image

"Hele industrie om anti-virussoftware te omzeilen"

donderdag 15 juni 2017, 14:09 door Redactie, 8 reacties

Er is een hele industrie op internet om anti-virussoftware te omzeilen en internetgebruikers zo met malware te kunnen infecteren, zo stelt David Cox van de Britse National Cyber Crime Unit naar aanleiding van een internationale operatie waarbij afnemers van dergelijke diensten werden opgepakt.

Gisteren kondigde Europol de operatie al aan, waarbij in totaal zes mensen werden aangehouden. Het ging om vermeende klanten van diensten waarmee anti-virussoftware kan worden omzeild. Vier van deze personen werden in Groot-Brittannië gearresteerd. Ze worden verdacht van het uploaden en laten testen van hun malware door dergelijke diensten. Daarnaast bezocht de Britse politie 31 jonge mensen zonder strafblad die mogelijk niet beseften welke schade malware kan veroorzaken, aldus de politie.

"Ik denk dat veel mensen die van anti-virussoftware op hun computer gebruikmaken verbijsterd zullen zijn dat er een hele industrie is om die bescherming te omzeilen. Daarom is het up-to-date houden van anti-virussoftware ook zo belangrijk", zegt David Cox van de Britse National Cyber Crime Unit. "Malware die door anti-anti-virusplatformen is getest vormt een grote dreiging voor Groot-Brittannië, zoals de recente WannaCry-aanval heeft laten zien. Ervoor zorgen dat criminelen hun malware voor het uitrollen niet kunnen testen kunnen hun succes en inkomsten ernstig verstoren."

Reacties (8)
15-06-2017, 14:18 door Anoniem
Dit was 25 jaar geleden al een underground scène.
Toen nog in msdos tijden :)

Groepen die zich bezig houden met anti-debug opcode, cryptors enz voor executables. Niet voor het geld maar de onderlinge competitie met de andere kant (av software, ontwikkelaars).

Good times
15-06-2017, 15:33 door Anoniem
De overheid schakelt de concurrenten uit ?
15-06-2017, 16:32 door Anoniem
Vandaar dat het een ordinaire leugen is als AV-boeren zelf, maar ook testers als av-test.org en av-comparatives.org, stellen dat er virusscanners zijn die 100% van de verse "in the wild" malware herkennen. Forget it, dat gaat nooit gebeuren.

Een voorbeeld van een e-mail met "Jaff" malware (ransomware) die ik gisteren ontving: als bijlage een ZIP-file met daarin ZIP-file met daarin een WSF file (eergisteren ontving ik 2 vergelijkbare mails, vandaag nog niet).

De buitenste ZIP, 13/57: https://www.virustotal.com/en/file/cfe0d4ef51fcea2e1dcb6b6f6caa8e1c914b893e6bb2f2ae899e21ba42c6fa0d/analysis/1497441581/

De WSF file, gek genoeg minder detectie dan de buitenste ZIP, nl. 8/56: https://www.virustotal.com/en/file/b469ee1c6b492cbeec2676df8252b863703a17f0374ddbccf3e4dffa9d50ea57/analysis/1497442477/

Die WSF file is grotendeels geobfusceerd (variabelennamen zijn vervangen door willekeurige karakterreeksen, er staan zinloze instructies tussen, er worden runtime karakterreeksen vervangen door andere etc). De geobfusceerde URL's waarvan door die file aanvullende malware werd gedownload, waren:
"b3NjYXJiZW5VALENTINEzb24uY29tLzczNGZocmZycmU/"
"Nzh0Z3V5Yzg3Nnd3aXJnbG1sdG0ubmV0L2FmLzczNGZocmZycmU="
"Y3VwVALENTINEY2FrZXJ5LmluLzczNGZocmZycmU/"
"cmFuZG9tZXNzc3Rpb3Byb3R0b3kubmV0L2FmLzczNGZocmZycmUg"
"c2VyYWplYVALENTINEWRpbmUuaXIvNzM0ZmhyZnJyZT8="

In de karakterreeksen waar VALENTINE in voorkomt, haalt het script dat woord weg, waarna er een gewone base64 decode plaatsvindt, met als resultaat (waar je http:// voor moet denken)
oscarbenson.com/734fhrfrre?
78tguyc876wwirglmltm.net/af/734fhrfrre
cupcakery.in/734fhrfrre?
randomessstioprottoy.net/af/734fhrfrre
serajeadine.ir/734fhrfrre?

De eerste site bleek al uit de lucht te zijn gehaald, maar op de overige sites stonden identieke "versleutelde" files, met op dat moment 0/55: https://www.virustotal.com/en/file/135c71fda1624ba914f0e1cb7d6d769623f41b8bb08077b710c37b56351903f9/analysis/1497445410/

Die file is "versleuteld" door steeds een exclusive OR te doen met de 20 karakter lange karakterreeks "0vRVTMMugyRRpMt53SMZBXRAM6ErWIqu". De WSF file pakt deze uit, waarbij het denkbaar is dat het resultaat niet naar schijf wordt geschreven (dit heb ik niet onderzocht). In dat geval is AV-detectie sowieso beperkt.

