Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Mac.BackDoor.iWorm via torrent Software downloads ?
04-10-2014, 19:20 door Anoniem, 7 reacties
Mysterie opgelost?
Het hing al een beetje in de lucht voordat TheSafeMac erover schreef.
Het lijkt er inmiddels wel erg sterk op dat de 'worm'-besmettingen door installatie van via torrent verkregen Software downloads en keygens plaatsvindt.
• Wat verzamelde Links zo her en der
https://discussions.apple.com/thread/6577861
http://www.intermactivity.be/forum/showthread.php?123944-OSX-malware-opent-de-achterdeur-Mac-BackDoor-iWorm
http://apple.slashdot.org/comments.pl?sid=5781355&cid=48048267
https://tweakers.net/nieuws/98846/hackers-beheren-botnet-met-17000-macs-via-reddit.html?mode=nested&niv=-1&order=asc&page=2#reacties
https://docs.google.com/document/d/1YOfXRUQJgMjJSLBSoLiUaSZfiaS_vU3aG4Bvjmz6Dxs/edit?usp=sharing&pli=1
• TheSafeMac
iWorm method of infection found!
http://www.thesafemac.com/iworm-method-of-infection-found/
• Verder lijkt dit inmiddels een variant op de 2009-Divx-iWorm
Divx naamgeving vervangen door JavaW naamgeving ?
http://malware.wikia.com/wiki/OSX.iWorm
https://securelist.social-kaspersky.com/en/descriptions/iframe/Backdoor.OSX.iWorm.c
• "JavaW" heeft overigens frappant genoeg wel te maken met een riscofactor binnen OS X.
De JavaWebstart functionaliteit die op enig moment (2013) door Apple verder gesandboxed is voor OS X 10.7 en later.
https://support.apple.com/kb/HT5672
• JavaW en Java
https://stackoverflow.com/questions/8194713/difference-between-java-javaw-javaws
http://javapapers.com/core-java/java-vs-javaw-vs-javaws/
http://www.herongyang.com/Java-Tools/java-javaw-Launch-Java-Program-without-Console.html
http://publib.boulder.ibm.com/infocenter/realtime/v1r0/topic/com.ibm.rt.doc.10/user/java.html
• Malware voor de Mac?
Dat die er is, daar hoeven we geen discussie over te voeren wat mij betreft (al zijn de aantallen zijn wel 'wat lager' in vergelijking tot andere platforms)
Naast het lage aantal hebben nogal wat Mac Malware infectie methoden, nogal eens een hoog 'doe-het-zelf-gehalte' dat actieve medewerking van de gebruiker vereist.
Wat voor alle computers geldt en dus ook voor Mac's : veel malware valt te voorkomen door enige digitale gezondheid en goede security maatregelen in acht te nemen en oplettend te blijven (lees de wmelding of waarschuwing en zoek het uit als je hem niet begrijpt in plaats van hem te negeren).
Dat kan van simpel tot uitgebreid, de ingebouwde security van de Mac helpt je een heel eind daarbij, een aanvullend security product als een av scanner is daarbij als extra'tje' zeker aan te raden.
Maar uiteindelijk is die Mac ook maar een machine,
als 'baasje de gebruiker' het echt ernistig heel erg graag wil,
ja, dan krijg je, ook op de Mac, die malware, er werkend en wel, wel op.
• Toch aardig,
Wat een nieuwsgierige ongeduldige Apple community al niet binnen een paar dagen boven water krijgt.
Kijken wat het nieuws nog verder brengt.
Wijze les?..
;-)
Het hing al een beetje in de lucht voordat TheSafeMac erover schreef.
Het lijkt er inmiddels wel erg sterk op dat de 'worm'-besmettingen door installatie van via torrent verkregen Software downloads en keygens plaatsvindt.
