image

Unieke usb-malware kan offline computers infecteren

woensdag 23 maart 2016, 15:41 door Redactie, 6 reacties

Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben naar eigen zeggen unieke en gevaarlijke usb-malware ontdekt die in staat is om offline computers te infecteren en ontwikkeld is om allerlei gegevens van besmette systemen te stelen. De malware wordt USB Thief genoemd.

Om computers te infecteren maakt USB Thief gebruik van plug-ins of dll-bestanden. Volgens de onderzoekers spelen de malwaremakers hierbij in op de trend dat usb-sticks vaak "draagbare" applicaties bevatten die zonder installatie werken, zoals Firefox, Notepad++ en TrueCrypt. Zodra gebruikers een dergelijke applicatie starten wordt ook de malware in de achtergrond geladen. Het is echter onbekend hoe een besmette usb-stick bij het beoogde doelwit terechtkomt.

Hardware

USB Thief is ook opvallend omdat het alleen op een enkele usb-stick werkt. De malware is zo ontwikkeld dat die niet op andere usb-apparaten dan het originele apparaat kan werken. Voor elk exemplaar is er dan ook een andere usb-stick. Hiervoor maakt USB Thief gebruik van encryptie. De encryptiesleutel is afgeleid van het hardware-id van de usb-stick en bepaalde schijfeigenschappen. Daardoor kan de malware alleen vanaf de betreffende usb-stick worden geladen. Dit maakt het lastiger voor onderzoekers om de malware te analyseren.

Het belemmert echter ook de verspreiding van USB Thief. Aan de andere kant voorkomt het wel dat de malware buiten de aangevallen omgeving terechtkomt, aldus de onderzoekers. Dit was bijvoorbeeld het geval met de Stuxnetworm, die systemen ook via usb-sticks infecteerde. Stuxnet infecteerde echter ook usb-sticks die op de besmette computer werden aangesloten, waardoor de malware zich uiteindelijk buiten de aangevallen omgeving verspreidde.

Onderzoek

Omdat de onderzoekers niet over de besmette usb-sticks beschikten maar alleen de malware-bestanden, besloten ze het hardware-id van het oorspronkelijke usb-apparaat via brute force te achterhalen en gebruikten daarbij veelvoorkomende schijfeigenschappen. Hierdoor kon uiteindelijk de werking van de malware worden achterhaald. USB Thief blijkt alle databestanden op besmette computers te stelen, zoals afbeeldingen en documenten.

Ook verzamelt USB Thief informatie uit het Windowsregister, bestandslijsten van alle harde schijven en informatie die via het programma WinAudit wordt verzameld. Hierbij laat de malware geen enkel spoor achter. "Nadat de usb-stick is verwijderd kan niemand meer zien dat er gegevens zijn gestolen", zegt onderzoeker Tomas Gardon.

Usb-poorten uitschakelen

Om infecties door USB Thief te voorkomen adviseert ESET om usb-poorten uit te schakelen. In het geval dit niet mogelijk is wordt aangeraden om beleid op te stellen voor het gebruik van usb-apparaten en is het raadzaam om het personeel te trainen. "Mensen moeten de risico's kennen van usb-apparaten die van onbetrouwbare bronnen afkomstig zijn. Uit verschillende onderzoeken blijkt dat er een grote kans is dat mensen gevonden usb-sticks in hun computer steken", stelt onderzoeker Peter Stancik.

Reacties (6)
23-03-2016, 16:02 door Anoniem
Wie enabled er nou het starten van applicaties vanaf verwisselbare media???
Als je dat doet dan moet je niet gek kijken dat alles in de soep loopt...

Mensen mensen, bestudeer toch eens Applocker!
23-03-2016, 16:17 door Anoniem
Encrypten van de hardware ID is een beetje overdreven. Gewoon hardcoden zou al voldoende zijn. Je zou dus zeggen dat het overkill is. Dus puur een pesterijtje voor anti-virus researchers.

USB flash drives zijn sowieso onveilig omdat de firmware onveilig is. De vraag is dan ook waarom je niet een USB key met aangepaste firmware zou gebruiken. Dat valt nog minder op.

Er zijn USB keys te koop met beveiligde firmware.
23-03-2016, 17:23 door Anoniem
Dat virus kan tog ook in de firmware zitten ?, zodra een nieuwe stick in je windows word gestoken, gaat ie automaties de juiste drivers installeren, ook al staat autorun uit?,
ik heb er zelf niet veel verstand van, het maakt mij wel nieuwschierig.
23-03-2016, 18:39 door Anoniem
O, dan worden vanaf nu alle USB-sticks die in mijn systeem worden gestoken per direct mijn eigendom...
23-03-2016, 19:59 door Anoniem
is het al bijna 1 april ?
24-03-2016, 01:35 door Anoniem
Door Anoniem: Wie enabled er nou het starten van applicaties vanaf verwisselbare media???
Als je dat doet dan moet je niet gek kijken dat alles in de soep loopt...

Mensen mensen, bestudeer toch eens Applocker!

Dat helpt niet tegen firmware.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.