image

Banken gehackt via macro-malware in Word-document

dinsdag 11 oktober 2016, 15:42 door Redactie, 13 reacties

Sinds begin dit jaar zijn verschillende banken gehackt via Word-documenten met kwaadaardige macro's. Criminelen stuurden de documenten naar bankpersoneel. Zodra de werknemers de macro's inschakelden werd de Odinaff Trojan op de computer geïnstalleerd, zo meldt beveiligingsbedrijf Symantec.

Naast het gebruik van Word-documenten verstuurden de aanvallers ook met wachtwoord beveiligde rar-bestanden. Als er op de bankcomputer een uitpakprogramma voor rar-bestanden was geïnstalleerd en werknemers vervolgens het uitgepakte bestand openden kon het systeem ook met de Trojan besmet raken. Via het Trojaanse paard hadden de criminelen toegang tot de computer en konden aanvullende malware en tools installeren. Zo werd bij interessante doelen de Batel-malware geïnstalleerd, die volledig in het geheugen draait.

Verder zou de groep criminelen ook malware voor specifieke computers hebben ontwikkeld waarmee bijvoorbeeld screenshots van openstaande schermen werden gemaakt. De meeste slachtoffers van de groep werden in de Verenigde Staten waargenomen, gevolgd door Hong Kong, Australië en Groot-Brittannië. Van bijna de helft van de slachtoffers kon niet worden vastgesteld om welke sector het precies gaat, maar in een derde van de gevallen betrof het banken.

Swift

Symantec zegt dat het ook bewijs heeft gevonden dat de groep Swift-gebruikers aanviel. De Society for Worldwide Interbank Financial Telecommunication (Swift) is een internationale coöperatieve organisatie voor internationale banktransacties. Banken kunnen via het Swift-systeem transacties uitvoeren. Eerder dit jaar wisten criminelen de Centrale Bank van Bangladesh te hacken en voerde via het Swift-systeem verschillende frauduleuze transacties uit. In totaal werd er op deze manier 81 miljoen dollar buitgemaakt. Ook de groep achter de Odinaff Trojan gebruikte het Swift-systeem bij de gehackte banken voor het uitvoeren van frauduleuze transacties en probeerde deze transacties vervolgens via malware voor de banken te verbergen.

Image

Reacties (13)
11-10-2016, 16:16 door Anoniem
Ik neem aan Windows only? Security.nl jullie mogen in ruil voor de voorgeschotelde reclame best iets meer energie in een artikel stoppen, MS-Word is er b.v. ook voor MacOS en die is niet bevattelijk voor dit document.

Indien 'we' aan moeten nemen dat alle malware die hier over de toonbank komt voor Windows is dan is dat wel een vermelding waard.
11-10-2016, 16:24 door Joep Lunaar
Kantoorautomatisering gebaseerd op MS Windows en MS Office creëert een niet of slecht nauwelijks beheersbaar beveiligingsprobleem en dat is niet alleen omdat het (te) veel wordt gebruikt.
11-10-2016, 16:31 door [Account Verwijderd]
Door Joep Lunaar: Kantoorautomatisering gebaseerd op MS Windows en MS Office creëert een niet of slecht nauwelijks beheersbaar beveiligingsprobleem en dat is niet alleen omdat het (te) veel wordt gebruikt.

Welnee.
Als je bureaublad beheerstools als Res PowerFuse gebruikt plus goede policies kunnen dit soort dingen gewoon zo goed als niet gebeuren. Geen macro's, geen exe w/e opslaan of starten etc etc.

Het is in grote delen van de gevallen een geldzaak; ICT wordt overal weggesneden (bij ING zelf enkele duizenden in Nederland en Belgie) en is altijd een sluitpost. Extra beheerders en goede beveiligingstools "kosten alleen maar geld".
Blij dat ik daar weg ben :/
11-10-2016, 16:44 door Rolfieo
Door Joep Lunaar: Kantoorautomatisering gebaseerd op MS Windows en MS Office creëert een niet of slecht nauwelijks beheersbaar beveiligingsprobleem en dat is niet alleen omdat het (te) veel wordt gebruikt.

Grote onzin. Gewoon een kwestie van goed inrichten en of de juiste software. En duidelijke afspraken tussen de business en ICT.
11-10-2016, 17:14 door Anoniem
Door Joep Lunaar: Kantoorautomatisering gebaseerd op MS Windows en MS Office creëert een niet of slecht nauwelijks beheersbaar beveiligingsprobleem en dat is niet alleen omdat het (te) veel wordt gebruikt.

