image

Spectre- en Meltdown-gerelateerde malware ontdekt

donderdag 1 februari 2018, 09:51 door Redactie, 10 reacties
Laatst bijgewerkt: 01-02-2018, 10:40

Het Duitse testlab AV-Test heeft vorige maand 119 malware-exemplaren ontdekt die geassocieerd worden met de Spectre- en Meltdown-aanvallen. Sinds de kwetsbaarheden in processors vorige maand werden onthuld zijn er nog geen aanvallen op gebruikers in "het wild" waargenomen.

Het grootste deel van de malware die AV-Test aantrof is gebaseerd op de proof-of-concept-code van de onderzoekers die Spectre en Meltdown openbaar maakten, zo meldt securitybedrijf Fortinet. De onderzoekers lieten onder andere zien hoe de Spectre-aanval het mogelijk maakt om via kwaadaardige JavaScript-code informatie uit het geheugen van de browser te stelen. Ook via Meltdown is het mogelijk voor malware om informatie in het geheugen te benaderen waar het normaliter geen toegang toe heeft.

Zeventien procent van de betreffende malware-exemplaren konden onderzoekers van Fortinet niet analyseren, mogelijk omdat die niet mogen worden gedeeld of om andere redenen ontoegankelijk waren. Meer informatie over de malware-exemplaren wordt niet gegeven. We hebben AV-Test dan ook om meer details gevraagd. Chipgigant Intel zou binnenkort met nieuwe updates moeten komen om gebruikers tegen Spectre en Meltdown te beschermen. De vorige updates werden vanwege allerlei problemen teruggetrokken.

Update

Andreas Marx van AV-Test laat in een reactie aan Security.NL weten dat er inmiddels 139 exemplaren zijn waargenomen. In de meeste gevallen gaat het om gehercompileerde/uitgebreidere versies van de proof-of-conceptcode. "Interessant genoeg voor verschillende platformen zoals Windows, Linux en macOS. We hebben ook de eerste JavaScript proof-of-conceptcode ontdekt voor browsers zoals Internet Explorer, Chrome of Firefox."

De malware is afkomstig van verschillende bronnen, zoals andere onderzoekers en testers, maar ook van anti-virusbedrijven. "Ik denk dat verschillende groepen op dit moment aan proof-of-concepts werken om te kijken of ze voor "bepaalde" doeleinden zijn te gebruiken", gaat Marx verder. Gezien het grote aantal kwetsbare systemen zijn Spectre en Meltdown interessant voor cybercriminelen om informatie uit met name de browser te stelen.

"Ik weet zeker dat we ons nog in de "onderzoekfase" voor aanvallen bevinden, maar het zou me niet verbazen als we de eerste gerichte aanvallen in de toekomst zullen zien", merkt Marx op. Grootschalige aanvallen zijn volgens hem afhankelijk van hoe eenvoudig het is om dergelijke aanvallen uit voeren. Afsluitend adviseer hij gebruikers naast het updaten van hun bios en besturingssysteem om ook de computer uit te schakelen als die enige tijd niet wordt gebruikt en bijvoorbeeld tijdens de lunchpauze de browser te sluiten. "Dit verkleint het aanvalsoppervlak en bespaart ook de nodige energie."

Image

Reacties (10)
01-02-2018, 10:08 door Anoniem
De Redactie heeft er een schoolverlater bij? Het is om andere redenen.

Maargoed, dit is wel weer een mooi stukje paniekzaaien met een mooi grafiekje en meerdere manieren van suggereren maar vooral geen harde cijfers geven. Want een getal van "119 maar kan ook 99 zijn" is niet echt een hard cijfer. Het gaat dus om "guilt by association". Een stukje "waar rook is moet wel vuur zijn."

Fortinet is ook lekker bezig met hun, "exponential growth"... nou, dat grafiekje ziet er toch meer lineair uit.

Maar hee, de security industrie draait op paniekzaaien, en dat werkt beter als je net doet of je vanalles weet maar vooral niet teveel aan echte informatie loslaten. Dus dit hoort gewoon bij het geldklopspelletje.
01-02-2018, 10:55 door Anoniem
De Redactie heeft er een schoolverlater bij? Het is om andere redenen.

Niemand heeft iets aan dit soort insinuaties..... Voel je jezelf nu beter ?
01-02-2018, 10:56 door Anoniem
Volgens de uitkomsten van de THOR-scanner werden sommige samples al ontdekt op 23 januari j.l.
Het ziet er dus naar uit dat jan-cybercrimineel al snel bezig was om deze malware op het net te gooien.
01-02-2018, 10:57 door Anoniem
Hahahaha...

Van AV-Test zelf: 250,000 new malicious programs every day: https://www.av-test.org/en/statistics/malware/

Dus 119 samples totaal in een wereld met 250.000 nieuwe samples per dag...
Die 119 zijn dan ook nog eens PoC.
In die 119 zitten, aldus AV-Test, hercompilaties.

