image

Lastig te vinden bot kan computer onbruikbaar maken

zondag 13 december 2015, 08:17 door Redactie, 13 reacties

Al twee jaar wordt er een bot gebruikt om bedrijven en organisaties te bespioneren, maar de malware laat nauwelijks sporen achter en kan computers onbruikbaar maken. Daarvoor waarschuwt het Amerikaanse beveiligingsbedrijf FireEye, dat de malware Latentbot noemt.

Volgens het beveiligingsbedrijf wordt Latentbot al sinds halverwege 2013 ingezet, maar is het erin geslaagd om nauwelijks sporen op internet en besmette systemen achter te laten. De malware wordt verspreid via Word-documenten die van oude kwetsbaarheden in het Office-programma gebruikmaken. In het geval bedrijven hun Word-versie niet hebben gepatcht, kan het openen van het document ervoor zorgen dat er automatisch een downloader op de computer wordt geplaatst, die vervolgens een remote access Trojan (RAT) en Latentbot downloadt.

Latentbot verstopt zich korte tijd in het werkgeheugen van de computer, om zo niet te worden gedetecteerd. Hiervoor verbergt Latentbot zich in de processen van geopende applicaties of het Windowsregister. In het geval de malware een laptop heeft besmet, wordt de batterijstatus gecontroleerd. Als die bijna leeg is, voorkomt Latentbot dat het systeem in de slaapstand gaat of het scherm uitschakelt. Naast het stelen van gegevens kan Latentbot ook toetsaanslagen opslaan, een verborgen VNC Remote Desktop draaien, de desktop manipuleren en muisklikken onderscheppen.

Onbruikbaar maken

Een andere eigenschap van de malware is de mogelijkheid om de Master Boot Record (MBR) van de harde schijf te wissen. De MBR bevat de opstartinformatie van het systeem. In het geval die wordt gewist zal het besturingssysteem niet meer kunnen worden gestart, wat de computer op dat moment onbruikbaar maakt. Om deze actie uit te voeren kunnen de aanvallers achter Latenbot via de verborgen VNC Remote Desktop de opdracht 'killosanduninstalls' uitvoeren.

Naast het wissen van de MBR zal de malware vervolgens ook alle sporen van zichzelf in het Windowsregister en het bestandssysteem verwijderen. Ondanks de technische eigenschappen van Latentbot om niet te worden gedetecteerd, kan het monitoren van het uitgaande verkeer van systemen helpen om de malware te vinden, zo stelt het beveiligingsbedrijf.

Reacties (13)
13-12-2015, 10:12 door karma4
Wat is er zo bijzonder aan deze constatering? We weten het denk wel maar willen het niet toegeven.

Met software kunnen we nooit bewijzen het foutloos en geen onbedoelde functionaliteit heeft. Al geef je alle code vrij om in te kijken niemand is in staat alles te overzien en te begrijpen en de ongelooflijke hoeveelheid aan te kunnen.
--> Leef met het gegeven dat foutloze software niet bestaat.

Welke fouten in software bekend worden is vaak maar een klein deel van wat er werklijk aan fouten is. Het gaat niet om wat je weet maar wat je niet weet. Blacklisting (virusscanning malwaredetetctie) dekt maar een deel Whitelisting is betrouwbaarder maar legt veel meer beperkingen op. (telemetry)
--> Leef met het gegeven dat je meer moet doen dan "best practices" van een verkoper opvolgen.

De opmerkingen over de herkenning van ongewenst data-gedrag lijkt op wat de marketing mensen als profiling inzetten. Die zelfde technologie ken je goed kun je goed gebruiken om ongewenste data-lekken op tijd te ontdekken. Het is een martkt van Fireeye. Ze hebben het ook aan Target geleverd. De reactive/response faalde echter, verkopen moisten door.

