image

Website ISC.org offline gehaald wegens malware

zaterdag 27 december 2014, 10:50 door Redactie, 9 reacties

Aanvallers hebben de website van het Internet Systems Consortium (ISC) gebruikt om malware te verspreiden, waarop de beheerders van de site besloten om ISC.org offline te halen. Het ISC biedt BIND aan, (Berkeley Internet Name Domain), de meest gebruikte DNS-server-software op internet.

Volgens het ISC is ISC.org met malware besmet geraakt en moet iedereen die de website de afgelopen tijd heeft bezocht zijn of haar computer op malware controleren. Hoe de aanvallers toegang tot de website wisten te krijgen wordt niet vermeld, maar het zou om een "WordPress-probleem" gaan. De websites die de BIND-software aanbieden zijn niet gecompromitteerd. ISC.org is nog altijd offline, maar de BIND-software kan direct via de FTP-server van het ISC worden gedownload.

Beveiligingsbedrijf Cyphort stelt in een analyse dat er code op de website was geplaatst die gebruikers naar de Angler Exploitkit doorstuurde. Deze exploitkit maakt gebruik van bekende lekken in Internet Explorer, Adobe Flash Player en Microsoft Silverlight om malware op de computer te plaatsen. Voor de aangevallen lekken zijn echter updates beschikbaar. In het geval gebruikers hun software niet up-to-date hadden en ISC.org bezochten zijn ze mogelijk met malware besmet geraakt. Wat voor malware er via de exploits werd geïnstalleerd wordt niet vermeld.

Reacties (9)
27-12-2014, 12:40 door Anoniem
Er wordt weer eens slecht gecommuniceerd! Welke malware? Is er een MD5-Hash? Hoe kan ik dan weten of mijn av-scanner de malware überhaupt detecteert als ik de website bezocht heb?

Ik vind dat bedrijven daarom verplicht zijn een aantal basis-gegevens door te geven om bezoekers van een website te beschermen. Hier heb je als gebruiker echt helemaal niets aan.
27-12-2014, 15:20 door Anoniem
Echt te toevallig dat ik gisteren op hun site zat :-S

Hopelijk zijn een up-to-date firefox nightly + noscript voldoende maatregelen. Zou niet eens weten hoe ik mijn mac naast ClamXav nog moet scannen..
27-12-2014, 18:52 door Anoniem
Door Anoniem:
Hopelijk zijn een up-to-date firefox nightly + noscript voldoende maatregelen.

Ben je software ontwikkelaar? Zo niet, dan is het voldoende om de laatste publieks-versie van Firefox te gebruiken (34.0.5)

Zorg er daarnaast voor De laatste versie van Flash te hebben geïnstalleerd.
Controle:
https://www.adobe.com/nl/software/flash/about/
Download:
https://get.adobe.com/nl/flashplayer/
Verwijder eventueel voordien de oude Flashplayer.
uninstall info + downloadpagina:
https://helpx.adobe.com/nl/flash-player/kb/uninstall-flash-player-mac-os.html

Schakel de Java plugin uit als je hem niet nodig hebt (niet te verwarren met Java-script)
Ik heb deze plug-in nog nóóóit nodig gehad want ik ben een gebruiker van internetsites, geen ontwikkelaar.

Silverlight is ook ontwikkelaarsgereedschap. Dus als je gebruiker bent i.p.v. softwareontwikkelaar heb je het niet nodig.

Momenteel is er niet zoveel dreiging voor de Macintosh MAAR DEZE ELLENDE ZIT WEL IN DE LIFT!

Lees regelmatig http://www.thesafemac.com/ maar... laat je hoofd ook niet dol maken. En als je denkt dat je Macintosh iets opgelopen heeft download AdwareMedic: http://www.adwaremedic.com/index.php (van dezelfde auteur als de site thesafemac.com)
27-12-2014, 23:44 door Anoniem
Door Anoniem :
Door Anoniem:
Hopelijk zijn een up-to-date firefox nightly + noscript voldoende maatregelen.

Ben je software ontwikkelaar? Zo niet, dan is het voldoende om de laatste publieks-versie van Firefox te gebruiken (34.0.5)
..
Nightly builds zijn inderdaad niet bedoeld voor standaard internetgebruik omdat het nog testversies betreft van nieuwe Firefox versies.

