image

Experts zetten vraagtekens bij goede bedoelingen van Hajime-worm

vrijdag 28 april 2017, 07:21 door Redactie, 10 reacties

Experts komen er maar niet uit: wat is toch het doel van de Hajime botnet? De verspreiding van de worm gaat ondertussen stevig door. Het aantal geïnfecteerde apparaten is inmiddels boven de 300.000 uitgestegen.

Hajime is een IoT-worm die sinds een halfjaar in het wild wordt gesignaleerd in een poging om p2p-botnet op te zetten. De worm verspreidt zich, net als Mirai, via onbeveiligde IoT-apparaten waarvan de Telnet-poort openstaat en waarbij standaardwachtwoorden worden gebruikt. Aanvankelijk werd gedacht dat het bedoeld was om IoT-apparaten veiliger te maken, maar zetten experts van Kaspersky Labs nu hun vraagtekens bij.

De code van Hajime wordt namelijk regelmatig aangepast. Zo is onlangs de aanvalsmethode uitgebreid. Hajime dringt nu niet meer alleen binnen via openstaande Telnet-poorten, maar maakt ook gebruik van andere manieren zoals TR-064 exploitatie en 'Arris cable modem password of the day-aanval'. Technical Report 064 is volgens Kaspersky een industriestandaard van het Broadband Forum die internet serviceproviders in staat om modems op afstand te beheren. Dit gebeurt via TCP-poort 7547 of poort 5555. De TR-064 NewNTPServer-functie kan echter ook eenvoudig gebruikt worden om het apparaat in te zetten als bot.

Hajime vertoont tot op heden nog geen kwaadaardige acties maar de worm blijft de IT-security experts bezighouden.

Reacties (10)
28-04-2017, 11:30 door Anoniem
Mijn WiFi-netwerk is zeer waarschijnlijk gehackt via het klimaatbeheersingssysteem van het kantorencomplex vlak achter mijn flat. De SSIDs van de hackers zijn namelijk van oude huurders van kantoorruimten in dat pand. Mijn these is dat daar een aartsluie netwerkbeheerder werkt, of mogelijk is hij meer dan dat, namelijk: medeplichtige, die de routers op naam van die oude huurders nooit heeft geüpdatet en nog steeds niet van een sterk wachtwoord heeft voorzien. Dat zou ook passen in dit verhaal over deze IoT-worm. Met behulp van de Acrylic WiFi Home-scanner heb ik de kenmerken gezien van het hacken van WiFi-verbindingen en weet ik dus dat de talloze klachten over WiFi-onderbrekingen in mijn flat zeer waarschijnlijk zijn terug te voeren op deze manier van hacken. Ik ga zeer binnenkort aangifte doen en ben bang dat er daarna een beerput open gaat over cybercrime in mijn flat.
28-04-2017, 13:17 door Anoniem
Door Anoniem: Mijn WiFi-netwerk is zeer waarschijnlijk gehackt via het klimaatbeheersingssysteem van het kantorencomplex vlak achter mijn flat. De SSIDs van de hackers zijn namelijk van oude huurders van kantoorruimten in dat pand.

Ehm, wat heeft jouw wifi netwerk daarmee van doen? Als het wifi netwerk van mijn buurman wordt gehackt, wil dat toch niet zeggen dat mijn wifi ook gehackt is/wordt (mits je het deugdelijk beveiligt) ?

Rolf
28-04-2017, 13:56 door Anoniem
Wel Rolf, de SSIDs onthullen waarmee er gehackt wordt. Inmiddels is de politie bezig de server van het kantorencomplex in beslag te nemen. Overigens heeft Trusteer me de beste diensten bewezen in het tegengaan, onthullen en opsporen van de hack van mijn laptop. Binnen een uur na het installeren ervan (via http://www.trusteer.com/ProtectYourMoney) werden er al phishingpogingen geblokkeerd zoals screenshots van gevoelige emails. En Hitmanpro ontdekte ook malware, bonjour.exe, dat online Apple apparatuur opspoort. Laat ik dat niet eens in mijn bezit hebben ...
28-04-2017, 15:37 door Anoniem
Door Anoniem: Wel Rolf, de SSIDs onthullen waarmee er gehackt wordt. Inmiddels is de politie bezig de server van het kantorencomplex in beslag te nemen. Overigens heeft Trusteer me de beste diensten bewezen in het tegengaan, onthullen en opsporen van de hack van mijn laptop. Binnen een uur na het installeren ervan (via http://www.trusteer.com/ProtectYourMoney) werden er al phishingpogingen geblokkeerd zoals screenshots van gevoelige emails. En Hitmanpro ontdekte ook malware, bonjour.exe, dat online Apple apparatuur opspoort. Laat ik dat niet eens in mijn bezit hebben ...

