NSA-exploit gebruikt om servers met backdoor te infecteren
De EternalBlue-exploit van de NSA die eerder door de WannaCry-ransomware en Adylkuzz-miner werd gebruikt wordt nu ook door aanvallers ingezet om servers met een backdoor te infecteren. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye.
De EternalBlue-exploit maakt gebruik van een SMB-lek in Windows. Zodra de nu waargenomen aanvallers via deze kwetsbaarheid toegang tot een machine hebben verkregen openen ze een shell om instructies in een VBScript-bestand te zetten. Dit bestand wordt uitgevoerd en downloadt de uiteindelijke lading van een andere server. Het gaat om de Gh0st RAT (remote acces trojan) en de Nitol-backdoor. Het exemplaar van de Gh0st RAT bleek met een geldig digitaal certificaat te zijn gesigneerd. Iets dat volgens de onderzoekers steeds vaker voorkomt.
Onlangs werd de EternalBlue-exploit aan de populaire hackertool Metasploit toegevoegd. Dit maakt het volgens de onderzoekers veel eenvoudiger voor aanvallers om het SMB-lek aan te vallen. Ze verwachten de komende weken en maanden dan ook meer aanvallers die de kwetsbaarheid zullen gebruiken om malware te verspreiden.
Allemaal servers die lekker beheerbaar zijn via een ethernet verbinding... vaak ook nog allemaal in het zelfde netwerk... yumm als ik een worm was.
Vervolgens kun je makkelijk een virtuele schijf/stick aanmaken en die propageren naar de voorkant van de server/s...
Beetje intelligente hacker heeft voordat het 2018 is een vette worm in elkaar.
In Nederland komt dit ook voor en kijk maar naar dat de politie gegevens niet lang mochten opslaan en dus gingen die naar de belastingdienst die dat wel mocht. Nu schijnt deze specifieke truuk nu te zijn verlaten door de politie en belastingdienst maar goed wat wij niet weten gaan zij ons niet vertellen.
In zo'n geval zien ze nog mogelijkheden om dat terug te kunnen draaien. Ze geven nooit op.
Ze leven echt in een eigen wereld, waar regels gelden, die zij als aanvaardbaar zien en met de gevolgen hoef je ze niet te confronteren. Tot het laatste moment blijven ontkennen, al leg je ze op de pijnbank. Ze weten dat ze gesteund worden en wanen zich onaantastbaar.
Het enige wat helpt is onafhankelijk door te gaan op de eigen weg: open disclosure.
Metasploit is van Rapid7. Dat is een US bedrijf, maar is geen onderdeel van de Amerikaanse overheid. Of heb je het over de winstbelasting die Rapid7 betaalt?
Ik durf wel te wedden, met iemand die duidelijk niet weet waarover hij praat.
Waarschijnlijk is het een stuk gemakkelijker om gewoon de al 2-3 maanden geleden uitgegeven patch te installeren? Ik denk dat dit iets meer richting de werkelijkheid komt. Je hebt dan ook geen last meer van de exploit.
Even functionaliteit uitzetten, is niet iets wat veel bedrijven even doen. Mede ivm de vele legacy die overal draait.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
