Nieuws

Bestandsloze backdoor verspreidt zich via usb-sticks

vrijdag 1 september 2017, 08:48 door Redactie, 12 reacties

Begin deze maand werd er gewaarschuwd voor een backdoor die op aangevallen systemen geen bestanden naar de harde schijf wegschrijft, wat het lastiger maakt om de malware te detecteren en analyseren. Het was echter onbekend hoe de malware zich precies verspreidde. In eerste instantie werd gedacht aan een download door de gebruiker of installatie via andere malware.

Voor de verspreiding worden echter usb-sticks gebruikt, zo laat anti-virusbedrijf Trend Micro weten. De usb-sticks bevatten snelkoppelingen die dezelfde naam als de usb-stick kunnen hebben. Zodra gebruikers de snelkoppeling openen wordt er kwaadaardige code in het geheugen uitgevoerd en een waarde aan het register toegevoegd die de Powmet Trojan downloadt. Deze malware downloadt weer een Powershell-script dat de uiteindelijke backdoor op het systeem downloadt.

In de gehele infectieketen worden er geen bestanden naar de harde schijf weggeschreven. Volgens Trend Micro komen aanvallen waarbij alleen bestandsloze malware wordt gebruikt zeer zelden voor. Bij welke organisaties de usb-sticks werden aangetroffen en hoe die daar precies terechtkwamen laat de virusbestrijder niet weten. De backdoor zou voornamelijk in Azië en de Pacific zijn waargenomen.

Canadese universiteit maakt 11,8 miljoen over naar criminelen

Rechtszaak tegen Yahoo wegens datalekken mag doorgaan

Reacties (12)

01-09-2017, 08:59 door Anoniem

Ik zie toch duidelijk een aantal bestanden.. ?
Titel lijkt me dus wellicht iets misleidend?

01-09-2017, 11:24 door SecGuru_OTX

Dit is blijkbaar weer een nieuwe hype term "fileless malware" wanneer de payload niet meer naar disk maar naar memory gaat.

.... en dat heeft te maken het feit dat er maar weinig Anti-Malware oplossing zijn die dit soort aanvallen preventief kunnen blokkeren. Hoewel ze allemaal zeggen dat ze aan memory scanning doen, gaat het over het algemeen om het scannen van bekende kwaadaardige code in het geheugen.

01-09-2017, 11:27 door Anoniem

Door Anoniem: Ik zie toch duidelijk een aantal bestanden.. ?
Titel lijkt me dus wellicht iets misleidend?

Ja, wordt een stuk spannender gemaakt op deze manier. Beter titel zou kunnen zijn, "backdoor verspreidt zich via snelkoppelingen op USB sticks"

Maar vast niet catchy genoeg..

01-09-2017, 13:02 door Anoniem

Men noemt dit "bestandsloos" omdat er in de registry een entry geschreven wordt dat regsrv32 aanroept waarbij een URL wordt meegegeven aan de scripting engine van windows die vervolgens vanaf die URL een script download en executeert. Op je computer is dus geen enkele "geïnfecteerd bestand" te vinden terwijl toch bij iedere boot de malware geladen wordt.

01-09-2017, 13:51 door Anoniem

Door SecGuru_OTX: Dit is blijkbaar weer een nieuwe hype term "fileless malware" wanneer de payload niet meer naar disk maar naar memory gaat.

.... en dat heeft te maken het feit dat er maar weinig Anti-Malware oplossing zijn die dit soort aanvallen preventief kunnen blokkeren. Hoewel ze allemaal zeggen dat ze aan memory scanning doen, gaat het over het algemeen om het scannen van bekende kwaadaardige code in het geheugen.

Dit heeft wel invloed op het idee van de stateless laptop van Rutkowska: https://blog.invisiblethings.org/2015/12/23/state_harmful.html

01-09-2017, 14:32 door Anoniem

Door Anoniem: Ik zie toch duidelijk een aantal bestanden.. ?
Titel lijkt me dus wellicht iets misleidend?

Het heet bestandsloos omdat er nergens bestanden naar de harde schijf worden weggeschreven.
De "malicious code in memory" lijkt me een programma.

01-09-2017, 16:16 door Anoniem

Ik zou graag zien dat er een OS vermelding gedaan zou worden door de redactie.

01-09-2017, 18:04 door karma4

Door Anoniem: Ik zou graag zien dat er een OS vermelding gedaan zou worden door de redactie.

Voegt niets toe ... ben je nu uit op os flaming?

01-09-2017, 19:03 door Anoniem

Door karma4:

Door Anoniem: Ik zou graag zien dat er een OS vermelding gedaan zou worden door de redactie.

Voegt niets toe ... ben je nu uit op os flaming?

Nee, zeker niet maar ik ben het een beetje moe om te lezen dat product a,b,c lek is terwijl dat vaak maar voor een bepaald OS geldt. En of dat nu Windows (xp,nt,me,7 of 10), macOS of Linux (smaak x,y,x) maakt me geen reet uit maar een header dient de lading te dekken en die suggestieve Televaag koppen om lezers te trekken ben ik zat.

Dus voegt alles toe.

01-09-2017, 20:44 door SecGuru_OTX

Betreft alle Windows versies m.u.v. Windows 10 met Device Guard enabled.

02-09-2017, 09:27 door karma4 - Bijgewerkt: 02-09-2017, 23:25

Door Anoniem: Nee, zeker niet maar ik ben het een beetje moe om te lezen dat product a,b,c lek is terwijl dat vaak maar voor een bepaald OS geldt. ..
Dus voegt alles toe.

Elk product is lek er is genoeg wat men nog niet weet of wat bij ander gebruik ineens onverwachte effecten gaat vertonen.
Je wordt een beetje moet van dat kontstante gespring over de details.

Neem het plaatje en eerste figuurtje. titel "betandsloze backdoor" eerste malicious files (bestanden) op de USB.
Een USB heeft een plug en play als basis ontwerp. Firmware loading https://wiki.debian.org/Firmware .
Het concept en de achilleshiel is algemeen. Je moet niet zomaar wat rond gaan pluggen omdat het zo makkelijk lijkt.

Zodra je het in de huidige tijd/markt een AV boer als bron van het artikel ziet weet je dat ze zichzelf aan het verkopen zijn en welke markt ze op het oog hebben.

goeie tovoeging van secguru_OTX. De maatregelen van het vanzelf isntalleren kun je enkel op een zeer laag niveau (hoge rechten) afvangen. https://docs.microsoft.com/en-us/windows/device-security/device-guard/device-guard-deployment-guide
Enterprise edition met whitelisting. Zie ook even de "Fixed-workload devices" "fully/light managed devices" je krijgt een hele waslijst van stacks/invullingen.

02-09-2017, 11:05 door Briolet

Door Anoniem:

Door Anoniem: Ik zie toch duidelijk een aantal bestanden.. ?
Titel lijkt me dus wellicht iets misleidend?

Het heet bestandsloos omdat er nergens bestanden naar de harde schijf worden weggeschreven.

Nee. In de eerste zin staat de passage: "geen bestanden naar de harde schijf wegschrijft". Daarmee wordt impliciet gesteld dat, ook in de definitie van de redactie, bestanden niet perse dingen zijn die op de harde schijf staan. Voordat de verzameling bitjes uit het geheugen weggeschreven wordt, heet het al bestand.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer