Aanvallers CCleaner wisten logbestanden wegens ruimtegebrek
De aanvallers die softwarebedrijf Piriform hackten en een backdoor aan de populaire tool CCleaner toevoegden hebben wegens ruimtegebrek op de command en controleserver allerlei logbestanden gewist, waardoor de volledige omvang van de aanval niet zichtbaar is.
Dat meldt anti-virusbedrijf Avast, dat eigenaar van CCleaner is, in een nieuwe technische analyse van het incident. Gisteren maakten Cisco en Avast bekend dat de aanval tegen grote tech- en internetbedrijven was gericht. Dit bleek uit logbestanden op de server waarmee de backdoor in CCleaner communiceerde. De logbestanden bevatten slechts data van vier dagen, terwijl de besmette versie van CCleaner een maand lang werd aangeboden.
Uit onderzoek van de server blijkt dat die op 31 juli werd geïnstalleerd en op 11 augustus met het verzamelen van data begon. De database op de server bevatte geen data van voor 12 september. Onderzoekers van Avast dachten dan ook dat iemand de logbestanden had verwijderd om geen sporen achter te laten. Uit een ander logbestand blijkt echter dat de database, die data van de backdoor opsloeg, niet voldoende schijfruimte had.
De aanvallers besloten dan ook logbestanden te verwijderen om zo ruimte vrij te maken. De logbestanden laten ook zien dat de database tijdens deze periode gecorrumpeerd was geraakt en de aanvallers besloten om die opnieuw te installeren. "Het is jammer dat de server zo'n low-end machine was met beperkte schijfcapaciteit. Als dit namelijk niet het geval was geweest, hadden we waarschijnlijk een veel duidelijker beeld van wie er door de aanval is getroffen, aangezien dan de hele database sinds de initiële startdatum intact zou zijn geweest", aldus de onderzoekers van Avast.
Doelwit
Gisteren werden al verschillende bedrijven genoemd die het doelwit van de aanvallers waren. Vier domeinen van twee bedrijven zijn echter nog niet openbaar gemaakt, aldus de onderzoekers. Deze domeinen waren in de scripts inactief gemaakt, wat erop kan duiden dat de lijst met aangevallen bedrijven in de loop van de tijd veranderde. Dit wordt verder ondersteund door het feit dat sommige van de 20 computers die aanvullende malware ontvingen zich in domeinen bevonden die niet in de originele lijst waren opgenomen.
Ook lijkt het erop dat de aanvallers een fout hebben gemaakt met de domeinnaam van één bedrijf. Het domein eindigt op .sk, maar volgens de onderzoekers hadden de aanvallers het waarschijnlijk op gebruikers in het Zuid-Koreaanse hoofdkantoor voorzien. Het .sk-domein is echter van de Slowaakse tak van het bedrijf. Wie er achter de aanvallen zit kunnen de onderzoekers niet zeggen. "Het is op dit moment onmogelijk om te zeggen vanuit welk land de aanval kwam, omdat alle datapunten eenvoudig te vervalsen zijn om de werkelijke locatie van de aanvallers te verbergen."
Huh, dat is gewoon standaard praktijk bij een aanval. Je wilt niet dat de aangevallen partij achteraf kan achterhalen wat er is gebeurd. Tekent dit nu het kennisniveau van Avast? Is dit zand in de ogen van de aangevallenen strooien om eigen falen te verbergen?
Wat een inzicht ineens in de handelswijze van de aanvallers... En dat met gewiste logbestanden... En weten waarom ze gweist zijn... En weten dat de database gecorrumpeerd was geraakt... Het lijkt wel of ze de aanvallers kennen ==> Inside Job maar wordt stil gehouden?
Lijkt me dat er een hoop mis is bij Avast!
- Men had geen inzicht in het (niet standaard) netwerkverkeer
- Geen alarm/opvolging dat de server low on diskspace was
- Geen alarm/opvolging dat logging verwijderd werd / men had hier permissie voor (RCE/EoP?)
- Geen log backup naar een extern systeem
- Geen alarm/opvolging dat de database corrupt was
- Geen alarm/opvolging dat er een herinstallatie van de database had plaatsgevonden
Ik hoop dat Avast zijn eigen AV omgeving beter in beheer heeft, anders hebben we daar straks ook updates met "extra functionaliteit".
Het is duidelijk dat Avast niet meer te vertrouwen is. Damage control is een ding, maar over de impact liegen om het eigen hachje te redden...
Voorspelling: In https://www.security.nl/posting/532047/ESET%3A+Providers+voorzien+downloads+van+overheidsspyware wordt Avast ook genoemd... Dit kan alleen maar als er ook lekken in Avast software zit. Aangezien er Avast staat en niet Piriform, is het het meest waarschijnlijk dat het hier om de Avast anti-virus software gaat. Dat is natuurlijk handig om iets niet te detecteren.
Voor mij geen Avast meer... Avast Free staat bij mij nu voor Free Entry (voor hackers en overheden)
- Men had geen inzicht in het (niet standaard) netwerkverkeer
- Geen alarm/opvolging dat de server low on diskspace was
- Geen alarm/opvolging dat logging verwijderd werd / men had hier permissie voor (RCE/EoP?)
- Geen log backup naar een extern systeem
- Geen alarm/opvolging dat de database corrupt was
- Geen alarm/opvolging dat er een herinstallatie van de database had plaatsgevonden
Ik hoop dat Avast zijn eigen AV omgeving beter in beheer heeft, anders hebben we daar straks ook updates met "extra functionaliteit".
Nee, niemand heeft schade opgelopen... Ze kunnen me nog meer vertellen, maar hier werkt het een na het ander niet meer, zelfs mijn security cams connecten sinds gisteravond niet meer met de weergave client.
Dat word dus de PC opnieuw installen wat ruim een dag gaat duren met alle andere software PPPPPFFFFFFF!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