Gevalltje PR zoeken met een leuk spannend grafiekje met een superrood vlak... Doet het goed toch?
01-02-2018, 11:00 door Anoniem
Maargoed, dit is wel weer een mooi stukje paniekzaaien met een mooi grafiekje en meerdere manieren van suggereren maar vooral geen harde cijfers geven. Want een getal van "119 maar kan ook 99 zijn" is niet echt een hard cijfer. Het gaat dus om "guilt by association". Een stukje "waar rook is moet wel vuur zijn."

Volslagen onzin. Het is een objectieve cijfermatige weergave van bestanden, die deze kwetsbaarheden exploiten. Zoek je in VirusTotal Intelligence op exploit.meltdown en exploit.spectre dan kom je op soortgelijke aantallen uit.

Want een getal van "119 maar kan ook 99 zijn" is niet echt een hard cijfer

Vrij onzinnig commentaar. Die 99 zijjn verder afkomstig uit jouw dikke duim. Overigens is het natuurlijk niet zo dat het getal dat AV-Test of VirusTotal noemt, het totaal aantal is wat bestaat. Er is ook genoeg malware die zij nog niet zijn tegengekomen. Wat dat betreft heb je in de AV industrie altijd ook met 'unknowns' te maken.
01-02-2018, 11:02 door Anoniem
Maar hee, de security industrie draait op paniekzaaien, en dat werkt beter als je net doet of je vanalles weet maar vooral niet teveel aan echte informatie loslaten. Dus dit hoort gewoon bij het geldklopspelletje.

Jij draait op afzeiken ? Zonder werkelijke argumenten mensen beschuldigen van paniekzaaien, pretenderend dat jij het allemaal beter weet ? De beste stuurlui staan aan wal ;)
01-02-2018, 18:36 door Legionnaire
Door Anoniem:
Maar hee, de security industrie draait op paniekzaaien, en dat werkt beter als je net doet of je vanalles weet maar vooral niet teveel aan echte informatie loslaten. Dus dit hoort gewoon bij het geldklopspelletje.

Jij draait op afzeiken ? Zonder werkelijke argumenten mensen beschuldigen van paniekzaaien, pretenderend dat jij het allemaal beter weet ? De beste stuurlui staan aan wal ;)

Het merendeel roept maar wat, zonder onderbouwde argumenten en je persoonlijk te beledigen.

Gewoon gebrek aan kennis en respect en als je reageert op hun reactie...is het ineens stil.
Op jou reactie, reageren ze ook niet meer.

Zelf heb ik maanden gelden al gepost, dat er een enorm beveiligingsprobleem is en in de toekomst veel meer duidelijk zal worden.

Destijds en zelfs nu nog word ik voor van alles en nog wat uitgemaakt, zonder reden.

Maar ondanks dat er meer nieuws naar buiten komt, die mijn posten van toen en nu ondersteunen, net zoals dit artikel.

Blijft men naief, dom reageren met de vreemdste complot theorien en de fabrikanten en/of onderzoekers voor gek verklaren.

Ongelofelijk...

Ter aanvulling van dit artikel, zie mijn reactie en uitleg bij '1 DDos aanval per seconde.

Gr/ L
01-02-2018, 20:07 door Anoniem
Door Legionnaire:
Door Anoniem:
Maar hee, de security industrie draait op paniekzaaien, en dat werkt beter als je net doet of je vanalles weet maar vooral niet teveel aan echte informatie loslaten. Dus dit hoort gewoon bij het geldklopspelletje.

Jij draait op afzeiken ? Zonder werkelijke argumenten mensen beschuldigen van paniekzaaien, pretenderend dat jij het allemaal beter weet ? De beste stuurlui staan aan wal ;)
Het merendeel roept maar wat, zonder onderbouwde argumenten en je persoonlijk te beledigen.
Gewoon gebrek aan kennis en respect en als je reageert op hun reactie...is het ineens stil.
Blijft men naief, dom reageren met de vreemdste complot theorien en de fabrikanten en/of onderzoekers voor gek verklaren.
Ongelofelijk...
Ter aanvulling van dit artikel, zie mijn reactie en uitleg bij '1 DDos aanval per seconde.
Gr/ L

Zou je openstaan voor het idee om seminars te geven?
Denk dat daar best veel belangstelling voor zou zijn.
Beter dan hier want hier luistert men toch niet.
Er is altijd wel ergens een zaaltje te vinden bij een buurtcentrum.
Volle bak met echte geinteresseerden voor jou security inzichten.
Laat even weten, misschien kunnen we hier iets regelen.
Goede sprekers met kennis zijn onmisbaar!
05-02-2018, 01:00 door Anoniem
Door Anoniem:
Maar hee, de security industrie draait op paniekzaaien, en dat werkt beter als je net doet of je vanalles weet maar vooral niet teveel aan echte informatie loslaten. Dus dit hoort gewoon bij het geldklopspelletje.