Gefeliciteerd, zo snel gaat de politie dat niet voor elkaar krijgen. Juridisch niet mogelijk. Mooi verhaal. Het verhaal over SSID's gaat ook werkelijk nergens over.
28-04-2017, 16:00 door Anoniem
Wat heeft het bovenstaande alu-hoedje gebazel te maken met Hajime?

"Mijn WiFi-netwerk is zeer waarschijnlijk gehackt via.."

Oh, niets..
28-04-2017, 16:11 door Whacko
Anoniem. Fijn dat je je in de discussie mengt. Maar bonjour.exe is toch echt geen malware. Dat is gewoon software van Apple. Daarnaast is je hele verhaal over SSID's wel erg krom.
Apparaten zenden SSID requests uit. Deze worden vaak opgevangen door kwaadaardige mensen welke dan al deze SSIDs dor de lucht gaan spammen in de hoop dat iemand ermee verbindt.
Dit zijn dus niet routers van oude huurders, maar gewoon 1 aanvaller die alle SSIDs die hij "hoort" ook nog eens gaat uitzenden.
28-04-2017, 17:57 door Anoniem
Door Whacko: Anoniem. Fijn dat je je in de discussie mengt. Maar bonjour.exe is toch echt geen malware. Dat is gewoon software van Apple.
Op een Windows-laptop wordt via een truc Bonjour.exe geplant om Apple-apparatuur te vinden via het WiFi-netwerk bestuurd door die laptop. Tjonge wat een nitwits hier; vorige week wisten jullie ook al niet hoe een mobiel of een dongle met anonieme SIM-kaart op afstand als ontstekingsmechanisme kan dienen voor explosieve. Kijk, ik ben al twee weken in de weer met deze aangifte, en laat mijn systeem onder toezicht van de politie als honeypot dienen om te zien wat er allemaal geoogst denkt te gaan worden, te weten waar deze hackers op uit zijn. De aanklacht van computervredebreuk en bendevorming wordt straks aangevuld met de begane misdrijven. We laten ze momenteel erin tuinen met fake informatie zodat ze zichzelf bloot gaan geven, laten zien hoe ze buit in bitcoins omzetten enz. Jullie worden nooit goeie security-experts als jullie niet leren denken welke methoden criminelen gebruiken. Alleen: ook crimineken maken denkfouten en verraden daarmee hun tactieken.

Daarnaast is je hele verhaal over SSID's wel erg krom.
Apparaten zenden SSID requests uit. Deze worden vaak opgevangen door kwaadaardige mensen welke dan al deze SSIDs dor de lucht gaan spammen in de hoop dat iemand ermee verbindt.
Dit zijn dus niet routers van oude huurders, maar gewoon 1 aanvaller die alle SSIDs die hij "hoort" ook nog eens gaat uitzenden.

Klopt deels wel en deels niet. Er zit hier een nep-KPN FON-SSID in de lucht, maar de SSID van één van die klimaatsniffers gaf ook aanleiding aan omwonenden om daar blind in te vertrouwen: het was namelijk een SSID van een voormalige afdeling van mijn gemeente die hier zo'n drie jaar zetelde maar vertrokken is naar het nieuwe gemeentekantoor. Nogmaals: wat een wereldvreemde nitwits zijn jullie toch, echt te groen om social engineeringstrucs te vatten. Er kwamen hier ook nep-internetverkopers aan de deur met een niet-kloppend verkoopverhaal, die inventariseerden welke ISP mensen klant bij zijn. Jammer alleen voor hen dat ik hun nummerbord noteerde, een nachtvlinder ben en ze 's nachts druk internettend in een auto onderaan mijn flat aantrof. Beetje te toevallig allemaal ... De ISP waarvoor ze langs de deur ging bevestigde dat het hier om oplichters ging, die niet namens die ISP colporteerden. Sja met appartementen die voor 4 ton de verkoop in gaan lokt deze flat hier wel dat soort volk. In de 20 jaar dat ik hier woon heb ik daar al meer staaltjes van meegemaakt. En ondanks de ellende dat ik nu buitenshuis vertrouwelijk moet gaan internetten geniet ik wel van het meespelen van dit kat-en-muisspel. Ze wanen zich veilig terwijl het Darknet steeds meer criminele verbanden prijs geeft ...
28-04-2017, 19:41 door Anoniem
Omdat jullie hardnekkig blijven geloven dat Bonjour.exe geen malware kan wezen hierbij het logbestand van Hitmanpro:

