image

Onderzoekers kraken Linux-ransomware door ontwerpfout

dinsdag 10 november 2015, 10:50 door Redactie, 8 reacties

Onderzoeker zijn erin geslaagd de Linux.Encoder-ransomware voor Linux te kraken, zodat slachtoffers zonder te betalen hun bestanden kunnen terugkrijgen. De ransomware werd vorige week door het anti-virusbedrijf Doctor Web aangekondigd. Destijds was onbekend hoe de ransomware zich verspreidde.

Wel was bekend dat het voornamelijk webservers waren die werden geïnfecteerd. Nu meldt het Roemeense anti-virusbedrijf Bitdefender dat aanvallers een kwetsbaarheid in het populaire contentmanagementsysteem Magento gebruiken om toegang tot servers te krijgen. Vervolgens installeren ze de ransomware, die erg veel op Windows-ransomware lijkt. Net als Windows-gebaseerde ransomware versleutelt Linux.Encoder bestanden met AES. De symmetrische sleutel wordt dan versleuteld met een asymmetrisch encryptie algoritme (RSA).

Bij het ontwerp van de ransomare hebben de makers een grote fout gemaakt, waardoor onderzoekers van Bitdefender de AES-sleutel kunnen achterhalen zonder dat die eerst met de RSA-privésleutel moet worden ontsleuteld. De ransomware gebruikt namelijk geen willekeurige sleutels en initialisatievectoren voor de encryptie, maar leidt deze twee stuks informatie af van een bepaalde functie in combinatie met de tijd van de encryptie. Deze informatie is eenvoudig terug te halen en is volgens de onderzoekers een grote ontwerpfout. Ze hebben nu een tool (zip) ontwikkeld die automatisch versleutelde bestanden kan ontsleutelen.

Reacties (8)
10-11-2015, 10:57 door Anoniem
Helaas maken ook veel ontwikkelaars van legitieme programma's de fout om een onveilige bron voor "random" gegevens te gebruiken. (rand is normaal gesproken afgeleid van de systeemtijd en in het geheel niet veilig.)

Nu Bitdefender deze simpele fout onthuld heeft, ben ik wel bang dat de malwareauteur zijn creatie zal verbeteren.
10-11-2015, 11:32 door Anoniem
Zoals ik al tijden gezegd heb: wie zijn OS niet update krijgt sooner or later te maken met de gevolgen ervan.
Hier dus weer een mooi voorbeeld van een veiligheids-fail die simpel te vermijden was..
10-11-2015, 12:07 door Dick99999 - Bijgewerkt: 10-11-2015, 12:09
Is dit nu een voorbeeld van een situatie die geheim gehouden had moeten worden? (Of in ieder geval voor paar maanden.) Waarom zou je criminelen opvoeden als ze dit soort fouten maken?

Dan doet https://www.security.nl/posting/450344/Ransomware+vernielt+bestanden+door+programmeerfout het een stuk beter: BleepingComputer kiest ervoor dit soort fouten niet bekend te maken . Maar in het geval van de referentie hebben ze de crimineel wel opgevoed door deze op een fout te wijzen: anders waren de encrypted bestanden van slachtoffers nooit meer terug te halen (te decrypten).

Alles uitgaande van situaties waarin de naïeve gebruiker of naïef bedrijf geen goede backup heeft, alleen dan ben je 't haasje voor deze vorm van afpersing.
10-11-2015, 15:10 door Anoniem
Door Dick99999: Is dit nu een voorbeeld van een situatie die geheim gehouden had moeten worden? (Of in ieder geval voor paar maanden.) Waarom zou je criminelen opvoeden als ze dit soort fouten maken?

Dan doet https://www.security.nl/posting/450344/Ransomware+vernielt+bestanden+door+programmeerfout het een stuk beter: BleepingComputer kiest ervoor dit soort fouten niet bekend te maken . Maar in het geval van de referentie hebben ze de crimineel wel opgevoed door deze op een fout te wijzen: anders waren de encrypted bestanden van slachtoffers nooit meer terug te halen (te decrypten).

Alles uitgaande van situaties waarin de naïeve gebruiker of naïef bedrijf geen goede backup heeft, alleen dan ben je 't haasje voor deze vorm van afpersing.

Ach dat kun je wel zeggen maar er zullen toch wel varianten op gebouwd worden waarin deze ontwerpfouten er uit gehaald worden ongeacht of ze nou wel of niet gedeeld worden door onderzoekers. Dat kun je in mijn optiek toch niet voorkomen.
10-11-2015, 15:45 door Anoniem
Door Anoniem: Zoals ik al tijden gezegd heb: wie zijn OS niet update krijgt sooner or later te maken met de gevolgen ervan.
Hier dus weer een mooi voorbeeld van een veiligheids-fail die simpel te vermijden was..

Het betreft een kwetsbaarheid in een applicatie (Magento) die niet tot een OS behoort.
Uiteraard had deze applicatie bijgewerkt moeten zijn naar de meest recente versie.
10-11-2015, 17:44 door Dick99999 - Bijgewerkt: 10-11-2015, 17:45
Door Anoniem:
Ach dat kun je wel zeggen maar er zullen toch wel varianten op gebouwd worden waarin deze ontwerpfouten er uit gehaald worden ongeacht of ze nou wel of niet gedeeld worden door onderzoekers. Dat kun je in mijn optiek toch niet voorkomen.
Er is toch niet voor niets zoiets als responsible disclosure. Aangepast, zou dat voor deze gevallen ook aangehouden kunnen worden: dus later informeren dan kan je maanden voorsprong krijgen. BleepingComputer behandelt dit juist, vind ik.
11-11-2015, 02:21 door Anoniem

Nice, but the latest variant/version has less coverage! Bad guys do not sit still!

https://www.virustotal.com/en/file/f5ca1277b7fde07880a691f7f3794a11980a408c510442fde486793ee56ad291/analysis/

Scary to see so many products missing it!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.