Wat ik ook mis: Waarom zou er kritische data/gegevens op een machine staan waarmee je normaal niet bijzonder werk doet zoals internet op gaan. Om met de computers die kritische zaken doen op internet spelletjes te doen sites te bezoeken waarom eigenlijk. Wat kost nu een aparte machine / account de gescheiden alleen voor die kritische taken gebruikt worden.
13-12-2015, 12:23 door Anoniem
Door karma4:Wat ik ook mis: Waarom zou er kritische data/gegevens op een machine staan waarmee je normaal niet bijzonder werk doet zoals internet op gaan. Om met de computers die kritische zaken doen op internet spelletjes te doen sites te bezoeken waarom eigenlijk. Wat kost nu een aparte machine / account de gescheiden alleen voor die kritische taken gebruikt worden.

Ik mis even de relatie tussen spelletjes en deze malware. Voor zover ik het begrijp komt deze malware binnen via Word documenten. Dat zijn documenten die, zeker op een bedrijfsPC, veelvuldig uitgewisseld worden. Ook bij ons op het werk lijkt het alsof mensen (ook van leveranciers) liever een Word document opsturen dan hun tekst in de mail in te tikken.

Als ik kijk naar wat deze malware doet, lijkt hij mij voornamelijk gebruikt te worden bij spear phishing. In dat opzicht ben ik blij met onze managementsecretaresses. Die hebben al menig verdacht document weten te blokkeren voor het bij het management terecht kwam.

Peter
13-12-2015, 13:41 door Anoniem
Door karma4: Wat is er zo bijzonder aan deze constatering? We weten het denk wel maar willen het niet toegeven.

Met software kunnen we nooit bewijzen het foutloos en geen onbedoelde functionaliteit heeft. Al geef je alle code vrij om in te kijken niemand is in staat alles te overzien en te begrijpen en de ongelooflijke hoeveelheid aan te kunnen.
--> Leef met het gegeven dat foutloze software niet bestaat.
Dat doen we ook, updates zijn daar een voorbeeld van.
Echter, winst prevaleert boven functionaliteit.
Daarnaast is er een verschil tussen functionaliteit en gebruik.
Functionaliteit = bijv. SCADA (kan DOS 1.1 zijn), gebruik = bijv. fakeboek (waarbij alles pracht en praal moet zijn voor de eindgebruiker).
Een fysieke, mechanische scheiding tussen deze 2 functies van het internet, is mijns inziens dan ook zeer wenselijk.


Door karma4: Welke fouten in software bekend worden is vaak maar een klein deel van wat er werklijk aan fouten is. Het gaat niet om wat je weet maar wat je niet weet. Blacklisting (virusscanning malwaredetetctie) dekt maar een deel Whitelisting is betrouwbaarder maar legt veel meer beperkingen op. (telemetry)
--> Leef met het gegeven dat je meer moet doen dan "best practices" van een verkoper opvolgen.
U maakt een denkfout waarmee u uw hele stelling onderuit haalt.
Namelijk: "best practices" bestaan niet, "good practices" zijn een noodzakelijk kwaad als gevolg van de contaminatie van het internet door eindgebruikers met alle gevolgen van dien.

Door karma4: De opmerkingen over de herkenning van ongewenst data-gedrag lijkt op wat de marketing mensen als profiling inzetten. Die zelfde technologie ken je goed kun je goed gebruiken om ongewenste data-lekken op tijd te ontdekken. Het is een martkt van Fireeye. Ze hebben het ook aan Target geleverd. De reactive/response faalde echter, verkopen moisten door.
Wederom mist u een belangrijk punt. HIPS is wel degelijk een nuttig middel, echter, de opgeslagen logbestanden zouden misbruikt kunnen worden door derden.
Daar een organisatie zelf verantwoordelijk is voor het beheer van deze logbestanden, is diezelfde organisatie ook verantwoordelijk voor het voorkomen van misbruik. Het vangnet dat dat moet garanderen, heet de Wet.

Door karma4: Wat ik ook mis: Waarom zou er kritische data/gegevens op een machine staan waarmee je normaal niet bijzonder werk doet zoals internet op gaan. Om met de computers die kritische zaken doen op internet spelletjes te doen sites te bezoeken waarom eigenlijk. Wat kost nu een aparte machine / account de gescheiden alleen voor die kritische taken gebruikt worden.
Ik snap de correlatie met het artikel niet.
Een strikt gescheiden, zakelijke machine, moet toch overweg kunnen gaan met geïmporteerde Word-bestanden, of niet?
(Zie ook uw punt over "software is altijd kapot.")


