BadRabbit-ransomware maakte gebruik van NSA-exploit
De BadRabbit-ransomware die afgelopen dinsdag allerlei bedrijven en organisaties infecteerde maakte gebruik van een NSA-exploit om zich binnen netwerken te verspreiden. Dat laat Cisco vandaag weten. Voor zover bekend vond de initiële infectie plaats via een zogenaamde Flash Player-update die via gehackte websites aan internetgebruikers werd aangeboden.
Zodra deze "update" was gedownload en geopend werd de BadRabbit-ransomware geïnstalleerd. Naast het versleutelen van bestanden en het overschrijven van het Master Boot Record (MBR) van de harde schijf probeerde de ransomware ook andere machines in het netwerk te infecteren. Al gauw werd vastgesteld dat dit gebeurde via een lijst met veelvoorkomende wachtwoorden en het onderscheppen van inloggegevens. Kort na de uitbraak meldde ESET-onderzoeker Lukas Stefanko dat BadRabbit ook de EternalBlue-exploit van de NSA gebruikte om zich verder binnen het netwerk te verspreiden. Dit bleek achteraf niet het geval te zijn.
Cisco stelt nu dat er toch een exploit van de NSA door de ransomware is ingezet, namelijk EternalRomance. Deze exploit, die bij de NSA werd gestolen en in april van dit jaar door een groep genaamd Shadow Brokers openbaar werd gemaakt, maakt net als EternalBlue gebruik van een kwetsbaarheid in de SMB-dienst van Microsoft. De exploit werkt op Windows XP, Vista, Windows 7, Server 2003 en Server 2008. Via het beveiligingslek kan een aanvaller code op kwetsbare computers uitvoeren. De kwetsbaarheid (CVE-2017-0145) werd in maart van dit jaar door Microsoft gepatcht. Veel organisaties hadden de update niet meteen geïnstalleerd, zo bleek uit de uitbraak van de WannaCry-ransomware in mei. Hoe effectief het gebruik van de EternalRomance-exploit door BadRabbit was is nog onbekend.
Expploits worden ontdekt, ingezet als 0-day en dan breder bekend (maar niet altijd gemeld of gepatched), een ander deel komt zonder eerder gebruik na patchen in de openbaarheid om vervolgens ingezet te worden. Denk je dat kwetsbaarheden slechts door een persoon of organisatie ontdekt worden? Dan moet je echt wakker worden want het er spelen heel veel belangen, waaronder geld en kennis waar heel veel figuren graag gebruik van maken. De een onder een wettelijk recht, de ander volkomen illegaal. Als overheden kwetsbaarheden vinden doen bedrijven en anderen dat net zo en gezien de hoeveelheid malware en criminele activiteiten waarschijnlijk een heel stuk breder. Als de overheden het niet zouden doen mag je je afvragen of de wereld echt veiliger is. Misschien voelt het alleen beter voor de gemoedsrust.
Daarom is verantwoord in de openbaarheid brengen zo belangrijk. Daarom is het opleiden tot het juist gebruiken van beste praktijken zo belangrijk.
Leer die mensen security headers inzetten, info proliferatie tegengaan, SRI hashes genereren, kwetsbare code en kwetsbare encryptie en sleutel generators niet langer gebruiken, en ook zwakheden onder dwang van straf afvoeren.
Anders komen we nooit weg uit al die sh*t!
Certificaten als root op den server, weg ermee, oude plug-in code en verlaten code, overboord ermee. Leren error-hunten, doorspitten die sources en sinks. javascript unpacken, kijken waar de code te lang loopt en dan errors navolgen.
Kijken naar wat te exploiteren valt. Leer de 9 groepen C2 server snort alerts uit je hoofd. Doe er wat mee en doe er wat aan en tegen. Klop je eigen dhcp code in, daar leer je wat van.
Neen, we gaan liever verder met vriendje Onbenul en maatje Domgehouden. Zo wordt het toch nooit wat. Ieder moet zijn eigen straatje schoonvegen, ieder uitblinken in zijn eigen metier.
De website administrator en website bouwer/developer moeten hand in hand gaan met de website beveiliger. Een ideale wereld bestaat niet, maar verbeter de wereld en begin vervolgens bij je zelf. Ik draag mijn steentje al bij, al ruim vijftien jaar,
van weak cgi tot jquery bibliotheken afvoeren. En de zeven kruisjes naderen al, maar met code voel ik me nog net veertien.
Nu even weer iets opzoeken bij StackOverflow en kijken op Github of een scriptje maken voor onder de Tampermonkey.
Slokje koffie, sambalnootje erbij, come on folks, come on!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
