image

CIA-tool injecteert malware in via SMB gedownloade bestanden

vrijdag 2 juni 2017, 10:41 door Redactie, 13 reacties

De CIA beschikt over een tool die via SMB gedownloade bestanden van malware voorziet, zo blijkt uit een nieuwe onthulling van klokkenluiderssite WikiLeaks. De tool wordt "Pandemic" genoemd en is bedoeld voor Windowsmachines die bestanden via SMB ter download aanbieden.

Zodra remote gebruikers een bestand van de SMB-server downloaden wordt in realtime de code door malware vervangen. Het originele bestand op de server blijft hierbij onaangepast. Alleen de gedownloade kopie wordt aangepast. Pandemic kan tot 20 programma's aanpassen met een maximale omvang van 800MB voor een select aantal remote gebruikers.

Volgens WikiLeaks staat het niet in de documentatie vermeld, maar lijkt het technisch mogelijk om computers die via Pandemic zijn besmet en zelf bestanden via SMB op het lokale netwerk aanbieden in een Pandemic-server te veranderen en zo nieuwe doelen aan te vallen.

Reacties (13)
02-06-2017, 12:02 door Anoniem
Onze vrienden, onze trouwe bondgenoten .... zucht. Schadelijker dan een atoombom of wat dan ook.
02-06-2017, 12:05 door Anoniem
zou wel de naam pandemic verklaren dat dit een mass infecting mass replicating stukje malware kan zijn.
02-06-2017, 12:38 door TraxDigitizer
Hier kan SMB Signing volgens mij prima als maatregel voor worden ingezet: " It places a digital signature into each server message block, which is used by both SMB clients and servers to prevent so-called “man-in-the-middle” attacks and guarantee that SMB communications are not altered."
02-06-2017, 13:13 door Anoniem
Door Anoniem: Onze vrienden, onze trouwe bondgenoten .... zucht. Schadelijker dan een atoombom of wat dan ook.
Je kunt ook overdrijven.....
02-06-2017, 13:21 door Anoniem
Door Anoniem: zucht. Schadelijker dan een atoombom of wat dan ook.

Dat SMB een recept voor ellende is is al een decennium bekend.
Maar overdrijven is ook een vak.

Wat dit krijgt die SMB download toch echnie voorelkaar.
https://upload.wikimedia.org/wikipedia/commons/e/e0/Nagasakibomb.jpg
En de slachtoffers wereldwijd van Attomaanvallen en nucleaire proeven denken daar vast ook heel anders over.
https://en.wikipedia.org/wiki/Atomic_bomb_survivors
Google en lees zelf maar verder.
02-06-2017, 14:22 door ph-cofi
Ondanks de overdrijving geldt wel weer
with friends like CIA, you don't need enemies.
02-06-2017, 15:04 door Anoniem
Door Anoniem:
Door Anoniem: zucht. Schadelijker dan een atoombom of wat dan ook.

Dat SMB een recept voor ellende is is al een decennium bekend.
Maar overdrijven is ook een vak.

Wat dit krijgt die SMB download toch echnie voorelkaar.
https://upload.wikimedia.org/wikipedia/commons/e/e0/Nagasakibomb.jpg
En de slachtoffers wereldwijd van Attomaanvallen en nucleaire proeven denken daar vast ook heel anders over.
https://en.wikipedia.org/wiki/Atomic_bomb_survivors
Google en lees zelf maar verder.
Ben het met je eens dat het overdreven is, maar het één sluit het andere niet uit. Stuxnet was ook redelijk gericht op nucleaire installaties. ;)
02-06-2017, 15:40 door [Account Verwijderd]
[Verwijderd]
02-06-2017, 16:18 door Sokolum
Waar heb je tegenwoordig SMB nog voor nodig? Grote organisaties leven op Sharepoint, dus schakel dat SMB uit.
02-06-2017, 18:27 door Anoniem
Door Anoniem:
Door Anoniem: Onze vrienden, onze trouwe bondgenoten .... zucht. Schadelijker dan een atoombom of wat dan ook.
Je kunt ook overdrijven.....

Hmwah, overdreven, valt wel mee. Hoeveel slachtoffers zijn er gevallen door de 2 gebruikte atoombommen tot nu toe?
Hoeveel slachtoffers kunnen er potentieel vallen door de computer geintjes van de CIA? Ik wil het nog wel eens bekijken als alle water- of electriciteitscentrales plat komen te liggen door een wereldwijde aanval die voorkomen had kunnen worden als de CIA niet dit soort fratsen uit zou halen.

Dus, ja, potentieel gevaarlijker dan een atoombom denk ik.
02-06-2017, 19:17 door Anoniem
Door Sokolum: Waar heb je tegenwoordig SMB nog voor nodig? Grote organisaties leven op Sharepoint, dus schakel dat SMB uit.
Bis! Bis! Bis!
Toen ik jaren geleden al merkte met commando "netstat -an" dat hij open stond, heb onmiddelijk nagezocht hoe dat ding uit te zetten. Een veilige PC heeft namelijk geen onnodig openstaande poorten.
Ik raad iedereen aan om bij een nieuw OS of nieuwe PC even met netstat -an te kijken of er niet onnodig iets openstaat.
02-06-2017, 23:21 door Anoniem
Al eerder bij een andere discusie vermeld:


De volgende Windows-instelling wordt geadviseerd te wijzigen:

http://www.thewindowsclub.com/disable-smb1-windows

http://www.makeuseof.com/tag/prevent-wannacry-malware-variants-disabling-windows-10-setting/

In de reacties van die artikelen worden enkele nadelen genoemd.

Iemand hier een mening over?
03-06-2017, 17:55 door Anoniem
Ik zit duidelijk in de verkeerde hackerspace zo te lezen. Ooit een zeroday met miljoenen lekke servers gevonden en netjes gemeld bij de software fabrikant. Voor de eerste zeg maar. Toen had je nog niet dat mensen miljoenen verdienen aan bundles met exploits... niemand die een dikke BMW zag in wat infantiele software bugs. Times have charges. Ga ook maar eens exploits harvesten..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.