image

Nieuwe SMB-worm gebruikt 7 tools en exploits van NSA

zaterdag 20 mei 2017, 09:22 door Redactie, 15 reacties

Een Kroatische beveiligingsonderzoeker heeft een nieuwe netwerkworm ontdekt die 7 tools en exploits gebruikt die van de Amerikaanse inlichtingendienst NSA afkomstig zijn. De worm wordt EternalRocks genoemd, maar de oorspronkelijke naam is "MicroBotMassiveNet".

EternalRocks verspreidt zich via het SMB-lek in Windows dat ook door de WannaCry-ransomware wordt aangevallen. Hiervoor maakt EternalRocks net als WannaCry gebruik van de EternalBlue-exploit van de NSA. Daarnaast gebruikt de worm ook nog drie andere SMB-exploits genaamd EternalChampion, EternalRomance en EternalSynergy. De updates voor deze exploits verschenen in maart, zo liet Microsoft eerder al weten.

Verder worden ook de DoubePulsar-backdoor van de NSA ingezet en twee progamma's genaamd SMBTouch en Architouch, zo blijkt uit een analyse van onderzoeker Miroslav Stampar?. De NSA-tools en -exploits werden door een groep hackers genaamd ShadowBrokers in april openbaar gemaakt. Beveiligingsbedrijf Heimdal Security waarschuwt dat deze worm, die het "BlueDoom" noemt, in tegenstelling tot WannaCry niet over een killswitch beschikt. De malware wordt inmiddels door 43 van de 62 virusscanners op VirusTotal herkend.

Reacties (15)
20-05-2017, 10:37 door Anoniem
Tja, van je vrienden (NSA) moeten we het maar hebben. Of krijgt Wikileaks de schuld dat de NSA betrapt is om deze ellende ontwikkeld te hebben? Gelukkig is het nog allemaal voor Windows maar het wachten is op platform onafhankelijke exploits. So, what's next? Een malware blackhole die alle systemen besmet en vernietigd? Op zich niet zo heel erg als alles naar de kloten gaat want dan gaan we gewoon weer vanaf scratch beginnen, en nu met de wijze lessen die we afgelopen descennia hebben geleerd hoe het vooral niet moet.
20-05-2017, 11:23 door Anoniem
Zover vernomen betreffen alle bovengenoemde varianten dezelfde exploit nl. MS17-010. Nu gaan we zien wie na de waarschuwing van vorige week heeft opgelet. Persoonlijk vind ik een week nog lang. De originele verspreider is waarschijnlijk zelf geschrokken van het platleggen van ziekenhuizen. Kan me zo voorstellen dat aanpassingen in enkele minuten gemaakt kunnen worden om zo meer financiele middelen te vergaren. Opportunisten kom er maar in veel plezier met SMB er ligt vast nog wel een paar bitcoins te wachten. Sweet satisfaction.
20-05-2017, 15:27 door Ron625
Door Anoniem: Op zich niet zo heel erg als alles naar de kloten gaat want dan gaan we gewoon weer vanaf scratch beginnen
Ach, BSD is gemaakt op veiligheid, anders is Solaris misschien een optie, of Haiku voor eindgebruikers ...........
20-05-2017, 21:04 door [Account Verwijderd]
[Verwijderd]
20-05-2017, 23:35 door Anoniem
Door Anoniem: 10:37 Tja, van je vrienden (NSA) moeten we het maar hebben. Of krijgt Wikileaks de schuld dat de NSA betrapt is om deze ellende ontwikkeld te hebben? Gelukkig is het nog allemaal voor Windows maar het wachten is op platform onafhankelijke exploits. So, what's next? Een malware blackhole die alle systemen besmet en vernietigd? Op zich niet zo heel erg als alles naar de kloten gaat want dan gaan we gewoon weer vanaf scratch beginnen, en nu met de wijze lessen die we afgelopen descennia hebben geleerd hoe het vooral niet moet.

Keep on dreaming.
Alsof de mensheid leert van wijze lessen uit het verleden, anders dan hoe dit soort bugs beter te verstoppen ter eer en glorie van de eigenaars, aandeelhouders. Maar nooit voor het gepeupel dat er is om te gebruiken als dienaar.
20-05-2017, 23:55 door Anoniem
Door Kaba: http://www.techrepublic.com/article/wannacrypt-makes-an-easy-case-for-linux/

Dit is echt het moment om op Linux over te stappen!

Als een lek in een OS reden is om over te stappen, blijf je bezig. Elk OS is lek. Ook Linux.
21-05-2017, 09:29 door Tha Cleaner
Door Kaba: http://www.techrepublic.com/article/wannacrypt-makes-an-easy-case-for-linux/

Dit is echt het moment om op Linux over te stappen!
Waarom? Is het niet gewoon een stuk gemakkelijker om de security patch van 2 maanden geleden niet eens te installeren? Is een stuk gemakkelijker en had je al moeten doen.

En het artikel is wel erg simpel geschreven, eigenlijk op een manier waar je niets aan hebt.

Een veel beter advies is om gewoon de benodigde security patches te installeren, wat je moet elk OS moet doen.
21-05-2017, 09:36 door [Account Verwijderd]
[Verwijderd]
21-05-2017, 09:54 door Anoniem
Door Anoniem:
Door Kaba: http://www.techrepublic.com/article/wannacrypt-makes-an-easy-case-for-linux/

Dit is echt het moment om op Linux over te stappen!

Als een lek in een OS reden is om over te stappen, blijf je bezig. Elk OS is lek. Ook Linux.

