Microsoft ontdekt nieuwe techniek van cyberspionnen
Microsoft heeft een nieuwe techniek ontdekt die een groep cyberspionnen toepast om bij gehackte overheden, bedrijven en organisaties soms jaren onopgemerkt te blijven. De techniek wordt "hotpatching" genoemd en was voor zover bekend nog nooit bij echte aanvallen waargenomen, tot nu toe.
Hotpatching is een techniek voor het installeren van updates zonder dat een proces moet worden herstart. Microsoft omschrijft het als een niet ondersteunde feature van Windows waarmee het mogelijk is om patches voor uitvoerbare bestanden en dll-bestanden te installeren die actief in gebruik zijn. Om de feature te kunnen gebruiken zijn beheerdersrechten vereist.
De mogelijkheid om hotpatching toe te passen verscheen voor het eerst in Windows Server 2003 en is gebruikt voor het uitrollen van 10 patches voor dit besturingssysteem, aldus Microsoft. In het geval van de nu waargenomen aanvallen maakt hotpatching het voor een aanvaller mogelijk om detectie door virusscanners te voorkomen en backdoors te verbergen. Sommige van de aangevallen organisaties zouden al jaren zijn gehackt voordat de spionnen werden ontdekt.
De groep die deze techniek toepast wordt door Microsoft 'Platinum' genoemd. De softwaregigant vernoemt cyberspionagegroepen naar chemische elementen. Platinum is sinds 2009 actief en heeft het voorzien op overheidsorganisaties, defensie-instituten, inlichtingendiensten en telecomproviders in Zuid- en Zuidoost-Azië. Daarbij is de groep niet uit op direct financieel gewin, maar wordt er informatie gezocht voor indirecte economische voordelen.
Hotpatching
Het theoretisch gebruik van hotpatching is al verschillende keren door beveiligingsonderzoekers besproken (pdf), maar de techniek werd voor het eerst op een besmette Windowscomputer in Maleisië waargenomen. Via hotpatching wisten de cyberspionnen langere tijd toegang tot het netwerk van de aangevallen bedrijven te behouden, zonder te worden opgemerkt. Via de techniek wisten de aanvallers namelijk hun backdoor in het systeem voor de aanwezige beveiligingssoftware te verbergen.
Om in eerste instantie toegang tot bedrijven en organisaties te krijgen maken de aanvallers gebruik van verschillende aanvalsmethodes, waaronder zero day-exploits en spear phishing. Het gaat zowel om spear phishingmails gericht tegen de bedrijven en organisaties zelf, maar ook worden individuele privé-accounts van medewerkers aangevallen, die vervolgens als springplank kunnen dienen.
Maatregelen
In een uitgebreid rapport (pdf) over de groep geeft Microsoft het advies om beveiligingsupdates snel uit te rollen, macro's uit te schakelen, een goede firewall te gebruiken en het personeel te trainen. Hoewel de groep soms aanvallen uitvoert waar nog geen updates voor beschikbaar zijn, de zogeheten zero day-exploits, is nog steeds de hulp van de gebruiker vereist. Het gaat dan om het openen van een document of link. "Securitytraining kan het bewustzijn vergroten en het risico van deze aanvalsvector verkleinen", aldus Microsoft. Verder wordt aangeraden om op Windows 10 over te stappen. Hotpatching en verschillende andere aanvalstechnieken die Platinum toepast zouden namelijk niet op de nieuwste Windowsversie werken.
Overleeft deze techniek een reboot? Dan zou je een "nieuw" bestand hebben wat AV of integrity hashing kan detecteren.
Zo niet, dan zal de aanvaller opnieuw moeten toeslaan of een andere vorm van persistence op het systeem hebben.
en vervolgens:
maar de techniek werd voor het eerst op een besmette Windowscomputer in Maleisië waargenomen
en vervolgens:
maar de techniek werd voor het eerst op een besmette Windowscomputer in Maleisië waargenomen
Maar om vervolgens je gelijk willen halen door zinnen half af te breken...