• Wat verzamelde Links zo her en der
https://discussions.apple.com/thread/6577861
http://www.intermactivity.be/forum/showthread.php?123944-OSX-malware-opent-de-achterdeur-Mac-BackDoor-iWorm
http://apple.slashdot.org/comments.pl?sid=5781355&cid=48048267
https://tweakers.net/nieuws/98846/hackers-beheren-botnet-met-17000-macs-via-reddit.html?mode=nested&niv=-1&order=asc&page=2#reacties
https://docs.google.com/document/d/1YOfXRUQJgMjJSLBSoLiUaSZfiaS_vU3aG4Bvjmz6Dxs/edit?usp=sharing&pli=1
• TheSafeMac
iWorm method of infection found!
http://www.thesafemac.com/iworm-method-of-infection-found/
• Verder lijkt dit inmiddels een variant op de 2009-Divx-iWorm
Divx naamgeving vervangen door JavaW naamgeving ?
http://malware.wikia.com/wiki/OSX.iWorm
https://securelist.social-kaspersky.com/en/descriptions/iframe/Backdoor.OSX.iWorm.c
• "JavaW" heeft overigens frappant genoeg wel te maken met een riscofactor binnen OS X.
De JavaWebstart functionaliteit die op enig moment (2013) door Apple verder gesandboxed is voor OS X 10.7 en later.
https://support.apple.com/kb/HT5672
CoreTypes
Available for: OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 to v10.8.2
Impact: Visiting a maliciously crafted website could allow a Java Web Start application to be launched automatically even if the Java plug-in is disabled
Description: Java Web Start applications would run even if the Java plug-in was disabled. This issue was addressed by removing JNLP files from the CoreTypes safe file type list, so the Web Start application will not be run unless the user opens it in the Downloads directory.
CVE-ID
CVE-2013-0967
Available for: OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 to v10.8.2
Impact: Visiting a maliciously crafted website could allow a Java Web Start application to be launched automatically even if the Java plug-in is disabled
Description: Java Web Start applications would run even if the Java plug-in was disabled. This issue was addressed by removing JNLP files from the CoreTypes safe file type list, so the Web Start application will not be run unless the user opens it in the Downloads directory.
CVE-ID
CVE-2013-0967
• JavaW en Java
https://stackoverflow.com/questions/8194713/difference-between-java-javaw-javaws
http://javapapers.com/core-java/java-vs-javaw-vs-javaws/
http://www.herongyang.com/Java-Tools/java-javaw-Launch-Java-Program-without-Console.html
http://publib.boulder.ibm.com/infocenter/realtime/v1r0/topic/com.ibm.rt.doc.10/user/java.html
• Malware voor de Mac?
Dat die er is, daar hoeven we geen discussie over te voeren wat mij betreft (al zijn de aantallen zijn wel 'wat lager' in vergelijking tot andere platforms)
Naast het lage aantal hebben nogal wat Mac Malware infectie methoden, nogal eens een hoog 'doe-het-zelf-gehalte' dat actieve medewerking van de gebruiker vereist.
Wat voor alle computers geldt en dus ook voor Mac's : veel malware valt te voorkomen door enige digitale gezondheid en goede security maatregelen in acht te nemen en oplettend te blijven (lees de wmelding of waarschuwing en zoek het uit als je hem niet begrijpt in plaats van hem te negeren).
Dat kan van simpel tot uitgebreid, de ingebouwde security van de Mac helpt je een heel eind daarbij, een aanvullend security product als een av scanner is daarbij als extra'tje' zeker aan te raden.
Maar uiteindelijk is die Mac ook maar een machine,
als 'baasje de gebruiker' het echt ernistig heel erg graag wil,
ja, dan krijg je, ook op de Mac, die malware, er werkend en wel, wel op.
• Toch aardig,
Wat een nieuwsgierige ongeduldige Apple community al niet binnen een paar dagen boven water krijgt.
Kijken wat het nieuws nog verder brengt.
Wijze les?..
;-)
Reacties (7)
Ter overweging : Gebruik Waarschuwing Functie bij aanmaak nieuwe folders en files in belangrijke folders op je Mac
• Onderstaande monitor-file-creation-klassieker-tip duikt ineens her en der op.
