Nieuws

Aanvallers omzeilen Windows-waarschuwing met Tar-bestand

dinsdag 8 januari 2019, 15:58 door Redactie, 10 reacties

Aanvallers verspreiden e-mailbijlagen met Tar-bestanden om zo beveiligingswaarschuwingen van Windows te omzeilen en systemen met malware te infecteren. Dat laat Didier Stevens weten, handler bij het Internet Storm Center (ISC). Tar is een archiefformaat dat op Unix-systemen wordt gebruikt.

Windows-gebruikers kunnen Tar-bestanden standaard niet uitpakken, tenzij er een archiveringsprogramma is geïnstalleerd. Dit kan een nadeel voor de aanvallers zijn, aangezien de gebruiker extra software geïnstalleerd moet hebben. Het heeft echter ook een voordeel. Normaal zijn bestanden die van het internet afkomstig zijn voorzien van het "mark-of-the-web", maar dat geldt niet voor bestanden die zijn ingepakt en vervolgens worden uitgepakt.

Programma's zoals Outlook voorzien een e-mailbijlage van het mark-of-the-web wanneer die wordt geopend of opgeslagen. Wanneer een Tar-bestand wordt uitgepakt ontbreekt het mark-of-the-web. Gebruikers die het uitvoerbare bestand in het Tar-bestand vervolgens openen zullen dan ook geen beveiligingswaarschuwing te zien krijgen.

Naast Tar maken aanvallers ook gebruik van andere archiefformaten, zoals ISO, JAR en ARJ. "Het gebruik van minder populaire archiefformaten op Windows zorgt ervoor dat aanvallers detectie kunnen omzeilen en het aantal waarschuwingen kunnen verminderen, met het risico dat een Windows-computer het archief niet kan openen", aldus Stevens.

De waarschuwing die verschijnt bij bestanden die het mark-of-the-web hebben

Cloudproviders moeten cyberincidenten twee keer melden

Duitse politie arresteert verdachte voor diefstal data politici

Reacties (10)

08-01-2019, 16:42 door karma4 - Bijgewerkt: 08-01-2019, 16:43

Void *

08-01-2019, 16:42 door karma4

De markering van de bron wordt in een apart file attribute bijgehouden. File io welke daar geen rekening mee houdt (standaard c) doet dat niet. Niets bijzonders om software tegen te komen die het negeert.

08-01-2019, 18:20 door Anoniem

Ik had geen idee wat "Mark of the Web" is, maar het orginele artikel van Didier legt dat goed uit en ook hoe het werkt (via alternate datastreams). Erg interessant om te lezen
https://www.security.nl/posting/593317/Aanvallers+omzeilen+Windows-waarschuwing+met+Tar-bestand

08-01-2019, 18:39 door -karma4 - Bijgewerkt: 08-01-2019, 18:39

Gutteguttegut! Laat het maar aan Microsoft over om van een eenvoudig 'zip' bestand een tranendal te maken!

08-01-2019, 20:10 door karma4

Door Anoniem: Ik had geen idee wat "Mark of the Web" is, maar het orginele artikel van Didier legt dat goed uit en ook hoe het werkt (via alternate datastreams). Erg interessant om te lezen

je bedoelt https://isc.sans.edu/diary/Malicious+.tar+Attachments/24496
Doe dan ook even https://blogs.msdn.microsoft.com/oldnewthing/20131104-00/?p=2753 In een alternate datastream bij NTFS. Linux mocht willen dat ze mensen hadden die zo ver dachten om zoneringen voor betrouwbaarheid/herkomst aan bestanden te hangen.

08-01-2019, 20:43 door Anoniem

Naast Tar maken aanvallers ook gebruik van andere archiefformaten, zoals ISO, JAR en ARJ.

JAR is in gebruik voor java (en staat voor "java archief") maar is inhoudelijk gewoon ZIP met een andere naam, en meestal met compressie uitgeschakeld. Aangezien windows tegenwoordig ZIP "native" kan lezen is het enige wat je tegenhoudt de achtervoegsel-associatie.

Door karma4: Linux mocht willen dat ze mensen hadden die zo ver dachten om zoneringen voor betrouwbaarheid/herkomst aan bestanden te hangen.

Verschillende non-windows bestandssystemen hebben faciliteiten voor arbitraire extra vlaggetjes. En bijvoorbeeld in FreeBSD kan zelfs de informatieflow binnen de kernel van vlaggetjes en restricties worden voorzien. linux heeft vergelijkbare faciliteiten zoals selinux.

Maargoed, dan volgt de vraag wie er wat met die meta-informatie moet doen. Windows gaat niet verder dan irritante pop-ups produceren waar het gros van de gebruikers per reflex blind doorheen klikken. En het is nog steeds veel vatbaarder voor malware dan verschillende andere systemen.

Dus waarom je zonodig op "linux" moet afgeven ontgaat me een beetje. Of het moet zijn om gewoon weer eens lekker af te geven zonder iets constructiefs toe te voegen. Terwijl ook, of zelfs vooral, op windows dit verre van een opgelost probleem is.

09-01-2019, 08:09 door karma4

Door Anoniem: ....
Dus waarom je zonodig op "linux" moet afgeven ontgaat me een beetje. Of het moet zijn om gewoon weer eens lekker af te geven zonder iets constructiefs toe te voegen. Terwijl ook, of zelfs vooral, op windows dit verre van een opgelost probleem is.

1/ Kijk even reactie 18:39 hierboven. Heeft niets met beveiliging te maken. Het is wat ik tegen heb op de open source fanatici. Ze hebben hun eigen vendor lockin.

2/ Het zou voor informatiebeveiliging goed zijn om informatie hoe af te schermen aan het bestand te koppelen niet aan een los systeem. Daarvoor moet nog heel veel gebeuren.

3/ jehebt gelijk met die druk op wegklikken. Dat is ook ingegeven door kpi's resultaat doelen tijdverlies kosten met micromanagement.

09-01-2019, 08:30 door -karma4 - Bijgewerkt: 09-01-2019, 08:31

Door karma4:

1/ Kijk even reactie 18:39 hierboven. Heeft niets met beveiliging te maken.

In die reactie 18:39 staat niks over Linux. Alleen (terechte) kritiek op Microsoft en het 'on-topic' beveiligingsprobleem.

09-01-2019, 09:12 door Anoniem

Door karma4: 1/ Kijk even reactie 18:39 hierboven. Heeft niets met beveiliging te maken. Het is wat ik tegen heb op de open source fanatici. Ze hebben hun eigen vendor lockin.

Alleen reageerde je niet op The Foss maar op iemand die het alleen over "mark of the web" had. Als je iets tegen of over The Foss te zeggen hebt, reageer dan op The Foss en plaats het niet bij een citaat dat er los van staat, daarmee creëer je misverstanden.

Of reageer liever helemaal niet op The Foss. Je bestrijdt dat soort reacties niet door erop door te gaan, je benadrukt ze. Maar goed, dat is iets dat ik ook niet altijd kan laten, zoals op dit moment ;-).

09-01-2019, 09:24 door Anoniem

Door The FOSS:In die reactie 18:39 staat niks over Linux. Alleen (terechte) kritiek op Microsoft en het 'on-topic' beveiligingsprobleem.

Het is geen terechte kritiek, maar je standaard klein kind gezeik op Microsoft. Zoals altijd is je enige doel op deze site om je ongenoegen uit te spreken / te blèren over Microsoft en dan vooral Windows. Prima. Staat genoteerd.

Zou je er nu mee op kunnen houden?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer