image

FBI waarschuwt bedrijven voor "vernietigende" malware

dinsdag 2 december 2014, 10:41 door Redactie, 8 reacties

De FBI heeft Amerikaanse bedrijven gewaarschuwd voor "vernietigende" malware die aanvallers hebben gebruikt om bedrijven in de VS aan te vallen. Details over de aangevallen organisatie of organisaties worden niet gegeven, maar twee experts die het vijf pagina's tellende document bekeken zeggen tegenover Reuters dat het zeker om de aanval op Sony gaat.

Volgens de waarschuwing overschrijft de malware gegevens op harde schijven en computers waardoor ze onbruikbaar worden. "Deze malware heeft de mogelijkheid om het master boot record en alle databestanden van de host te overschrijven. Het overschrijven van de databestanden zal het zeer lastig en kostbaar maken, indien niet onmogelijk, om de bestanden met standaard forensische methodes te herstellen."

De FBI geeft bedrijven vervolgens tips hoe ze met dit soort aanvallen moeten omgaan en de opsporingsdienst moeten waarschuwen als ze dit soort malware tegenkomen. Bij de aanval op Sony zouden aanvallers toegang tot het netwerk van het bedrijf hebben gekregen en daar allerlei gegevens hebben gestolen. Ook werden computers onbruikbaar gemaakt.

Reacties (8)
02-12-2014, 11:05 door potshot
dus system backup restore werkt ook niet meer?
02-12-2014, 11:11 door Anoniem
"Er is iets heeeeeeel ergs aan de gang in het donkere cyberboemanbos! Maar we vertellen niet wat het is!"

Lekker nuttig weer. Net of mbr-overschrijvende schijf-wissende malware nieuw is. Die hadden we het vorige millennium ook al, hoor. Lijkt me prudent te zorgen dat je back-ups goed geregeld zijn, maar dat moet toch, dus waarom daar zo'n fanfare overheen moet? Wil er weer eens iemand carriere maken ofzo?
02-12-2014, 11:42 door Anoniem
Door potshot: dus system backup restore werkt ook niet meer?

Het ligt wat genuanceerder dan dat. Op basis van dit bericht maak ik op dat de malware de data en MBR overschrijft. Dit doet twee dingen:
1) Het OS gaat niet meer opstarten (master boot record zorgt ervoor dat de onderdelen worden ingeladen om het OS op te starten)
2) De data is weg. (De data op de harde schrijf wordt overschreven. Hierdoor is het erg moeilijk al dan niet onmogelijk om de data van die specifieke harde schijf terug te brengen).

Het vraagstuk of je iets aan je backup structuur hebt hangt heel veel van de configuratie af. Als de "backup server" ook te pakken is genomen heb je een serieus probleem. Als deze ergens anders en veilig en ongedeerd staat, ben je maximaal een paar uur werk kwijt.
De vraag is dan wel of je simpelweg kan restoren. Je kan de data op de schijf wellicht terug zetten, maar bij het ontbreken van de MBR kan je dan nog steeds niet starten. Ik denk, door de lange uitval bij Sony, dat bij hun in ieder geval de MBR niet in de backup zat (=aanname). Dan moet je eerst alle computers opnieuw inspoelen, en daarna kan je een backup van de data terugzetten.
02-12-2014, 12:02 door Erik van Straten
Ervan uitgaande dat het om Microsoft Windows systemen gaat, ben ik benieuwd of (veel) gebruikers adminrechten hadden. Zo niet, of sprake was van privilege escalation exploits (unpatched of 0-days) c.q. of de aanvallers wellicht domain admin rechten hebben kunnen krijgen, en zo ja, hoe (in elk geval is je organisatie kansloos in zo'n scenario).
02-12-2014, 12:54 door Anoniem
Door potshot: dus system backup restore werkt ook niet meer?
Doel je nu op de ingebakken Windows-backup? Dat werkt vrijwel nooit bij malware, althans, niet met de garantie dat de malware ook daadwerkelijk van het systeem is verwijderd.