Windows & Office kun je door middel van veel configuratieopties wel degelijk (via de 'echte' manier, niet allerlei hacks) goed hardenen waarmee dit soort zaken makkelijk kan worden voorkomen. Daarbij hoef je zeker niet altijd externe tools te gebruiken maar kun je veel bereiken met reguliere group policy objects en administrative templates.

Wel kun je je afvragen waarom die mogelijkheden er überhaupt in zitten, maar dat zal wel een doel hebben. Hoe dan ook zie ik niet helemaal hoe een alternatief (welk alternatief? LibreOffice op Linux?) een oplossing is. Daar geldt immers ook dat je continu aandacht moet blijven schenken aan security configuratie en patches.
11-10-2016, 19:02 door Anoniem
Door NedFox: Welnee.
Als je bureaublad beheerstools als Res PowerFuse gebruikt plus goede policies kunnen dit soort dingen gewoon zo goed als niet gebeuren. Geen macro's, geen exe w/e opslaan of starten etc etc.
Ja, maar de situatie is wel dat al die macro-mogelijkheden in de jaren '90 zijn geïntroduceerd vanuit een mentaliteit dat alles beter ging als je alles zoveel mogelijk met alles liet integreren, lees: door elkaar liet lopen. Dat je via allerlei instellingen en extra software dat weer in toom kan houden wil nog niet zeggen dat de uitgangspunten van het onderliggende ontwerp deugen.

Dat tegenwoordig documenten met en zonder macro's verschillende extensies hebben (.docm en .docx) is een verbetering, maar als ik het had mogen bedenken was er een ander onderscheid geweest:
• Documenten kunnen macro's bevatten, maar die hebben geen enkele mogelijkheid om buiten het document te treden. Geen toegang tot OLE/ActiveX/DLLs/whatever, geen toegang tot databases, tot het filesysteem, niets van dat alles. Een macro kan de inhoud van het document zelf benaderen maar daar houdt het mee op. De mogelijkheid tot meer is niet eens in het documentverwerkingsprogramma beschikbaar, zodat de kans op toegang ertoe via bugs geminimaliseerd wordt.
• Als er wel toegang tot zaken buiten het document nodig is kan dat door niet een script in een document in te bedden maar door een document in een script in te bedden. Je start dus een applicatie die bijvoorbeeld een Word-document of een Excel-sheet of beide bevat, of wellicht beide. De scripttaal kan dezelfde zijn als voor macro's wordt gebruikt, met dezelfde API's om documenten te benaderen, maar deze scripts zijn via extensie, MIME-type en 'magic number' aan een andere executable gekoppeld en worden zelf als executable aan de gebruiker gepresenteerd. De gekoppelde applicatie kan op zijn beurt Word of Excel laden (het omgekeerde kan niet) en biedt ook API's biedt om ActiveX te gebruiken, databases te koppelen, het filesysteem te benaderen etcetera.

Het effect van die opzet zou zijn dat je een document met of zonder macro's altijd veilig kan openen (of er is een ernstige bug die ook meteen gerepareerd moet worden), en een document dat meer kan is meteen geen document meer maar een programma met herkenbare kenmerken, en dat is weer makkelijk te blokkeren.

Het docx/docm-onderscheid is een verbetering ten opzichte van het oude doc-formaat (idem voor andere office-formaten), maar wat mij betreft is niet het juiste onderscheid gekozen. Je moet een document met gevaarlijke macro's niet eens rechtstreeks met de documentverwerkers zelf kunnen openen wat mij betreft. Iets wat de mogelijkheid heeft om buiten het document zelf effecten te hebben moet in alle opzichten als een applicatie behandeld worden, niet als een document.
11-10-2016, 20:20 door Anoniem
"Als je bureaublad beheerstools als Res PowerFuse gebruikt plus goede policies kunnen dit soort dingen gewoon zo goed als niet gebeuren."

Dit is een goed beveiliging tegen dit soort dreigingen. Het product heet alleen al jaren RES ONE Workspace
11-10-2016, 20:47 door karma4
Door Anoniem: Ja, maar de situatie is wel dat al die macro-mogelijkheden in de jaren '90 zijn geïntroduceerd vanuit een mentaliteit dat alles beter ging als je alles zoveel mogelijk met alles liet integreren, lees: door elkaar liet lopen. Dat je via allerlei instellingen en extra software dat weer in toom kan houden wil nog niet zeggen dat de uitgangspunten van het onderliggende ontwerp deugen.
...(knip)....
De gebruikers zitten op applicaties te wachten geleverd door de ICT en nee dat zijn niet de applicatie zoals ICT die ziet.
Kinkt verwarrend, dat klopt. De toelichting:
- Het gaat de gebruikers om het bedrijfsproces gegevens inzien veranderen (inboeken) verwerken etc. Hoe met welke techniek is niet zo belangrijk.
- Techneuten nerds denken in machines dozen en noemen tools "de applicaties". Bedrijfsprocessen zijn allemaal maar lastig en storend..
Het zijn werelden zo anders als mars en venus. Wat er gebeurd is dat de gebruikers het zelf maar gingen doen, vandaar die macro-s. Er zijn voldoende mogelijkheden voor goede beheerders om van alles alsnog goed verantwoord te krijgen. Maar ja dat is zeer ongewenst want te duur en maakt het makkelijk werken onmogelijk.