De "ontsleutelde" binary (na XOR- met genoemde karakterreeks, zie ook https://isc.sans.edu/forums/diary/Malware+and+XOR+Part+2/22490/ - met dank aan Didier Stevens), had detectie 8/60, zie https://www.virustotal.com/en/file/dd15ec17e469159196a0853bf14edb45a86054c71bc555e2cd0afc1c410917b2/analysis/1497446908/

Overigens zijn die scans niet van mij, iemand was mij steeds net voor. Als je de VirusTotal URL's opent en klikt op "View Latest" zul je zien dat ondertussen de meerderheid van de scanners de verschillende files beter detecteert, maar dat is 1 dag later natuurlijk mosterd na de maaltijd.
15-06-2017, 17:38 door Anoniem
Door Anoniem: De overheid schakelt de concurrenten uit ?

Na verloop van tijd verdwijnen die IT trainees ook heur
Misschien halen ze dan wat hackers uit de gevangenis :)

Kijk maar naar de huidige tekorten overal in de IT en overheid.
15-06-2017, 17:43 door Anoniem
Vergeet de Amiga 500 niet met RAM Resident Saddam Virus dat Disk Invalidator aanriep. Man ooh man, wat een tijden waren dat. Dacht je veilig je Amige te resetten met CTRL-AMIGA-AMIGA stop je de andere diskette erin, oeps bootsector weg en diskvalidator komt na stiekum een tijdje naar voren, en dan bedoel ik Saddam Virus was echt een sneaker, het nestelde zich in al je floppies, en dan plotseling, met enig doel, ALLES WAT JE HAD, weg te halen.

Moderne Emulators zoals WinUae voor Amige resetten volledig de hardware zodat residente virussen praktisch niet meer werken. Maar je kan nog altijd handmatig resetten met die emulator, wat dus niet aanbevolen is.
15-06-2017, 19:44 door waaromdan
Lijkt wel een verkooppraatje.
Volgens mij is het updaten van alle software de key, niet speciaal het updaten van antivirusprogramma's. Dat is maar 1 van de 100 programma's. Ik had beter verwacht van zo'n Britse adviseur van de overheid.

Daarom is het up-to-date houden van anti-virussoftware ook zo belangrijk
Vertaling: ''Verleng elk jaar netjes die proeflicentie die op je systeem is gekwakt en binnen no-time is verlopen.''
*Verkoopcijfers weer omhoog*
16-06-2017, 07:06 door Anoniem
Door Anoniem: Vandaar dat het een ordinaire leugen is als AV-boeren zelf, maar ook testers als av-test.org en av-comparatives.org, stellen dat er virusscanners zijn die 100% van de verse "in the wild" malware herkennen. Forget it, dat gaat nooit gebeuren.
Die testsites hebben verzamelingen malware waarmee ze testen en die ze actueel houden. Een scoringspercentage dat ze rapporteren heeft altijd betrekking op de malwareverzameling waarmee ze getest hebben. Nogal wiedes, hoe zou het anders kunnen? Als ze claimen dat ze malware meenemen in een test waarover ze niet beschikken dan liegen ze. Als ze dat niet claimen dan zie ik geen leugen.

Verder lijk je je niet bewust te zijn van hoe afronden werkt. Er zijn nogal wat malware-exemplaren in omloop. Als een scanner bijvoorbeeld 99,995% van de malware herkent en er wordt op twee cijfers achter de komma gerapporteerd dan levert dat 100,00% op. En 100% zonder cijfers achter de komma begint al bij 99,5%. Probeer het eens in een spreadsheetprogamma: vul 0.9995 in een cel in en klik in de knoppenbalk op het %-icoontje. Dan zie je 100% tevoorschijn komen. Dat is geen leugen, dat is een afronding. Dat in informele spreektaal vaak "honderd procent" wordt gezegd als "werkelijk alles zonder maar één uitzondering" wordt bedoeld wil niet zeggen dat dat in formeler gebruik ook opgaat. De leugen die je ziet zit niet in zo'n cijfer maar in je onvermogen het goed te interpreteren, vrees ik.
16-06-2017, 10:51 door Anoniem
Door Anoniem:
Door Anoniem: Vandaar dat het een ordinaire leugen is als AV-boeren zelf, maar ook testers als av-test.org en av-comparatives.org, stellen dat er virusscanners zijn die 100% van de verse "in the wild" malware herkennen. Forget it, dat gaat nooit gebeuren.
Die testsites hebben verzamelingen malware waarmee ze testen en die ze actueel houden. Een scoringspercentage dat ze rapporteren heeft altijd betrekking op de malwareverzameling waarmee ze getest hebben. Nogal wiedes, hoe zou het anders kunnen?
Bijvoorbeeld door antivirusproducten bijv. een week niet te updaten en ze dan malware aan te bieden die de afgelopen week is verschenen? Of door op sites als virustotal aangeleverde (door gekken als ik) malware direct aan te bieden aan alle producten die je in duurtest hebt?

De score die daaruit naar voren komt is echter zo dramatisch slecht dat ze dat of niet doen of "creatief met de cijfers omgaan". Zo mixen ze dat resultaat bijvoorbeeld met de herkenningsrate voor "bekende malware" (dat is interessant voor echte vriussen en wormen, maar nauwelijks voor hedendaagse bedreigingen). Dergelijke uitslagen hebben niets met afronden te maken maar zijn ordinair boerenbedrog waardoor klanten een vals gevoel van veiligheid wordt voorgespiegeld.

In bijv. https://www.security.nl/posting/414119/29+virusscanners+op+Windows+Server+2008+getest wordt dit een "RAP" test genoemd met, ook in dit geval, totaal ongeloofwaardige uitslagen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.