Dat is op zich ook goed want het werkt ook goed!
Met name een aanrader voor de oudere OS X versies, 'afdeling' extra compenserende security maatregelen bij gebrek aan Apple security support ('±' OS X 10.6 en ouder).
Je krijgt wel meer pop ups, afhankelijk van de folders die je monitort, je downloads folder bijvoorbeeld, daar moet je tegen kunnen. Gelukkig heb je daar geheel zelf de hand in.
;-)
Daarom, hierbij, 'dè' oude-2012-'originele-?-bron-tip' van Topher Kessler naar aanleiding van de Mac Flashback malware uitbraak. *
- Op Cnet
"Monitor OS X LaunchAgents folders to help prevent malware attacks"
http://www.cnet.com/news/monitor-os-x-launchagents-folders-to-help-prevent-malware-attacks/
- Op Mac issues, in een vernieuwd jasje op zijn inmiddels gestarte eigen site
"How to set up and use Folder Actions on your Mac"
http://www.macissues.com/2014/07/16/how-to-set-up-and-use-folder-actions-on-your-mac/
• ! Denk eraan
Download software van de originele bron!
Want je kan erop wachten dat deze aanpak vroeg of laat in allerlei varianten (nog) vaker gebruikt gaat worden.
Dat begint al met de kleinste software, je browser plugins bijvoorbeeld.
De welbekende (?) Fake-Pop-up-melding terwijl je aan het internet browsen bent.
Bijvoorbeeld die waarschuwende Flashplayer pop-up dat je 'Moet Updaten'.
Een dergelijke pop-up kan door een webdesigner overtuigend nagemaakt en getoond worden. Dat is dan weliswaar binnen de browser functie/binnen de website, evengoed voor de meeste gebruikers 'voldoende gelijkend' om er zo in te trappen en erop te klikken met alle 'malware gevolgen' van dien.
Mijn inschatting/idee hierbij
Klik dus in dergelijke gevallen niet/zomaar op de buttons in de pop up, niet/zomaar op 'Ja' en niet/zomaar op 'Nee' (onder de 'Nee' kan net zo goed alsnog een doorverwijzing naar een downloadlink zitten).
Sluit de browser af, start de browser (of een andere browser) opnieuw op en zoek de website op van de originele ontwikkelaar.
Voor de Adobe Flashplayer plugin is dat natuurlijk Adobe.
Let bij de zoekresultaten goed op de naamgeving/spelling van de urls (links) en pas dus goed op voor dit soort simpele 'social engineering' spelling-truukjes bij de zoekresultaten op zoek naar de originele website van de software aanbieders!
mvg
Topic starter
Noot
* Wat mij betreft de welverdiende credits aan Topher Kessler voor deze tip en vele andere, m.i. ruimschoots verdiend vanwege jarenlange uitmuntend goede Mac tips.
Let wel; het kan best dat de functie in zijn algemeenheid nog eerder al door iemand anders besproken is, in de specifieke malware context was ik hem door de jaren heen nog niet van iemand anders eerder tegen gekomen en vond het toch wel aardig daar nu specifiek op te wijzen.
P.s,
mocht je toch nog denken "waar is deze hele post aan gerelateerd?"
Aanleiding:
"New Mac OS X botnet discovered, September 29, 2014"
http://news.drweb.com/show/?i=5976&lng=en
"The Mac.BackDoor.iWorm threat in detail, September 29, 2014"
http://news.drweb.com/show/?i=5977&lng=en
• Onderstaande monitor-file-creation-klassieker-tip duikt ineens her en der op.
Dat is op zich ook goed want het werkt ook goed!
Met name een aanrader voor de oudere OS X versies, 'afdeling' extra compenserende security maatregelen bij gebrek aan Apple security support ('±' OS X 10.6 en ouder).
Je krijgt wel meer pop ups, afhankelijk van de folders die je monitort, je downloads folder bijvoorbeeld, daar moet je tegen kunnen. Gelukkig heb je daar geheel zelf de hand in.
;-)
Daarom, hierbij, 'dè' oude-2012-'originele-?-bron-tip' van Topher Kessler naar aanleiding van de Mac Flashback malware uitbraak. *
- Op Cnet
"Monitor OS X LaunchAgents folders to help prevent malware attacks"
http://www.cnet.com/news/monitor-os-x-launchagents-folders-to-help-prevent-malware-attacks/
- Op Mac issues, in een vernieuwd jasje op zijn inmiddels gestarte eigen site
"How to set up and use Folder Actions on your Mac"
http://www.macissues.com/2014/07/16/how-to-set-up-and-use-folder-actions-on-your-mac/
• ! Denk eraan
Download software van de originele bron!
Want je kan erop wachten dat deze aanpak vroeg of laat in allerlei varianten (nog) vaker gebruikt gaat worden.
Dat begint al met de kleinste software, je browser plugins bijvoorbeeld.
De welbekende (?) Fake-Pop-up-melding terwijl je aan het internet browsen bent.
Bijvoorbeeld die waarschuwende Flashplayer pop-up dat je 'Moet Updaten'.
Een dergelijke pop-up kan door een webdesigner overtuigend nagemaakt en getoond worden. Dat is dan weliswaar binnen de browser functie/binnen de website, evengoed voor de meeste gebruikers 'voldoende gelijkend' om er zo in te trappen en erop te klikken met alle 'malware gevolgen' van dien.
Mijn inschatting/idee hierbij
Klik dus in dergelijke gevallen niet/zomaar op de buttons in de pop up, niet/zomaar op 'Ja' en niet/zomaar op 'Nee' (onder de 'Nee' kan net zo goed alsnog een doorverwijzing naar een downloadlink zitten).
Sluit de browser af, start de browser (of een andere browser) opnieuw op en zoek de website op van de originele ontwikkelaar.
Voor de Adobe Flashplayer plugin is dat natuurlijk Adobe.
Let bij de zoekresultaten goed op de naamgeving/spelling van de urls (links) en pas dus goed op voor dit soort simpele 'social engineering' spelling-truukjes bij de zoekresultaten op zoek naar de originele website van de software aanbieders!
mvg
Topic starter
Noot
* Wat mij betreft de welverdiende credits aan Topher Kessler voor deze tip en vele andere, m.i. ruimschoots verdiend vanwege jarenlange uitmuntend goede Mac tips.
Let wel; het kan best dat de functie in zijn algemeenheid nog eerder al door iemand anders besproken is, in de specifieke malware context was ik hem door de jaren heen nog niet van iemand anders eerder tegen gekomen en vond het toch wel aardig daar nu specifiek op te wijzen.
P.s,
mocht je toch nog denken "waar is deze hele post aan gerelateerd?"
Aanleiding:
"New Mac OS X botnet discovered, September 29, 2014"
http://news.drweb.com/show/?i=5976&lng=en
"The Mac.BackDoor.iWorm threat in detail, September 29, 2014"
http://news.drweb.com/show/?i=5977&lng=en
Apple Updates Malware Definitions to Protect Against Botnet Threat Coordinated Via Reddit
http://www.macrumors.com/2014/10/04/iworm-malware-xprotect/
! Voor de enthousiaste 'tweedehandsers' / Mac-'klassieker' gebruikers *
• De Apple maatregelen gelden dan nog steeds alléén (!) voor OS X 10.6 en nieuwer.
Zit je nog op OS X 10.5 of 10.4 dan ben je hier niet op deze wijze tegen beschermd!.
(Op OS X 10.3 zitten in combinatie met internet kan denk ik ècht (?) niet meer, in verband met o.a. unsupported browsers).
• In het geval van een niet meer door Apple security-supported OS X versie is het sowieso een must om aanvullende maatregelen te treffen, ten minste :
- Optimaal gebruik maken van alle security mogelijkheden die je Mac biedt
- Minstens te beginnen met een antivirusscanner te draaien op je Mac.
- Een extra uitgaande firewall gebruiken en het uitgaand verkeer te monitoren, werken met whitelisting, blacklisting of zelfs werken op ip niveau.
- Alleen/bij zeer hoge voorkeur browsen met een up-tp-date supported browser (danwel 'zwaar getweaked').
Geen garantie maar alle 'beetjes' aan maatregelen bijelkaar helpen een heel eind.
• Tot slot, malware definiëren
Leidt wat betreft Mac's altijd tot hele vervelende oeverloze discussies.
Als je last van malware hebt maakt het natuurlijk niet uit wat het precies is.
De 'vraag' die een reageerder op Mac-Rumors terecht oproept is of hier eigenlijk wel sprake is van een worm, het lijkt vooralsnog een 'ordinare trojan'.
Malware die de gebruiker zelf installeert.
Waarom koos dr.web ervoor om het een worm te noemen?
Zichzelf verspreidende malware in de vorm van een worm verhoogt het 'Fear' effect namelijk aanmerkelijk.
Wachten is het op een uiteindelijke totale technische analyse van deze trojan.
mvg
Topic Starter
* Al dan niet voor erbij of primair gebruik, die zijn er nog, ook hier, :
https://www.security.nl/posting/374345/Welke+versie+Mac+OS+X+draai+jij%3F
± 4 % 10.5 en ouder.
Kijk je op de tweedehands online markten aan aangeboden Mac systemen met onder vermelding van 'z.g.a.n.'/gebruikt met "'schoon' geïnstalleerd'" OS X versies lijkt dat percentage toch 'wel wat' hoger te liggen.
Reden om er ook hier, buiten het hoge Mavericks gebruik, er aandacht aan te besteden.
http://www.macrumors.com/2014/10/04/iworm-malware-xprotect/
! Voor de enthousiaste 'tweedehandsers' / Mac-'klassieker' gebruikers *
• De Apple maatregelen gelden dan nog steeds alléén (!) voor OS X 10.6 en nieuwer.
Zit je nog op OS X 10.5 of 10.4 dan ben je hier niet op deze wijze tegen beschermd!.
(Op OS X 10.3 zitten in combinatie met internet kan denk ik ècht (?) niet meer, in verband met o.a. unsupported browsers).
• In het geval van een niet meer door Apple security-supported OS X versie is het sowieso een must om aanvullende maatregelen te treffen, ten minste :
- Optimaal gebruik maken van alle security mogelijkheden die je Mac biedt
- Minstens te beginnen met een antivirusscanner te draaien op je Mac.
- Een extra uitgaande firewall gebruiken en het uitgaand verkeer te monitoren, werken met whitelisting, blacklisting of zelfs werken op ip niveau.
- Alleen/bij zeer hoge voorkeur browsen met een up-tp-date supported browser (danwel 'zwaar getweaked').
Geen garantie maar alle 'beetjes' aan maatregelen bijelkaar helpen een heel eind.
• Tot slot, malware definiëren
Leidt wat betreft Mac's altijd tot hele vervelende oeverloze discussies.
Als je last van malware hebt maakt het natuurlijk niet uit wat het precies is.
De 'vraag' die een reageerder op Mac-Rumors terecht oproept is of hier eigenlijk wel sprake is van een worm, het lijkt vooralsnog een 'ordinare trojan'.
Malware die de gebruiker zelf installeert.
Waarom koos dr.web ervoor om het een worm te noemen?
Zichzelf verspreidende malware in de vorm van een worm verhoogt het 'Fear' effect namelijk aanmerkelijk.
Wachten is het op een uiteindelijke totale technische analyse van deze trojan.
mvg
Topic Starter
* Al dan niet voor erbij of primair gebruik, die zijn er nog, ook hier, :
https://www.security.nl/posting/374345/Welke+versie+Mac+OS+X+draai+jij%3F
± 4 % 10.5 en ouder.
Kijk je op de tweedehands online markten aan aangeboden Mac systemen met onder vermelding van 'z.g.a.n.'/gebruikt met "'schoon' geïnstalleerd'" OS X versies lijkt dat percentage toch 'wel wat' hoger te liggen.
Reden om er ook hier, buiten het hoge Mavericks gebruik, er aandacht aan te besteden.
Vannacht is een Xprotect update de wereld ingestuurd.
Als je Command-shift-g typt en in het zoekveld invoert:
/System/Library/CoreServices/Coretypes.bundle/Contents/Resources
moeten de bestanden:
XProtect.meta.plist en
XProtect.plist
als aanmaakdatum 5 oktober 2014 (vandaag) hebben.
Als je Command-shift-g typt en in het zoekveld invoert:
/System/Library/CoreServices/Coretypes.bundle/Contents/Resources
moeten de bestanden:
XProtect.meta.plist en
XProtect.plist
als aanmaakdatum 5 oktober 2014 (vandaag) hebben.
T.a.v. XProtect update
Mocht het resultaat van wat "15:07 door Anoniem" aangeeft nou toch niet het geval zijn, al acht ik die kans klein. *
Dan kan je de XProtect update als zelfstandig file binnenhalen en installeren.
http://swcdn.apple.com/content/downloads/25/16/031-08850/xuavybw3pll44md3r5ijzzxg85kb7jxa07/XProtectPlistConfigData.pkg
* Mogelijk 'ongewenst' bij-effect van zeer stringente firewall/OS X onder-de-moterkap-security-maatregelen.
XProtect update bepaald niet dagelijks de definities (!), maar zoekt er wel dagelijks 1, 2, 3, maal naar. Dat is ook voer voor Stats, netzoals Av leveranciers die verzamelen met realtime scanning en elk uur updates.
Mocht het resultaat van wat "15:07 door Anoniem" aangeeft nou toch niet het geval zijn, al acht ik die kans klein. *
Dan kan je de XProtect update als zelfstandig file binnenhalen en installeren.
http://swcdn.apple.com/content/downloads/25/16/031-08850/xuavybw3pll44md3r5ijzzxg85kb7jxa07/XProtectPlistConfigData.pkg
* Mogelijk 'ongewenst' bij-effect van zeer stringente firewall/OS X onder-de-moterkap-security-maatregelen.
XProtect update bepaald niet dagelijks de definities (!), maar zoekt er wel dagelijks 1, 2, 3, maal naar. Dat is ook voer voor Stats, netzoals Av leveranciers die verzamelen met realtime scanning en elk uur updates.
05-10-2014, 18:21 door
Briolet
Door Anoniem:Mocht het resultaat van wat "15:07 door Anoniem" aangeeft nou toch niet het geval zijn, al acht ik die kans klein. …
Dat ligt eraan op welke mac je zit. Op mijn desktop mac's is de Xprotect.plist meestal binnen 1 à 2 dagen geupdate. Op een laptop kan het maanden duren is mijn ervaring. Ik heb net gekeken en de modificatiedatum staat nog op 15 mei 2014. En dat terwijl ik toch dagelijks enkele uren op die MacBook (met Mavericks) werk en ondertussen diverse andere systeemupdates uitgevoerd heb.
Door Anoniem: Vannacht is een Xprotect update de wereld ingestuurd.
Als je Command-shift-g typt en in het zoekveld invoert:
/System/Library/CoreServices/Coretypes.bundle/Contents/Resources
moeten de bestanden:
XProtect.meta.plist en
XProtect.plist
als aanmaakdatum 5 oktober 2014 (vandaag) hebben.
Als je Command-shift-g typt en in het zoekveld invoert:
/System/Library/CoreServices/Coretypes.bundle/Contents/Resources
moeten de bestanden:
XProtect.meta.plist en
XProtect.plist
als aanmaakdatum 5 oktober 2014 (vandaag) hebben.
Ik zie 24 september en zie ook geen updates aangeboden worden...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