On-site? Neen.
Off-site? Jazeker wel. Het (her-)partitioneren heeft automatisch tot gevolg dat het MBR wordt overschreven, aangepaste HD-firmware is echter een heel andere uitdaging.

Het overschrijven van de databestanden zal het zeer lastig en kostbaar maken, indien niet onmogelijk, om de bestanden met standaard forensische methodes te herstellen.
"Hoe leer je iemand zijn eigen alu-hoedje vouwen," LES 1...
Als data op schijf is overschreven, hoe ga je de oude data dan nog kunnen herstellen met niet-reguliere, forensische methodes? Bij de NSA aankloppen voor een backup? Of mis ik iets?
02-12-2014, 18:26 door Anoniem
Door Anoniem:
Door potshot: dus system backup restore werkt ook niet meer?

Het ligt wat genuanceerder dan dat. Op basis van dit bericht maak ik op dat de malware de data en MBR overschrijft. Dit doet twee dingen:
1) Het OS gaat niet meer opstarten (master boot record zorgt ervoor dat de onderdelen worden ingeladen om het OS op te starten)
2) De data is weg. (De data op de harde schrijf wordt overschreven. Hierdoor is het erg moeilijk al dan niet onmogelijk om de data van die specifieke harde schijf terug te brengen).

Het vraagstuk of je iets aan je backup structuur hebt hangt heel veel van de configuratie af. Als de "backup server" ook te pakken is genomen heb je een serieus probleem. Als deze ergens anders en veilig en ongedeerd staat, ben je maximaal een paar uur werk kwijt.
De vraag is dan wel of je simpelweg kan restoren. Je kan de data op de schijf wellicht terug zetten, maar bij het ontbreken van de MBR kan je dan nog steeds niet starten. Ik denk, door de lange uitval bij Sony, dat bij hun in ieder geval de MBR niet in de backup zat (=aanname). Dan moet je eerst alle computers opnieuw inspoelen, en daarna kan je een backup van de data terugzetten.

Format + Windows opnieuw erop zetten > data kopieren.

Duh!
02-12-2014, 22:46 door Anoniem
Door Anoniem:
Het ligt wat genuanceerder dan dat. Op basis van dit bericht maak ik op dat de malware de data en MBR overschrijft. Dit doet twee dingen:
1) Het OS gaat niet meer opstarten (master boot record zorgt ervoor dat de onderdelen worden ingeladen om het OS op te starten)
2) De data is weg. (De data op de harde schrijf wordt overschreven. Hierdoor is het erg moeilijk al dan niet onmogelijk om de data van die specifieke harde schijf terug te brengen).
Gelukkig heb ik Acronis True Image.
Kan me niks schelen dat de MBR overschreven wordt door een boefje.
Ik schrijf 'm toch weer over met mijn tib-bestand en na een uurtje (of twee a drie uur bij een grote windows-partitie) werkt alles weer als vanouds.
03-12-2014, 00:25 door Anoniem
Door Erik van Straten: Ervan uitgaande dat het om Microsoft Windows systemen gaat, ben ik benieuwd of (veel) gebruikers adminrechten hadden. Zo niet, of sprake was van privilege escalation exploits (unpatched of 0-days) c.q. of de aanvallers wellicht domain admin rechten hebben kunnen krijgen, en zo ja, hoe (in elk geval is je organisatie kansloos in zo'n scenario).

Door Erik van Straten: Ervan uitgaande dat het om Microsoft Windows systemen gaat, ben ik benieuwd of (veel) gebruikers adminrechten hadden. Zo niet, of sprake was van privilege escalation exploits (unpatched of 0-days) c.q. of de aanvallers wellicht domain admin rechten hebben kunnen krijgen, en zo ja, hoe (in elk geval is je organisatie kansloos in zo'n scenario).

Ik weet niet of dit gerucht inmiddels ontkracht is, maar met hulp van binnenuit wordt het al een heel ander verhaal. Over kansloos (als organisatie) gesproken.
http://tweakers.net/nieuws/99891/sony-hackers-hadden-hulp-van-binnenuit.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.