Meer 'onzichtbare' malware met eigen TCP/IP stack ontdekt
Cybercriminelen gebruiken steeds vaker een nieuwe methode om firewalls te omzeilen en malware onzichtbaar op het netwerk te maken. Het gaat om de Ronvix-malware, wat oorspronkelijk een bootkit is. Dit soort malware is een rootkit-variant die in staat is om de Master Boot Record (MBR) van de harde schijf te infecteren. Een onlangs ontdekte Ronvix-variant gebruikt echter een nieuwe truc.
De bootkit gebruikt namelijk een eigen TCP/IP stack, een verzameling van netwerkprotocollen. De implementatie van deze 'privé-stack' is op een open source TCP/IP-project gebaseerd en kan vanuit zowel kernel als user modes worden benaderd. Het voornaamste doel van deze privé-stack is om onzichtbaar te blijven.
Het maakt het mogelijk om de NDIS library te omzeilen en zo uiteindelijk de firewall te omzeilen. De Network Driver Interface Specification (NDIS) is een door Microsoft en 3Com ontwikkelde standaard die de communicatie tussen hardware en protocollen regelt. De poort die de privé-stack gebruikt is niet op een normale wijze, zoals via het nbtstat-commando, te benaderen.
Onzichtbaar
"Dit betekent dat Rovnix de netwerkcommunicatie op een nieuwe manier onzichtbaar heeft gemaakt", zegt Chun Feng van het Microsoft Malware Protection Center. Traditionele manieren om netwerkverkeer te analyseren, bijvoorbeeld via monitoringsoftware, is mogelijk niet in staat om de pakketten te zien die via de privé-stack worden verstuurd en ontvangen.
De besmette machine maakt echter contact met het domein youtubeflashserver.com. Als netwerkbeheerders dit domein zien, dan weten ze dat een computer geïnfecteerd is geraakt. Windows Defender zou de malware inmiddels herkennen.
Eind vorig jaar werd er ook al malware met een eigen TCP/IP-stack ontdekt. "Het lijkt erop dat dit een nieuwe trend voor dit soort malware aan het worden is", aldus Feng.
Dat hangt heel erg van de malware af natuurlijk, als dit via poort 80 (http) gaat communiceren dan kun je het verkeer wel zien op je externe firewall maar dat is niet echt een poort die je even dicht zet.
Je zult dan naast een firewall toch iets als een Intrusion Detection System (IDS) moeten draaien die je verkeer doorlicht en blokkeert als het verdacht lijkt.
Je zou eventueel nog je netwerk kunnen dichtspijkeren en alles via een proxy kunnen leiden waar je authentication op zet, helaas zal echt slimme malware deze authentication uit je OS settings kunnen lezen en gebruiken.
Zal mogelijk wel een klusje worden om het te filteren (maar in het bovengenoemde geval dat er verkeer gaat naar het domein "youtubeflashserver.com" is dat wel weer te filteren. Maar natuurlijk is het weer beter als je ook payload gaat inspecteren.
EEa is natuurlijk wel afhankelijk van je kennis van zaken en/of budget.
HTTP GET requests gebruiken deze user agent string: FWVersionTestAgent
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