Jij draait op afzeiken ? Zonder werkelijke argumenten mensen beschuldigen van paniekzaaien, pretenderend dat jij het allemaal beter weet ? De beste stuurlui staan aan wal ;)

Hij heeft gelijk. De security industrie draait op paniekzaaien en ook door zaken kwetsbaarder te maken. En die industrie groeit dus de vraag naar insecurity groeit. Dat zie je niet alleen terug in de digitale wereld maar ook offline. De meer schimmige "security" bedrijven en instellingen draaien beide kanten... Problem, Reaction, Solution. Hegeliaanse dialectiek, enzovoort. Wie dat ontkent moet zich eens afvragen aan welke kant hij of zij staat....naieve mensen die nog niet lang meedraaien in de industrie zouden door meer door whitehats moeten worden ingelicht en whitehats zouden in het algemeen meer credits moeten krijgen voor hun nobele werk. Kennis vergaren duurt lang, vele jaren, en ik heb veel respect voor de mannen en vrouwen die deze kennis gratis en voor humanitaire doeleinden overdragen op andere mensen en communities zonder winstoogmerk (financieel of om zichzelf te profileren).
Dit moet ik even kwijt omdat ik het "negatieve" en "kritische" vaak commerciele geluid steeds meer de overhand zie krijgen in de security industry. Ik vraag me af hoeveel mensen hier ooit als passionate hobbyist zijn begonnen met een Linux installatie en opensource software, die nu "In de Security werken" met exploits die de boel er niet veiliger op maken. Ik vraag me echt af of er een anonieme en eerlijke pol mogelijk is om een schatting te krijgen van het aantal black, white en gray hats.
07-02-2018, 04:32 door Legionnaire
Door Anoniem:
Door Legionnaire:
Door Anoniem:
Maar hee, de security industrie draait op paniekzaaien, en dat werkt beter als je net doet of je vanalles weet maar vooral niet teveel aan echte informatie loslaten. Dus dit hoort gewoon bij het geldklopspelletje.

Jij draait op afzeiken ? Zonder werkelijke argumenten mensen beschuldigen van paniekzaaien, pretenderend dat jij het allemaal beter weet ? De beste stuurlui staan aan wal ;)
Het merendeel roept maar wat, zonder onderbouwde argumenten en je persoonlijk te beledigen.
Gewoon gebrek aan kennis en respect en als je reageert op hun reactie...is het ineens stil.
Blijft men naief, dom reageren met de vreemdste complot theorien en de fabrikanten en/of onderzoekers voor gek verklaren.
Ongelofelijk...
Ter aanvulling van dit artikel, zie mijn reactie en uitleg bij '1 DDos aanval per seconde.
Gr/ L

Zou je openstaan voor het idee om seminars te geven?
Denk dat daar best veel belangstelling voor zou zijn.
Beter dan hier want hier luistert men toch niet.
Er is altijd wel ergens een zaaltje te vinden bij een buurtcentrum.
Volle bak met echte geinteresseerden voor jou security inzichten.
Laat even weten, misschien kunnen we hier iets regelen.
Goede sprekers met kennis zijn onmisbaar!

Dat er veel belangstelling voor zou zijn, dat betwijfel ik niet.
Seminars geven heb ik absoluut geen tijd voor en probeer het dus via deze weg onder de aandacht te brengen.
Maar ik ben geschrokken van de 'onbeschofte' reacties die ik hier naar mijn hoofd geslingerd kreeg en mezelf ging afvragen of het de moeite nog wel waard was om mijn tijd en energie in dit forum te steken.
Kijk bv op welke tijden ik mijn reacties plaats.
Ik begrijp heel goed dat Security.nl voor iedereen toegankelijk is, ten opzichte van andere fora waar men gekwalificeerd moet zijn om toegang te kunnen krijgen en daar anders met elkaar omgegaan wordt en je niet constant hoeft te bewijzen.

Je zult je misschien afvragen, waarom ik de moeite nog neem om hier iets te posten.

Dat zal ik af en toe blijven doen, want als ik uitgebreid en onderbouwd reageer op reacties van mensen, die zonder onderbouwing of vragen, alleen maar commentaar hebben, je beledigen en van alles toewensen.
Hoor ik nadien niets meer en is men stil.
Zo laat men zich wel kennen en onbegrijpelijk dat het hier toegelaten wordt.
Hiervoor bleef ik door de positieve en geinterreseerde reacties, af en toe posten.

Maar vandaag de dag, komt steeds meer nieuws bij, die mijn post van maanden geleden onderbouwen en men er niet meer om heen kan.

Het gaat mij er niet om mijn gelijk te halen, maar om kennis en ervaring te delen en zo van elkaar te leren.
Want samen staan we sterk....

gr. L
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.