Mee eens, maar Linux is wel veel beter secure te maken. Een Fedora of Debian installatie bouw je met de built-in tools om tot een fort. Probeer de Windows Firewall maar eens daadwerkelijk rule-based te maken. De drop-regel zet hij standaard bovenaan, waardoor je er niks mee kunt. Laat je de drop-regel weg en werk je met default-policies, dan zul je zien dat hij bepaalde Microsoft services doodleuk doorlaat (cortana e.d.).
21-05-2017, 10:44 door Ron625
Door 4amrak: mischien gaat het er om of een standaard installatie secure by default is, of een kerstboom aan services open en bloot on-ze-internetz heeft hangen? en voordat je die dan middels een klik safarie afgevinked hebt, je al eigenlijk gepowned bent omdat het updated uuuuren duurt ipv 1 min?
Wat ook belangrijk is, is of de updates verzameld worden tot de 2e dinsdag van de maand, of dat ze worden vrijgegeven wanneer ze klaar en getest zijn.
21-05-2017, 15:01 door Anoniem
Door Anoniem:
Door Anoniem:
Door Kaba: http://www.techrepublic.com/article/wannacrypt-makes-an-easy-case-for-linux/

Dit is echt het moment om op Linux over te stappen!

Als een lek in een OS reden is om over te stappen, blijf je bezig. Elk OS is lek. Ook Linux.

Mee eens, maar Linux is wel veel beter secure te maken. Een Fedora of Debian installatie bouw je met de built-in tools om tot een fort. Probeer de Windows Firewall maar eens daadwerkelijk rule-based te maken. De drop-regel zet hij standaard bovenaan, waardoor je er niks mee kunt. Laat je de drop-regel weg en werk je met default-policies, dan zul je zien dat hij bepaalde Microsoft services doodleuk doorlaat (cortana e.d.).

Ik heb toch echt een eens standaard Windows installatie met een goed Firewall dicht kunnen zetten. Icm met zo'n drop regel zoals jij hem beschrijft. En een huidige standaard Windows installatie is gewoon ook standaard veilig.


Door Ron625:
Door 4amrak: mischien gaat het er om of een standaard installatie secure by default is, of een kerstboom aan services open en bloot on-ze-internetz heeft hangen? en voordat je die dan middels een klik safarie afgevinked hebt, je al eigenlijk gepowned bent omdat het updated uuuuren duurt ipv 1 min?
Wat ook belangrijk is, is of de updates verzameld worden tot de 2e dinsdag van de maand, of dat ze worden vrijgegeven wanneer ze klaar en getest zijn.

Iets waar het bedrijfsleven juist totaal niet wilt. Je wilt voorspelbaarheid. Random uitkomende patches is iets waar veel bedrijven helemaal niet op zitten te wachten. Je kunt er niets mee. Als er dagelijks patches uit komen, komt je dagelijks je change proces in, om de patch te testen op je infrastructuur. Waardoor je extra lang moet wachten totdat je een keer een change window kan krijgen. En aangezien er niet op te plannen is, moet je wachten op een WIndows, aangezien andere windows al vergeving zijn, aan planbare changes.

Bedrijven willen voorspelbaarheid, en niet zomaar uitkomende (spoed) changes. Iets waar sommige bedrijven naar luisteren en inregelen.

Zo is bij ons, maandelijks de MS patches, 1 keer in het kwartaal Linux. Zodat het planbaar is, en voorspelbaar is. Windows zijn van te voren bekend en gecommuniceerd en bedrijfs processen zijn er op afgestemd. Iedereen is te vrede en kan er mee werken.

Welkom de werkelijkheid.......
21-05-2017, 20:22 door Ron625
Door Anoniem:
Zo is bij ons, maandelijks de MS patches, 1 keer in het kwartaal Linux.
Zodat het planbaar is, en voorspelbaar is.
Dan spaar je de updates voor Linux dus op.
Deze keuze is dan bewust gemaakt, je kunt dus ook dagelijks updaten, maar dat wil je niet.
Bij Microsoft heb je deze keuze niet, dat is mijn punt (één van mijn punten).
22-05-2017, 08:54 door Anoniem
Voor zij die hier reageren met 'linux' is de oplossing: voor degene die het nog herinneren, maar Belgacom is midden 2013 gehacked geweest, met een cross platform spyware, die dus ook op linux draaide... En leren uit de toekomst... ja hoor, ik ben er zeker van, toen WO1 gedaan was,dat de mensen dat ook zeiden, en toen WO2 gedaan was.. zullen ze dat waarschijnlijk nog eens gezegd hebben.. en golfoorlog (een mini WO3..) ja, daar hadden ze dat mssch ook gezegd... enz...

Het is de menselijke aard van niet te leren uit de toekomst, van te denken: mij overkomt dit niet... je kan enkel proberen van zelf er het beste van te maken en je spullen zo goed mogelijk te beveiligen.. EN... het belangrijkste van al: niet afhankelijk worden van de technologie...

grjs
22-05-2017, 10:41 door [Account Verwijderd] - Bijgewerkt: 22-05-2017, 10:41
[Verwijderd]
22-05-2017, 15:34 door Ron625
Door Kaba: Dat is niet te vergelijken want de Regin spyware waar het hier om gaat kan zich niet zelfstandig verspreiden naar Linux systemen.
Daar zit inderdaad een groot verschil in.
Iedere computer is te hacken, wanneer je toegang hebt tot het toetsenbord en beeldscherm.
Voor infecties van buitenaf is bij Linux enige medewerking van de mens nodig, voor Windows is de mens overbodig hierin.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.