De techniek wordt "hotpatching" genoemd en was voor zover bekend nog nooit bij echte aanvallen waargenomen, tot nu toe.
Begrijp je het nu wel?
Dit veranderd geen bestanden en overleeft geen reboot, maar ondertussen is de data al gestolen, de bestanden al versleuteld de rootkit al geïnstalleerd enz.
Voeg dan niets toe.... Stond er trouwens ook niet een stukje over Linux icm statistieken vandaag op security? Daar straks weer niemand over zo heftig...
Voeg dan niets toe.... Stond er trouwens ook niet een stukje over Linux icm statistieken vandaag op security? Daar straks weer niemand over zo heftig...
Mocht ik dat helemaal uit de doeken gaan doen, zondig ik dan niet tegen bepaalde regels?
Vrij recent nog ondervonden met die Win10 (als ik die eens gebruik) dat je na de updates je best uw instellingen weer eens gaat nakijken die u zelf gezet hebt bij de privacy want bepaalde van die instellingen durft men na de update/grades als eens terug veranderen.
Ik geloof zelfs (niet zeker van) dat men O&O shutup Win10 al weet te manipuleren.
Ik gebruik, bij wijze van test, verschillende OS systemen. Win7, Win10 service (weinig), Linux, Qubes, Tails op snelle usb stick's.
Zomaar voor de lol. (als thuisgebruiker)
Wordt eens tijd om dit ook in Windows toe te passen. Vreselijk continu die melding: ''Computer opnieuw opstarten - Uitstellen''. In zelfrijdende auto's kan Windows 10 ook niet tussentijds worden gereboot lijkt me. Zelfs in de moderne apps op mobile devices kan dit nog niet; zou zo ontzettend veel tijd, kosten schelen. Met andere woorden: voeg deze functie toe. Waardevolle kennis die spionnenkennis.
Voeg dan niets toe.... Stond er trouwens ook niet een stukje over Linux icm statistieken vandaag op security? Daar straks weer niemand over zo heftig...
Mocht ik dat helemaal uit de doeken gaan doen, zondig ik dan niet tegen bepaalde regels?
Vrij recent nog ondervonden met die Win10 (als ik die eens gebruik) dat je na de updates je best uw instellingen weer eens gaat nakijken die u zelf gezet hebt bij de privacy want bepaalde van die instellingen durft men na de update/grades als eens terug veranderen.
Ik geloof zelfs (niet zeker van) dat men O&O shutup Win10 al weet te manipuleren.
Ik gebruik, bij wijze van test, verschillende OS systemen. Win7, Win10 service (weinig), Linux, Qubes, Tails op snelle usb stick's.
Zomaar voor de lol. (als thuisgebruiker)
Als je met Linux de distro Ubuntu bedoelt, wil je vast even hier kijken: https://fixubuntu.com/
Overleeft deze techniek een reboot? Dan zou je een "nieuw" bestand hebben wat AV of integrity hashing kan detecteren.
Zo niet, dan zal de aanvaller opnieuw moeten toeslaan of een andere vorm van persistence op het systeem hebben.
Grappig. is al zo oud als de weg naar... Hoop niet dat ze nu pas wakker worden. mitm injectie tijdens update, en vrij toegang, alleen eerst even wat cert controles uitschakelen.
En het feit dat ze zd's gebruiken irt geen geld buitmaken, maar alleen info stelen. Weet toch iedereen dat het de ... bigfirm is.
Echt de meest iritante domme personen die bestaan. En ze weten onderling ook echt niet waar ze mee bezig zijn. Dus het zijn net een stelletje domme robots. "oh ik ben zo belangrijk, kijk mij eens interesant zijn", sukkels weten helemaal niet waar ze voor staan. Net van school, ect.
BAH
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