Zorg er daarnaast voor De laatste versie van ... ... te hebben geïnstalleerd.
Inderdaad, je browserplugins up to date houden en verwijderen wat je niet nodig hebt.
Zet video/media plugins op "Ask to Activate" in je browser (als dat niet al het geval is).

Silverlight is ook ontwikkelaarsgereedschap. Dus als je gebruiker bent i.p.v. softwareontwikkelaar heb je het niet nodig.
Bij mijn weten is Silverlight een media plugin van Microsoft dat zich irritant lastig laat updaten (MS wil dat je aan de pro versie gaat en verleidt de trial pro versie te installeren) en werd vooral meer dan een decennium lang door de NPO verplicht door je strot geduwd als je iets wilde kijken.

Buiten oudere afleveringen van de NPO heb je Silverlight, op de Mac, eigenlijk nauwelijks tot niet nodig.
"Ask to activate" in je browser of beter, weg ermee.

Momenteel is er niet zoveel dreiging voor de Macintosh MAAR DEZE ELLENDE ZIT WEL IN DE LIFT!
Nee hoor.

De Angler Exploit Kit Malware is voor Windows pc (of voor Windows op je Mac) en niet voor Mac OS X.
No worries op dit Angler Exploit vlak, wel al je (plugin)software up to date houden, geldt voor alle platforms en dus ook voor Mac OS X!

Extra interessante Angler Exploit info : http://malware.dontneedcoffee.com/2014/08/angler-ek-now-capable-of-fileless.html

Lees regelmatig http://www.thesafemac.com/ maar... laat je hoofd ook niet dol maken.
Leuke informatieve site.

De enige die daar af en toe op hol gaat is de schrijver zelf en dat is hem in de meeste gevallen wel met enig begrip te vergeven.
Behalve de keer dat hij zonodig Hitler erbij moest halen om copyrights te verdedigen.
Een kleine beleefde knieval met een excuus voor gemaakte buitensporige vergelijking zat er niet in.
Tja..

En als je denkt dat je Macintosh iets opgelopen heeft download AdwareMedic: http://www.adwaremedic.com/index.php (van dezelfde auteur als de site thesafemac.com)
Lichte correctie bij deze beeldvorming

Adwaremedic is, de naam zegt het al, om adware te verwijderen!
Dat doet het script programmaatje overigens heel goed! Maar is geen AV scanner omdat het niet op 'gewone' virussen en malware scant.
Adware is wel een grotere dreiging voor de Mac dan Malware, dat dan weer wel.

Kijk voor meer info over prestaties en dus merken AV scanners voor Mac op
http://securityspread.com/
http://securityspread.com/detection-rate-results/

Waar toevallig in een laatste artikel het script project "Knock Knock, who’s there?" wordt besproken.
Veelbelovend, wachten is op een gebruikersvriendelijke app.

Bedenk dat alleen AV detectie scores niet zaligmakend zijn.
ClamXav staat bijvoorbeeld niet in de top met pak em beet 75% detectie ratio. Dat lijkt nadeling want dat zou beter moeten kunnen.

Daar staan wel weer grote voordelen van ClamXav tegenover.
Dit scannertje trekt ook niet standaard / om de haverklap je CPU met '25-50-meer %' naar beneden, best een voordeel als er toch vrijwel geen malware voorbij komt behalve voor pc's.
De bekendste pc virussen vindt deze scanner wel.

ClamXav rommelt ook niet met je privacy want het vraagt niet, dwingt je niet om je gegevens af te staan zoals alle andere gratis av app's uit de topscorers wel doen.
Het is daarbij aan jezelf of je anonieme stats als feedback wil versturen.

Helemaal geen gekke open source scanner dus.
Een tweede av scanner als second opinion is een prima wekelijkse/maandelijkse optie, kies zelf maar.


Extraatjes (standaardjes) :

- Zet in je Firefox voorkeuren alle plugins op click to play.
- Zorg dus dat al je plugins up to date zijn.

- Minimum maatregelen in NoScript, stel NoScript zo in het dat het iFrames standaard blokkeert, ook voor whitelisted sites.
Stel de waarschuwingsbevestiging in voor het opheffen.

- Doe je er als een prettige dubbelop nog een Adblocker addon bij tegen reclame en dus ook tegen misbruik van reclame. Niet alle reclame wordt geblokkeerd, adblocker rules kunnen ook alleen reclame visueel verbergen. Daarom is het wellicht goed ook NoScript er naast te hebben geïnstalleerd.


(ps, 18:52, je caps lock blijft af en toe hangen, ... )
28-12-2014, 15:20 door Anoniem
Annoniem, 27 december, 23:45 uur,

Op welke feiten baseer je de ontkenning dat het aantal dreigingen hetzelfde blijft als bij, laat ik zeggen, de introductie van OSX, 12 jaar geleden?

Ik gebruik al 25 jaar Macintosh vanaf de + (Plus) uit '89 en heb in die tijd gezien:
Met de komst van OS6 kwamen de eerste virussen (Dukakis etc.) Vanaf OS7 kwamen er vervelender exemplaren (666 Graphic Converter etc.) Met OS8, vanwege een beetje andere architectuur namen de dreigingen wat af, om met OS9 naar de achtergrond te verdwijnen en met de introductie van OSX was het definitief verleden tijd voor virussen.

Dit was dus een tijdsbestek van 13 jaar ongeveer.
Na die periode veranderde ook het uiterlijk van virussen. Van pesterijen veranderde het in malware en kreeg het een crimineel uitgangspunt. De Macintosh had hier in het begin van OSX (2002) helemaal geen last van. Maar de sluwheid van malwaremakers is de voorbije jaren toegenomen. Voor de Macintosh groeit het traag maar gestaag. Een beetje zoeken levert genoeg voorbeelden op. Google maar op 'Mac Malware' en je bent een weekendje zoet met leesvoer.

En dan terug naar mijn vraag uit de eerste alinea. Hoe kun je stellen - noem a.u.b. bronnen - dat de dreiging niet toeneemt als je weet dat er de afgelopen drie jaar net zoveel dreigingen zijn bijgekomen als de tien jaar daarvoor (2002 tot 2012) in totaal?

Het is een schijntje vergeleken met de dreigingen voor Windows maar het is feit. Wat hebben we het afgelopen jaar allemaal voorbij zien komen?
LaoShu, CoinThief, XSLCmd, iWorm, Ventir, WireLurker/Machook. (6 stuks)
Ter vergelijking in 2004 èn 2005 èn 2006 èn 2007 waren het in totaal maar 9 dreigingen. (bron: The SafeMac.com)

Het is achterhaald statement om te zeggen: "Ik heb 'Mac' dus ik ben ongevoelig voor virussen/malware"
Tegenstrijdigheid:
Op het gebied van Virusscanners voor OSX is er eigenlijk niets dat zin heeft in tegenstelling tot classic (Virex bijvoorbeeld)
Sterker nog: het is zelfs maar de vraag of Virusscanners in het algemeen nut hebben gezien de korte levensduur van Malware. Zie:
https://www.security.nl/posting/386983/%2782%25+malware+verdwijnt+binnen+%C3%A9%C3%A9n+uur%27
28-12-2014, 19:57 door Anoniem
Door Anoniem: Annoniem, 27 december, 23:45 uur,

Op welke feiten baseer je de ontkenning dat het aantal dreigingen hetzelfde blijft als bij, laat ik zeggen, de introductie van OSX, 12 jaar geleden?

Wees gerust, dat onken ik niet, in ieder geval geenszins de bedoeling (integendeel!)
Iets wat je wel had kunnen opmaken uit de verdere tekst met gegeven informatie rondom av. Immers, wanneer je van mening bent dat er geen dreiging is, waarom zou je dan extra info rondom security maatregelen geven?

Het zit hem in de formulering : "maar deze ellende zit wel in de lift!"

Waarbij "deze" door mij werd uitgelegd als een verwijzing naar de Angler Malware als in-de-lift-dreiging voor de Mac wat voorzover te zien is helemaal niet het geval is.
Het is namelijk Windows Malware.

Of er al een verlichte geest aan het werk is dit naar het OS X platform te brengen weten we niet, er zijn geen aanwijzingen voor.
Kortom, wat Liften en Angler dreiging betreft; nee hoor, niet (aantoonbaar) het geval.