Tot slot mis ik, in uw reactie, een mogelijke oplossing voor de door u genoemde problemen.
13-12-2015, 14:14 door Anoniem
Door karma4: Wat is er zo bijzonder aan deze constatering? We weten het denk wel maar willen het niet toegeven.

..blubblubblubblubblub..

--> Leef met

..blubblubblubblubblub..

--> Leef met

..blubblubblubblubblub..

We weten het denk wel maar willen het niet toegeven : Leve met Windows is een keuze maar geen verplichte keuze.
13-12-2015, 15:14 door Ron625
Door Anoniem:Voor zover ik het begrijp komt deze malware binnen via Word documenten.
Dat zijn documenten die, zeker op een bedrijfsPC, veelvuldig uitgewisseld worden.
Het is niet voor niets, dat de overheden en gesubsidieerde instellingen verplicht zijn, om met openstandaarden te werken.
Een overheid, die mij een DOC, of een DOCx file toestuurt, heeft een groot probleem, want dat is verboden!
Jammer, dat zoveel ambtenaren het niet (willen) weten.
Door Anoniem:Leve met Windows is een keuze maar geen verplichte keuze.
Gelukkig niet, dan zou ik een privacy-schendend systeem hebben :-)
13-12-2015, 15:14 door karma4
Door Anoniem: Dat doen we ook, updates zijn daar een voorbeeld van. Echter, winst prevaleert boven functionaliteit.
Daarnaast is er een verschil tussen functionaliteit en gebruik. Functionaliteit = bijv. SCADA (kan DOS 1.1 zijn), gebruik = bijv. fakeboek (waarbij alles pracht en praal moet zijn voor de eindgebruiker).
Een fysieke, mechanische scheiding tussen deze 2 functies van het internet, is mijns inziens dan ook zeer wenselijk.
Kunnen we het over eens zijn. Zeker die scada afscheiden.
Nog wel iets: LCM Life Cycle management begint met de applicatie/functionaliteit centraal te stellen. Dat is niet denken vanuit een machine/OS. Het budget voor benodigd werk moet ook uit die hoek komen. Dat is niet dat de winst prevaleert maar bepaalde zaken (lcm) gewoon vergeten worden. Nieuwbouw vind men leuk en te overzien, daar komen de budgetten. Het benodigede vervolg met onderhoud wordt vergeten als PM weggezet. Dan lukt het niet om dat ooit nog goed te krijgen. Daarnaast komen er later vaak "bezuinigingen" die het onderhoud onderuit halen.
Ja eens de winst als gedachte is een bedreiging voor kwaliteit..

U maakt een denkfout waarmee u uw hele stelling onderuit haalt.
Namelijk: "best practices" bestaan niet, "good practices" zijn een noodzakelijk kwaad als gevolg van de contaminatie van het internet door eindgebruikers met alle gevolgen van dien.
Men heeft het vaak over DMAIC PDCA dat is inderdaad "good practice" volgens ITIL. Je moet constant evalueren en als je dat nodig vind de boel verder verbeteren. Dat ik het "best practices" tussen quotes heb gezet was juist om die reden. Hoe vaak zie in een project niet gestuurd worden op die vuistregeltjes met alle gevolgen van dien. Dank je voor de alertheid.

Wederom mist u een belangrijk punt. HIPS is wel degelijk een nuttig middel, echter, de opgeslagen logbestanden zouden misbruikt kunnen worden door derden. Daar een organisatie zelf verantwoordelijk is voor het beheer van deze logbestanden, is diezelfde organisatie ook verantwoordelijk voor het voorkomen van misbruik. Het vangnet dat dat moet garanderen, heet de Wet.
Ik ben voorstander van HIPS etc. Organisaties vinden zoiets helaas te vaak te lastig. Ze zouden het als voorwaarde moeten zien. Met de ISO27k wordt het ook gewoon genoemd om in te vullen. Voor financials via de toezichthouder (niet de wet) genoemd. De wet WPB komt pas met persoonsgegevens en het gebruik daarvan in beeld. Er zijn er meer (SOX Basel Solvency HIPAA).
Overigens: In het voorbeeld van Target warden die logbestanden in India geanalyseerd. Die gaven een signaal dat er iets niet goed zat af. De reactie daarop bleef uit. Het waren de producten van Fireeye die gebruikt warden, ze waren er niet blij mee.