C:\Users\....\AppData\Local\Temp\HouseCall\tmase\nmap\bonjour.exe -> Quarantined
Size . . . . . . . : 3.354.112 bytes
Age . . . . . . . : 1.0 days (2017-04-27 00:25:33)
Entropy . . . . . : 6.4
SHA-256 . . . . . : 413D46D856B3F1FED9A252A851F2B69D35EA6D21307C2EE046ED1DD4CAF3987F
> Bitdefender . . . : Gen:Variant.Zusy.233235
Fuzzy . . . . . . : 108.0
29-04-2017, 19:47 door Anoniem
Door Anoniem: Omdat jullie hardnekkig blijven geloven dat Bonjour.exe geen malware kan wezen hierbij het logbestand van Hitmanpro:

C:\Users\....\AppData\Local\Temp\HouseCall\tmase\nmap\bonjour.exe -> Quarantined
Size . . . . . . . : 3.354.112 bytes
Age . . . . . . . : 1.0 days (2017-04-27 00:25:33)
Entropy . . . . . : 6.4
SHA-256 . . . . . : 413D46D856B3F1FED9A252A851F2B69D35EA6D21307C2EE046ED1DD4CAF3987F
> Bitdefender . . . : Gen:Variant.Zusy.233235
Fuzzy . . . . . . : 108.0

Oke, dus je zegt dat wij niks weten en dat jij zo geweldig bent?
Ik zie hier even een stukje, namelijk Local/Temp/HouseCall/tmase/nmap/bonjour.exe.

Housecall: een product van trend micro (housecall.trendmicro.com/uk/index.html)
Nmap: een stukje software om netwerk door te meten
Bonjour: een protocol om apparaten gemakkelijk te vinden in een netwerk.

Vervolgens is het handig om te weten dat er false positives bestaan. Dit zijn legitieme bestanden welke wel als mallware worden aangemerkt door een mallware scanner.

Wij, zoals jij iedereen over een kamp scheert zijn waarschijnlijk een stuk meer ervaren in zaken en hoogstwaarschijnlijk door je ondeskundigheid en argwaan ziet de spreekwoordelijke spoken.

Succes ermee!
30-04-2017, 13:26 door Anoniem
Nu zien we wat er als gigantisch gevaar via IoT crap op ons allemaal afkomt en vooral op de consumenten. Behalve IT, die de dreiging begrijpt en kan mitigeren is de massa niet op de hoogte en degenen, bij wie de techniek boven de pet dreigt te gaan, sluien zich er meestal volledig voor af. Wij daarentegen worden dan juist extra alert. Jammer helaas dat er meestal geen hond naar ons luistert of al geluisterd heeft. Dan was het nooit zo ver hoeven te komen.

Dit geldt ook voor een segment bij ongecontroleerde kit producenten als Shenzhen. Geen pentesting en geen UAT.

Was het een product dat door de RDW moest worden gecontroleerd kwam het na een rondje op de testbaan in Lelystad nooit meer op de weg. Maar ja producenten en developers eveneens schijnen hun ziel te hebben verkocht aan de globale graaimachines en hebben daarom weinig boodschap aan beveiliging of beseffen soms helemaal niet waar ze mee bezig zijn. Behalve technische IT is dat ook steeds moeilijker,

Maar iemand met nog drie werkende hersencellen over weet dat je iets niet met poort 23 telnet of SSH open aan het Internet moet hangen. Doe een shodannetje en je ziet dat men hier naar op zoek is.

Hier kun je wellicht op het spoor komen waar de aanvallen vandaan komen en waar ze zich op richten.
http://map.norsecorp.com/#/

Wil de aanvaller het exclusieve recht van het infecteren van bepaalde devices verkrijgen?

De term "hajime", is de kreet waarmee op de tatami de tweekamp start (Japans voor "Begin!") kent iedere karateka.
Maar ook Amerikaanse veschtsportbeoefenaren kennen de term. Dus cyberarmy leden ook.

Zou het hacken gericht zijn tegen de Noord-Koreaanse dreiging van het moment en dan gelanceerd vanaf Formosa? Hangt daar voldoende openstaande Shenzhen of Mikrotik spul? Lijkt me een plausibel scenario, maar het kan ook een andere achtergrond hebben en komen uit Japan.

Wat de poster betreft met zijn slimme meter hack scenario, ik zou ook zenuwwachtig worden van een opzettelijk onbeveiligde openstaande KPNfoon, die tracht verbindingen af te vangen. Maar dat heeft allemaal niets met het bovenstaande van doen. Misschien iets voor een script kiddie romannetje maar dan goed spannend beschrijven, zodat de lezertjes rode oortjes krijgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.