image

WikiLeaks onthult CIA-malware die partitiebootsector aanpast

vrijdag 1 september 2017, 07:34 door Redactie, 20 reacties

De CIA beschikt over malware die de partitiebootsector van systemen aanpast en zichzelf in niet-gepartioneerde ruimte kan installeren, zo laat klokkenluiderssite WikiLeaks in een nieuwe onthulling weten. De malware wordt Angelfire genoemd en bestaat uit vijf onderdelen genaamd Solartime, Wolfcreek, Keystone, BadMFS en het Windows Transitory File system.

Het doel van Angelfire is om andere malware op computers met Windows XP of Windows 7 uit te voeren. Zo wijzigt Solartime de partitiebootsector om bepaalde kernelcode te laden. Deze kernelcode wijzigt vervolgens het Windows-bootproces, zodat Windows een malware-driver downloadt. Deze malware-driver en Solartime-bootcode worden in een versleuteld bestand op de harde schijf opgeslagen.

Wolfcreek is de kernelcode die door Solartime wordt uitgevoerd en andere drivers en user-mode applicaties kan laden. Keystone is weer verantwoordelijk voor het starten van gebruikersapplicaties. Hierbij wordt er een speciaal proces gestart en de malware direct in het geheugen geladen, waarbij de malware zich voordoet als svchost.exe. De geladen malware communiceert niet met het bestandssysteem, zodat er zo min mogelijk forensisch bewijs achterblijft, aldus de handleiding van de CIA.

Een ander onderdeel van Angelfire is BadMFS. Het wordt door de CIA omschreven als een verborgen bestandssysteem dat aan het einde van de actieve partitie wordt aangemaakt. Het wordt gebruikt voor de opslag van drivers en malware die Wolfcreek zal starten. Als laatste is er nog het Windows Transitory File system, dat volgens de Amerikaanse inlichtingendienst een nieuwe methode is om AngelFire te installeren. Of de CIA nog steeds van Angelfire gebruikmaakt is onbekend. De handleidingen die door WikiLeaks zijn gepubliceerd dateren van 2011. De malware zelf is niet vrijgegeven.

Reacties (20)
01-09-2017, 08:46 door spatieman
[sarcasme]
Daarom hebben ze windows 10 dus gratis gemaakt (voor zover als in het begin)
01-09-2017, 09:04 door Anoniem
Door spatieman: [sarcasme]
Daarom hebben ze windows 10 dus gratis gemaakt (voor zover als in het begin)

Dit heeft helemaal niets met Windows 10 te maken. Er zijn de nodige problemen met Windows 10, maar nodeloos bashen maakt de discussie alleen maar moeilijker.
01-09-2017, 09:37 door Anoniem
Door spatieman: [sarcasme]
Daarom hebben ze windows 10 dus gratis gemaakt (voor zover als in het begin)

Het wachten is, tot bekend wordt, dat soortgelijke oplossingen bestaan voor andere OS-sen. Wanneer het voor geheime diensten interessant is en ze voldoende middelen kunnen vrijmaken, worden die geheid gebouwd. Voor een attack die in een voldoende vroeg stadium wordt geladen, is niemand veilig. Een beveiliging die opstart binnen een al besmette omgeving, zal die besmetting niet zien.
01-09-2017, 10:08 door Anoniem
Vandaar wordt de Google Titan chip ontwikkeld, zodat men geheid weet wat er byte for byte geladen wordt. Immers zo de waard is, vertrouwt hij zijn gasten.

CIA een aanwinst voor de "vrije" wereld, opgebouwd in de jaren 50 op basis van de OSS met het "beste" wat Abwehr en NKVD te bieden hadden. Jongens met leuke experimenten tijdens de "Gladio" periode (toedienen van LSD aan niets vermoedende burgers in Frankrijk bijvoorbeeld). Vingers in alle vormen criminaliteit ter wereld vanwege het financieren van zwarte projecten en nu ten dienste van het Nieuwe Globale Surveillance Imperium met allerlei ongein op de 0ring in een met opzet vermoedelijk compleet gecompromitteerde digitale infrastructuur.

Van je vriendjes moet je het maar hebben. Straks hebben we ook geen plebisciet meer om ons over onze aftapwet uit te spreken als het aan onze politiek ligt. Tel de Amerikaanse en EU zegeningen (ironische modus aan)!