Ik snap de correlatie met het artikel niet.
Een strikt gescheiden, zakelijke machine, moet toch overweg kunnen gaan met geïmporteerde Word-bestanden, of niet?
(Zie ook uw punt over "software is altijd kapot.")
Klopt met een strikt gescheiden machine en aparte beheerdersrollen en dan HIPS (SIEM) er naast moet er niet zo snel iets heel erg fout gaan. Als je echter kijkt hoe vaak beheerdesrollen niet afgescheiden worden en machines niet gescheiden worden dan is dat triest.

Tot slot mis ik, in uw reactie, een mogelijke oplossing voor de door u genoemde problemen.
Ah de bekende lijstjes van hardening (NIST) en alle aandachtspuntjes zoals in de ISO27k reeks?
Staat los van een OS, het is risico/impact etc. En wat zie je gebeuren....
13-12-2015, 19:20 door karma4
Door Anoniem: Ik mis even de relatie tussen spelletjes en deze malware. Voor zover ik het begrijp komt deze malware binnen via Word documenten. Dat zijn documenten die, zeker op een bedrijfsPC, veelvuldig uitgewisseld worden. Ook bij ons op het werk lijkt het alsof mensen (ook van leveranciers) liever een Word document opsturen dan hun tekst in de mail in te tikken.

Als ik kijk naar wat deze malware doet, lijkt hij mij voornamelijk gebruikt te worden bij spear phishing. In dat opzicht ben ik blij met onze managementsecretaresses. Die hebben al menig verdacht document weten te blokkeren voor het bij het management terecht kwam.

Peter

Klopt Peter, je management secregtaresses zijn voor jou de aparte machine en tevens Firewall. Nette situatie bijna ideaal.
Nu zijn er wat hacks en braeaches geweest waar de secretaresses en het doel niets doorhadden. Op de zelfde machine hadden ze naast hun normale business werk ook de Admin-functie open staan. Een voorbeeld:
https://www.cryptocoinsnews.com/new-details-emerge-bitstamps-5-million-bitcoin-hack/

Overigens ken je de verhalen dat juist managers de rommel binnenhalen en binnenkrijgen. Ze zijn gewilde targets hebben macht od medewerkers wat te laten doen ook al hebben ze zelf niet de kennis. Een demo-cd zou kwaad kunnen?
13-12-2015, 23:16 door Anoniem
Door karma4: Wat is er zo bijzonder aan deze constatering? We weten het denk wel maar willen het niet toegeven.

Met software kunnen we nooit bewijzen het foutloos en geen onbedoelde functionaliteit heeft. Al geef je alle code vrij om in te kijken niemand is in staat alles te overzien en te begrijpen en de ongelooflijke hoeveelheid aan te kunnen.
--> Leef met het gegeven dat foutloze software niet bestaat.

Welke fouten in software bekend worden is vaak maar een klein deel van wat er werklijk aan fouten is. Het gaat niet om wat je weet maar wat je niet weet. Blacklisting (virusscanning malwaredetetctie) dekt maar een deel Whitelisting is betrouwbaarder maar legt veel meer beperkingen op. (telemetry)
--> Leef met het gegeven dat je meer moet doen dan "best practices" van een verkoper opvolgen.

De opmerkingen over de herkenning van ongewenst data-gedrag lijkt op wat de marketing mensen als profiling inzetten. Die zelfde technologie ken je goed kun je goed gebruiken om ongewenste data-lekken op tijd te ontdekken. Het is een martkt van Fireeye. Ze hebben het ook aan Target geleverd. De reactive/response faalde echter, verkopen moisten door.

Wat ik ook mis: Waarom zou er kritische data/gegevens op een machine staan waarmee je normaal niet bijzonder werk doet zoals internet op gaan. Om met de computers die kritische zaken doen op internet spelletjes te doen sites te bezoeken waarom eigenlijk. Wat kost nu een aparte machine / account de gescheiden alleen voor die kritische taken gebruikt worden.
Zit je wel op het juiste forum?
14-12-2015, 09:32 door Anoniem
Door Anoniem:
Door karma4: Wat is er zo bijzonder aan deze constatering? We weten het denk wel maar willen het niet toegeven.

Met software kunnen we nooit bewijzen het foutloos en geen onbedoelde functionaliteit heeft. Al geef je alle code vrij om in te kijken niemand is in staat alles te overzien en te begrijpen en de ongelooflijke hoeveelheid aan te kunnen.
--> Leef met het gegeven dat foutloze software niet bestaat.

Welke fouten in software bekend worden is vaak maar een klein deel van wat er werklijk aan fouten is. Het gaat niet om wat je weet maar wat je niet weet. Blacklisting (virusscanning malwaredetetctie) dekt maar een deel Whitelisting is betrouwbaarder maar legt veel meer beperkingen op. (telemetry)
--> Leef met het gegeven dat je meer moet doen dan "best practices" van een verkoper opvolgen.

De opmerkingen over de herkenning van ongewenst data-gedrag lijkt op wat de marketing mensen als profiling inzetten. Die zelfde technologie ken je goed kun je goed gebruiken om ongewenste data-lekken op tijd te ontdekken. Het is een martkt van Fireeye. Ze hebben het ook aan Target geleverd. De reactive/response faalde echter, verkopen moisten door.

Wat ik ook mis: Waarom zou er kritische data/gegevens op een machine staan waarmee je normaal niet bijzonder werk doet zoals internet op gaan. Om met de computers die kritische zaken doen op internet spelletjes te doen sites te bezoeken waarom eigenlijk. Wat kost nu een aparte machine / account de gescheiden alleen voor die kritische taken gebruikt worden.
Zit je wel op het juiste forum?
Geen idee op welk forum jij zit maar ik zit op een nieuwssite.
14-12-2015, 18:03 door karma4 - Bijgewerkt: 14-12-2015, 18:04
Door Anoniem: Geen idee op welk forum jij zit maar ik zit op een nieuwssite.
Ik ben met security bezig. Met halve waarheden en sensatie zoekend met ogenschijnlijke nieuwtjes kun je naar een nieuwsite.
15-12-2015, 04:01 door Anoniem
gelukkig heb ik een hond
15-12-2015, 14:07 door Anoniem
Volgens mij maakt dit virus een computer niet onbruikbaar. Even OS er opnieuw op en de computer werkt weer als vanouds. Als deze onbruikbaar zou worden, zouden er onderdelen defect moeten raken.
16-12-2015, 21:00 door Rarsus
@14:07: dat is ook niet het doel van deze malware. Liever hebben ze dat alles goed blijft werken, dan kunnen ze namelijk verder. Het kunnen verwijderen van de MBR is gewoon een kill-switch. Leuk dat je daarna de pc opnieuw kan inrichten (eerder weggooien en een nieuwe kopen, je weet immers nooit of er nog een bootkit is geïnstalleerd of ergens de firmware is aangepast, maar bij een dbedrijf met 1000 pc's wordt het alweer vervelender.

@karma, goede punten allemaal, alleen gaat het artikel hier niet over. Doordat de malware in-memory draait is deze onzichtbaar voor AV, whitelisting etc. maar is je systeem wel de sjaak. In een zakelijke omgeving betekent dit dus dat ongeveer 2 dagen later de controle mag delen met de hacker. (Gemiddelde tijd totdat ze DA zijn).

Omdat je de malware niet ziet, hoe weet je dan dat je gehackt bent? Het analyseren van netwerkverkeer behoort tot de mogelijkheden, maar ja, als ik deze malware zou schrijven, zou gebruiken, communiceer dan maar over poort 443 (of poort 53).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.