder al Trojaanse paarden die 64-bit besturingssystemen konden infecteren, maar uiteindelijk alleen de 32-bit versie van de browser op het OS aanvielen. Een reden hiervoor is dat het kapen van 64-bit processen zeer complex is, aldus G Data. Er zijn twee manieren om een proces te kapen, Export address table (EAT) hooking en Inline hooking.

EAT hooking
Elke programmabibliotheek (DLL) bevat een tabel met aangeboden programma interfaces, wat de export address table (EAT) is. De tabel bevat weer een lijst met interfacenamen en aan welke interface-adressen ze zijn toegewezen. Tijdens het kapen worden de interface-adressen in de lijst op zo'n manier gemanipuleerd, dat ze naar de broncode van het Trojaanse paard wijzen, die weer de MiTM-functionaliteit bevat.

Deze methode gaat niet op bij 64-bit processen, doordat de EAT voor 64-bit processen ook een tabel is met 32-bit adressen. Door de afstand van 32 bits, kan een Trojaans paard in adresruimte van 64-bit niet garanderen dat het naar zijn eigen broncode kan wijzen.

Inline hooking
In het geval van inline hooking wordt een functie gekaapt, bijvoorbeeld de SSL-functie. De malware maakt hierbij misbruik van het feit dat een Windows programma in een 32-bit proces altijd met dezelfde 5 bytes begint. 64-bit programmabibliotheken beginnen echter niet met dezelfde 5 bytes.

Gozi gebruikt daarom een hybride technologie waarbij het beide tactieken combineert, genaamd 'code caving'. Op deze manier kan het toch processen kapen en het verkeer van een besmette computer onderscheppen en manipuleren.

Reacties (7)
10-03-2013, 15:39 door Anoniem
wordt het niet tijd dat we overgaan op 64 bit .
128 bit is al onder weg..
10-03-2013, 17:22 door Anoniem
Dus in andere woorden TrusteerRapports die mijn bank (ING) aanbeveeld is nutteloos? Wie is verantwoordelijk voor de schade als ik een up-to-date windows draai met een anti virus + TrusteerRapports.

We worden dus voor gek gehouden door Trusteer want hun oplossing werkt alleen voor 32 bit browsers
10-03-2013, 18:24 door [Account Verwijderd]
[Verwijderd]
10-03-2013, 19:58 door Anoniem
...in de lijst op zo'n manier gemanipuleerd, dat ze naar de broncode van het Trojaanse paard wijzen,...

Beetje raar geformuleerd. Er wordt niet verwezen naar broncode, maar gewoon naar keiharde binaire code. Noem het shellcode?
11-03-2013, 10:23 door Anoniem
Door Peter V: Het valt al mee dat veel virusscanners de malware detecteren.
Merkwaardig is wel dat de sample al 5 maanden eerder werd geupload naar VirutTotal.

https://www.virustotal.com/nl/file/e388d31e6fde7bdf1f395c29e158c24bb0a87829c6f19511de46e4ef6e054ce0/analysis/

Mijn bankzaken regel ik liever met een Linux-distro dan met Windows.

Eens!

Het is uiteraard al meerdere malen besproken maar het is gewoon een feit dat het vandaag de dag niet veilig is om gevoelige zaken te regelen vanaf hetzelfde OS als waar je gewoon mee browsed.
11-03-2013, 16:24 door Anoniem
Allemaal Firefox gebruiken dus, want die heeft geen 64bits uitvoering.
12-03-2013, 09:29 door Anoniem
Door Anoniem: Dus in andere woorden TrusteerRapports die mijn bank (ING) aanbeveeld is nutteloos? Wie is verantwoordelijk voor de schade als ik een up-to-date windows draai met een anti virus + TrusteerRapports.

We worden dus voor gek gehouden door Trusteer want hun oplossing werkt alleen voor 32 bit browsers

Dat is wel een belangrijke vraag idd want banken lijken zich steeds meer te verschuilen achter zogenaamde veilige oplossingen om vervolgens de klant voor de schade te laten opdraaien. En dat gaat alleen maar erger worden want banken krijgen alleen maar meer macht. Ze moeten worden gered door belastinggeld maar ze blijven arrogant in hun doen en laten. Als mede-eigenaars van een aantal banken zouden wij burgers toch meer invloed moeten kunnen hebben dan hetgeen we nu hebben? Wel voor moeten betalen maar niets in te brengen hebben is geen succesvolle formule lijkt me.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.