Oh en CIA zit al in Europa met kantoren in Frankfurt am Main en München en op het Amsterdamse internet-knooppunt.
Je glasvezel is er niet vrij van...ZTE Wireless Internet USB-vid etc. De grote dictatoriale systemen, die opkwamen in het interbellum zijn nooit echt verslagen, noch verdwenen...laat je niet in de luren leggen.
01-09-2017, 10:26 door Ron625
Misschien moeten toch maar overstappen op een Europees, of beter een Nederlands besturingssysteem.
Dan zijn we (hopelijk) van die Amerikaanse toestanden af.
01-09-2017, 11:00 door Anoniem
Door Ron625: Misschien moeten toch maar overstappen op een Europees, of beter een Nederlands besturingssysteem.
Dan zijn we (hopelijk) van die Amerikaanse toestanden af.
Zoals OpenMandriva? Dat is frans en Fransen hebben de pest aan de US.
01-09-2017, 13:01 door Anoniem
Door Anoniem:
Door Ron625: Misschien moeten toch maar overstappen op een Europees, of beter een Nederlands besturingssysteem.
Dan zijn we (hopelijk) van die Amerikaanse toestanden af.
Zoals OpenMandriva? Dat is frans en Fransen hebben de pest aan de US.

en aan Encryptie. dus dat lijkt me een goed idee
01-09-2017, 13:24 door Anoniem
"Of de CIA nog steeds van Angelfire gebruikmaakt is onbekend."

Dat zal vast niet, want met Secure Boot en Signed Drivers zoals dat tegenwoordig standaard is kan dit uiteraard alleen
nog als je de secret key van de OS fabrikant in je bezit hebt, iets waarvan onze vertrouwde OS fabrikanten altijd beweren
dat ze daar niet aan meewerken.
01-09-2017, 14:23 door Tubamaniak
Daar hoeven ze ook niet aan mee te werken. Stelen is voldoende....toch ?
01-09-2017, 15:46 door ph-cofi
Door Anoniem:(...)secret key(...)
Die Secure Boot sleutel was al een keer verloren gegaan, wellicht niet helemaal voor dezelfde situatie, maar wel illustratief.

De tekst van het bovenstaande artikel vind ik shocking en laat zien hoe ver de "good guys" willen gaan en ongetwijfeld ook in het Win10 tijdperk gaan.
01-09-2017, 17:52 door karma4 - Bijgewerkt: 02-09-2017, 09:34
Door Ron625: Misschien moeten toch maar overstappen op een Europees, of beter een Nederlands besturingssysteem.
Dan zijn we (hopelijk) van die Amerikaanse toestanden af.
Helpt niet veel als de Europeanen voor het geld alles naar de VS brengen.
Denk eens aan L. Torvald AES rijndael fox-it ging maar tot uk. Waarom dan niet meer naar Tanenbaum
01-09-2017, 22:11 door Anoniem
Door Ron625: Misschien moeten toch maar overstappen op een Europees, of beter een Nederlands besturingssysteem.
Dan zijn we (hopelijk) van die Amerikaanse toestanden af.

Huh ? 'spionagedienst heeft doos vol technische afluistertruuks voor veel gebruikte systemen' .
En nu ben je verbaasd, of boos ?

En denk je dat ze die truuks niet zouden maken/tweaken/aanpassen als je op Nederlands systeem werkt ?

Uit de omschrijving blijkt helemaal niet dat de truuks speciaal geholpen zijn door Microsoft - alleen maar dat ze er zijn voor een heel veel gebruikt OS .

Zomaar een plausibele gok - ze hebben vast en zeker ook een hoop microfoons en tracers voor voertuigen, met handleidingen speciaal hoe die te plaatsen in Fords, en Mercedessen, en Toyata landcruisers, en Harley Davidsons.
(en oude handleidingen hoe ze te plaatsen in Lada's en Zastava's en ZILs )
02-09-2017, 10:24 door ph-cofi
Door Ron625: Misschien moeten toch maar overstappen op een Europees, of beter een Nederlands besturingssysteem.
Dan zijn we (hopelijk) van die Amerikaanse toestanden af.
Een Europees chipsbak-, firmwaremaak-, OSontwikkel-project? De remedie ligt wellicht meer in logging en auditing van dataverkeer naar buiten d.m.v. een machientje dat (nog) niet door de NSA is voorzien van spionagevuil.
Ik denk dat openbare broncode, dat bovendien geinspecteerd moet zijn, kan helpen. Oh nee, de ellende stoppen ze gewoon in de netwerkkaart-hardware...
02-09-2017, 14:21 door Anoniem
@ ph-cofi

Mooi voorbeeldje hiervan: https://github.com/samratashok/nishang/blob/master/Backdoors/Add-RegBackdoor.ps1
en suggestie om dit gevaar te pareren: https://superuser.com/questions/732605/how-to-prevent-the-sethc-exe-hack
Lees ook: http://www.easy2boot.com/add-payload-files/utilman/

Al hier besproken: https://www.security.nl/posting/518656/Hackergroep+communiceert+%27onzichtbaar%27+via+Intel-technologie

Als het remote beheer al helemaal onder controle staat van 'onze surveillancestaat bij uitstek', wat dan?

