Meer 'onzichtbare' malware met eigen TCP/IP stack ontdekt
Cybercriminelen gebruiken steeds vaker een nieuwe methode om firewalls te omzeilen en malware onzichtbaar op het netwerk te maken. Het gaat om de Ronvix-malware, wat oorspronkelijk een bootkit is. Dit soort malware is een rootkit-variant die in staat is om de Master Boot Record (MBR) van de harde schijf te infecteren. Een onlangs ontdekte Ronvix-variant gebruikt echter een nieuwe truc.
De bootkit gebruikt namelijk een eigen TCP/IP stack, een verzameling van netwerkprotocollen. De implementatie van deze 'privé-stack' is op een open source TCP/IP-project gebaseerd en kan vanuit zowel kernel als user modes worden benaderd. Het voornaamste doel van deze privé-stack is om onzichtbaar te blijven.
Het maakt het mogelijk om de NDIS library te omzeilen en zo uiteindelijk de firewall te omzeilen. De Network Driver Interface Specification (NDIS) is een door Microsoft en 3Com ontwikkelde standaard die de communicatie tussen hardware en protocollen regelt. De poort die de privé-stack gebruikt is niet op een normale wijze, zoals via het nbtstat-commando, te benaderen.
Onzichtbaar
"Dit betekent dat Rovnix de netwerkcommunicatie op een nieuwe manier onzichtbaar heeft gemaakt", zegt Chun Feng van het Microsoft Malware Protection Center. Traditionele manieren om netwerkverkeer te analyseren, bijvoorbeeld via monitoringsoftware, is mogelijk niet in staat om de pakketten te zien die via de privé-stack worden verstuurd en ontvangen.
De besmette machine maakt echter contact met het domein youtubeflashserver.com. Als netwerkbeheerders dit domein zien, dan weten ze dat een computer geïnfecteerd is geraakt. Windows Defender zou de malware inmiddels herkennen.
Eind vorig jaar werd er ook al malware met een eigen TCP/IP-stack ontdekt. "Het lijkt erop dat dit een nieuwe trend voor dit soort malware aan het worden is", aldus Feng.
Dat hangt heel erg van de malware af natuurlijk, als dit via poort 80 (http) gaat communiceren dan kun je het verkeer wel zien op je externe firewall maar dat is niet echt een poort die je even dicht zet.
Je zult dan naast een firewall toch iets als een Intrusion Detection System (IDS) moeten draaien die je verkeer doorlicht en blokkeert als het verdacht lijkt.
Je zou eventueel nog je netwerk kunnen dichtspijkeren en alles via een proxy kunnen leiden waar je authentication op zet, helaas zal echt slimme malware deze authentication uit je OS settings kunnen lezen en gebruiken.
Zal mogelijk wel een klusje worden om het te filteren (maar in het bovengenoemde geval dat er verkeer gaat naar het domein "youtubeflashserver.com" is dat wel weer te filteren. Maar natuurlijk is het weer beter als je ook payload gaat inspecteren.
EEa is natuurlijk wel afhankelijk van je kennis van zaken en/of budget.
HTTP GET requests gebruiken deze user agent string: FWVersionTestAgent
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
