Malware controleert temperatuur van computer
Een malware-exemplaar dat bij gerichte aanvallen is ingezet controleert de temperatuur van de computer om te kijken of het wel om een echte machine gaat en geen virtueel systeem is. Dat laat Cisco in een analyse weten. Het gaat om de GravityRAT (Remote Access Tool) die informatie van systemen steelt.
De malware wordt verspreid via een Microsoft Office-document met een kwaadaardige macro. Volgens het document moet de gebruiker macro's inschakelen om te bewijzen dat hij geen robot is, net zoals bij captcha's wordt gevraagd. Zodra de gebruiker macro's inschakelt wordt de malware geïnstalleerd. De malware kijkt echter of het besmette systeem wel een echte computer is en geen virtual machine.
Veel anti-virusbedrijven en onderzoekers maken namelijk gebruik van virtual machines om verdachte bestanden te onderzoeken. Door een virtual machine tijdig te detecteren kan de malware detectie ontlopen. In het geval van de GravityRAT heeft de ontwikkelaar zeven technieken toegepast om te controleren dat het gecompromitteerde systeem geen virtual machine is.
Hiervoor kijkt de malware naar de bios-versie en processor-id van het systeem, alsmede geïnstalleerde tools en het MAC-adres. Ook controleert de malware de huidige processor-temperatuur. Sommige virtualisatiesoftware, zoals VMWare, VirtualBox en Hyper-V, ondersteunen geen temperatuurcontroles. Op deze manier kan de malware identificeren of het aangevallen systeem een echte machine is.
Volgens Cisco wordt de malware al sinds 2016 ingezet, maar is de ontwikkelaar lange tijd erin geslaagd om onder de radar te blijven. De malware is met name tegen Indiase doelen gebruikt. Het Computer Emergency Response Team van de Indiase overheid heeft vorig jaar al een waarschuwing voor een variant van de malware afgegeven (pdf).
Kwaadaardige code in macro's kan in feite door alle software die macro's (scripts) ondersteunen uitgevoerd worden.
In Libre Office bijvoorbeeld ook.
Hoe Macro's hierin uitvoeren qua beveiliging aanpassen:
Kies opties in het menu,
Kies links in het venster: Libre office > beveiliging
Klik op knop 'Macrobeveiliging' en kies de bovenste optie: Zeer hoog.
Macro's in bestanden van emailbijlagen worden dan niet meer uitgevoerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