Kan het verder wel vinden in je reactie, nog een Mac veteraan op security.nl,
behalve dan dit;
Tegenstrijdigheid:
Op het gebied van Virusscanners voor OSX is er eigenlijk niets dat zin heeft in tegenstelling tot classic (Virex bijvoorbeeld)
Sterker nog: het is zelfs maar de vraag of Virusscanners in het algemeen nut hebben gezien de korte levensduur van Malware. Zie:
https://www.security.nl/posting/386983/%2782%25+malware+verdwijnt+binnen+%C3%A9%C3%A9n+uur%27

Virusscanners hebben mijns inziens wel degelijk zin, al was het maar om oude malware te detecteren en als het nog zou werken (gelukkig werkt malware uit de categorie 666/AutoStart 9805 Worm niet meer en wordt zij ook niet meer gemaakt, afkloppen wat crypto malware betreft).
In het artikel dat je aanhaalt heeft die 82% betrekking op 500.000 malware exemplaren, er zijn er echter iets van 200.000.000 (?) malware exemplaren (voor Windows weliswaar). Niet alle Malware verdwijnt dus zo snel.

Verder,
een av product is 'als het goed is' onderdeel van je algehele veiligheidsstrategie en niet de enige maatregel waarop je veiligheid hangt.
In aanvullende zin, als onderdeel van die security strategie heeft een av scanner zeker zin, ook voor de Mac.
Dat dat ding vervolgens bijna nooit af gaat doet daar op zich niets aan af (nou, ja, natuurlijk wel maar ik zou het er niet om laten, tenzij de ergernis rondom het av product, cpu gebruik bijvoorbeeld, te groot is geworden. Dat kan bij ClamXav niet de klacht zijn. ;) .

Cheers
Anoniem 23:45
29-12-2014, 14:25 door Anoniem
"Er wordt weer eens slecht gecommuniceerd! Welke malware? Is er een MD5-Hash? Hoe kan ik dan weten of mijn av-scanner de malware überhaupt detecteert als ik de website bezocht heb?"

Angler exploit kit, hashes staan hieronder -

MD5: 38f583da8bc6e3d09799c88213206f14 (32-bit)
MD5: deacb2e37746ec97ac199e28e445c123 (64-bit)

Het zou inderdaad fijn zijn indien ISC (of andere organisaties die te maken krijgen met malware op hun website, bruikbare informatie bieden. Het artikel van Cyphort biedt gelukkig wel bruikbare achtergrond info.
29-12-2014, 14:26 door Anoniem
Dat dat ding vervolgens bijna nooit af gaat doet daar op zich niets aan af

Geheel mee eens. Indien je bankrekening bijvoorbeeld wordt geplunderd, t.g.v. een OSX malware infectie, dan heb je er geen drol aan dat je kan stellen dat de kans dat je dat overkomt kleiner is dan bijvoorbeeld een Windows gebruiker. Impact is hetzelfde.
29-12-2014, 23:01 door Anoniem
Door Anoniem:
Dat dat ding vervolgens bijna nooit af gaat doet daar op zich niets aan af

Geheel mee eens. Indien je bankrekening bijvoorbeeld wordt geplunderd, t.g.v. een OSX malware infectie, dan heb je er geen drol aan dat je kan stellen dat de kans dat je dat overkomt kleiner is dan bijvoorbeeld een Windows gebruiker. Impact is hetzelfde.

Al blijft ook de kans op zo'n gebeurtenis buitengewoon klein, is zeg maar nihil; er bestaat namelijk (nog) geen Banking Trojan Malware voor OS X !

Een succesvolle aanval tijdens een banking sessie via een social engineering fake website / MITM attack / SSl Strip / ... aanpak zou onder OS X misschien wel kunnen (zoals dat ook bij andere OS en zou kunnen) maar daar heeft een antivirusscanner dan weer geen rol in te betekenen, ... maar de niet oplettende internetgebruiker des te meer...(!).

Onvoldoende maatregelen nemen, niet opletten, trappen in social engineering is OS onafhankelijk en niet voor niets heel succcesvol als aanvalstechniek.
Wat zouden 'we' daarrr nou aan kunnen doen .... ?

(Anoniem 19:57)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.