Voor dat inzicht om het toch goed te doen moet je echt bij het lijnmanagement zijn, die hebben het zo laten gebeuren.
Het wijzen naar een externe leverancier is het makkelijkst om van de eigen verantwoording af zien te komen. Dan wijzen er nog steeds meer vingers terug voor het eigen falen.
Door Joep Lunaar: Kantoorautomatisering gebaseerd op MS Windows en MS Office creëert een niet of slecht nauwelijks beheersbaar beveiligingsprobleem en dat is niet alleen omdat het (te) veel wordt gebruikt.
Jammer Joep maar kijkend naar de praktijk in grotere organisaties speelt er toch echt wat anders. (zei boven)
Libre-office een alternatief? Nou pluis dan limux eens door de zelfde shit. Ze hebben er een eigen macro omgeving voor zitten bouwen het heet Wollmux. Als uitzondering op een hegemonie (denk ook aan lotus IBM) is er minder last van aanvallen.
11-10-2016, 22:19 door SecGuru_OTX
Ook hier weer: Application Whitelisten

Dit voorkomt installatie van de trojan (op commando van de Macro)

Daarnaast webfilter/firewall met dynamic C&C blocklist.

P.s. en ja, heeft alleen impact op Windows. De payload bestaat uit executables en geen DMG's.
12-10-2016, 07:39 door Erik van Straten
Bizar weer die "Ford is beter dan Opel" bijdragen.

Bij targeted attacks moet je ervan uitgaan dat de aanvallers hebben uitgezocht welke software jouw organisatie gebruikt (o.a via social engineering of te Googelen). Zorg dat die gepatcht is, is dichtgetimmerd tot werkbaar niveau en voed de typmiepen op.

En omdat het vroeger of later toch fout gaat: vermijd concentraties van rechten en privileges, zorg voor betrouwbare detectie en rappe+getrainde incident responders met duidelijke procedures en voldoende bevoegdheden.
12-10-2016, 09:08 door ph-cofi
Maak je met MS-Office macro's/Libreoffice-macro's de boel nog monolitischer dan het daarvoor al was? Slecht idee volgens mij. Ik vind "macro's zijn nou eenmaal nodig" veel te makkelijk, gegeven de risico's die ze opleveren. En ze leveren een veel te grote vendor-lockin op, ongeacht het platform.
12-10-2016, 09:30 door Anoniem
Door ph-cofi: Maak je met MS-Office macro's/Libreoffice-macro's de boel nog monolitischer dan het daarvoor al was? Slecht idee volgens mij. Ik vind "macro's zijn nou eenmaal nodig" veel te makkelijk, gegeven de risico's die ze opleveren. En ze leveren een veel te grote vendor-lockin op, ongeacht het platform.

Het is ook vioral betreurlijk om te merken dat een heleboel macro's ingezet worden op momenten dat je eigenlijk naar andere programmatuur zou willen kijken... om gebruiksgenak is het nu geaccepteerd geraakt en lijken heel veel mensen macro's als vanzelfsprekend te beschouwen. Dit laatste is m.i. de echte oorzaak dat dit gevaren oplevert; gebruikers zijn niet gewend zich te vragen waar die macro's al dan niet voor zijn...
12-10-2016, 18:05 door karma4
Door Erik van Straten: Bizar weer die "Ford is beter dan Opel" bijdragen.

Bij targeted attacks moet je ervan uitgaan dat de aanvallers hebben uitgezocht welke software jouw organisatie gebruikt (o.a via social engineering of te Googelen). Zorg dat die gepatcht is, is dichtgetimmerd tot werkbaar niveau en voed de typmiepen op.

En omdat het vroeger of later toch fout gaat: vermijd concentraties van rechten en privileges, zorg voor betrouwbare detectie en rappe+getrainde incident responders met duidelijke procedures en voldoende bevoegdheden.
Kort en mij eens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.