Inderdaad die man met die hoed en de strenge wijsvinger. "Who is not with us, is against us! - It is an ever ongoing battle, folks, just for your very souls". Vluchten kan niet meer.

De digitale consument aka eindgebruiker doet er helemaal niet meer toe.Hij, zij, het, jij ook, zijn gedegradeerd tot product ter
winstoptimalisatie - een te verwaarlozen cybercomponent. Niemand ziet het grote spel, de verborgen hand en niemand benoemt het zo het is.

Wij als security mensen met relevante kennis kunnen het verschil niet meer maken. Er wordt gewoonweg niet naar ons geluisterd. We zijn alleen maar lastig luizen in de IT en data-waterhandel pels. Ik ben er trots op dat te zijn. Lekker anoniem kriebelen in de nerts van Big Commerce en Big Surveillance. Deze krachten kruipen immers ook steeds weg en onttrekken zich aan alle verantwoording voor wat ze aan het doen zijn. Stelletje stiekemerds zijn het.

U wordt geleefd en u heeft er vrede mee gesloten of kan niet anders zonder van alles op het spel te moeten zetten of compleet af te haken. Het zij zo, amen.

Een goed weekend aan u allen,

luntrus
02-09-2017, 14:53 door Anoniem
Door Anoniem:
Door spatieman: [sarcasme]
Daarom hebben ze windows 10 dus gratis gemaakt (voor zover als in het begin)

Het wachten is, tot bekend wordt, dat soortgelijke oplossingen bestaan voor andere OS-sen. Wanneer het voor geheime diensten interessant is en ze voldoende middelen kunnen vrijmaken, worden die geheid gebouwd. Voor een attack die in een voldoende vroeg stadium wordt geladen, is niemand veilig. Een beveiliging die opstart binnen een al besmette omgeving, zal die besmetting niet zien.

ik wacht al 26 jaar inmiddels :). da's best lang om relatief veilig te zijn IN DE PRAKTIJK...
03-09-2017, 21:26 door karma4
Door Anoniem:
ik wacht al 26 jaar inmiddels :). da's best lang om relatief veilig te zijn IN DE PRAKTIJK...
Heb je toch wat gemist net Internet of unsecured things.
04-09-2017, 09:11 door Anoniem
Door karma4:
Door Anoniem:
ik wacht al 26 jaar inmiddels :). da's best lang om relatief veilig te zijn IN DE PRAKTIJK...
Heb je toch wat gemist net Internet of unsecured things.

meuk heb ik niet in huis, dus ik wacht nog steeds :).
04-09-2017, 15:26 door Anoniem
Misschien moeten de hackers en IT specialisten maar ook anderen begaan met security die lastig gevallen door groupstalking zich eens uitspreken voor het te laat is...... dit gebeurt ook al in Nederland en vooral IT'ers zijn het doelwit van bizzare mindcontrol experimenten. Hoor de verhalen maar aan op een hacker congress
04-09-2017, 16:48 door Anoniem
Door ph-cofi: een machientje dat (nog) niet door de NSA is voorzien van spionagevuil.
Da's dus een AMD ARM CPU?
Waar moet ik aan ongeveer aan denken?
06-09-2017, 18:47 door Anoniem
Door Anoniem: Misschien moeten de hackers en IT specialisten maar ook anderen begaan met security die lastig gevallen door groupstalking zich eens uitspreken voor het te laat is...... dit gebeurt ook al in Nederland en vooral IT'ers zijn het doelwit van bizzare mindcontrol experimenten. Hoor de verhalen maar aan op een hacker congress
Dat gebeurt alleen indien ze misstand aan de kaak hebben gesteld. Een persoon in de IT die hoort ziet en zwijgt bij digitale misverstanden heeft niks te vrezen. Ze komen alleen bij je als je je mond niet houdt. Voor mensen die mensenrechten belangrijk vinden zoals het recht op zonder camera in een bed dingen te doen zoals mastuberen of neuqen is er geen plaats meer in onze samenleving.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.