image

Aanvallers omzeilen Windows-waarschuwing met Tar-bestand

dinsdag 8 januari 2019, 15:58 door Redactie, 10 reacties

Aanvallers verspreiden e-mailbijlagen met Tar-bestanden om zo beveiligingswaarschuwingen van Windows te omzeilen en systemen met malware te infecteren. Dat laat Didier Stevens weten, handler bij het Internet Storm Center (ISC). Tar is een archiefformaat dat op Unix-systemen wordt gebruikt.

Windows-gebruikers kunnen Tar-bestanden standaard niet uitpakken, tenzij er een archiveringsprogramma is geïnstalleerd. Dit kan een nadeel voor de aanvallers zijn, aangezien de gebruiker extra software geïnstalleerd moet hebben. Het heeft echter ook een voordeel. Normaal zijn bestanden die van het internet afkomstig zijn voorzien van het "mark-of-the-web", maar dat geldt niet voor bestanden die zijn ingepakt en vervolgens worden uitgepakt.

Programma's zoals Outlook voorzien een e-mailbijlage van het mark-of-the-web wanneer die wordt geopend of opgeslagen. Wanneer een Tar-bestand wordt uitgepakt ontbreekt het mark-of-the-web. Gebruikers die het uitvoerbare bestand in het Tar-bestand vervolgens openen zullen dan ook geen beveiligingswaarschuwing te zien krijgen.

Naast Tar maken aanvallers ook gebruik van andere archiefformaten, zoals ISO, JAR en ARJ. "Het gebruik van minder populaire archiefformaten op Windows zorgt ervoor dat aanvallers detectie kunnen omzeilen en het aantal waarschuwingen kunnen verminderen, met het risico dat een Windows-computer het archief niet kan openen", aldus Stevens.

Image

De waarschuwing die verschijnt bij bestanden die het mark-of-the-web hebben

Reacties (10)
08-01-2019, 16:42 door karma4 - Bijgewerkt: 08-01-2019, 16:43
Void *
08-01-2019, 16:42 door karma4
De markering van de bron wordt in een apart file attribute bijgehouden. File io welke daar geen rekening mee houdt (standaard c) doet dat niet. Niets bijzonders om software tegen te komen die het negeert.
08-01-2019, 18:20 door Anoniem
Ik had geen idee wat "Mark of the Web" is, maar het orginele artikel van Didier legt dat goed uit en ook hoe het werkt (via alternate datastreams). Erg interessant om te lezen
https://www.security.nl/posting/593317/Aanvallers+omzeilen+Windows-waarschuwing+met+Tar-bestand
08-01-2019, 18:39 door -karma4 - Bijgewerkt: 08-01-2019, 18:39
Gutteguttegut! Laat het maar aan Microsoft over om van een eenvoudig 'zip' bestand een tranendal te maken!
08-01-2019, 20:10 door karma4
Door Anoniem: Ik had geen idee wat "Mark of the Web" is, maar het orginele artikel van Didier legt dat goed uit en ook hoe het werkt (via alternate datastreams). Erg interessant om te lezen
je bedoelt https://isc.sans.edu/diary/Malicious+.tar+Attachments/24496
Doe dan ook even https://blogs.msdn.microsoft.com/oldnewthing/20131104-00/?p=2753 In een alternate datastream bij NTFS. Linux mocht willen dat ze mensen hadden die zo ver dachten om zoneringen voor betrouwbaarheid/herkomst aan bestanden te hangen.
08-01-2019, 20:43 door Anoniem
Naast Tar maken aanvallers ook gebruik van andere archiefformaten, zoals ISO, JAR en ARJ.
JAR is in gebruik voor java (en staat voor "java archief") maar is inhoudelijk gewoon ZIP met een andere naam, en meestal met compressie uitgeschakeld. Aangezien windows tegenwoordig ZIP "native" kan lezen is het enige wat je tegenhoudt de achtervoegsel-associatie.

Door karma4: Linux mocht willen dat ze mensen hadden die zo ver dachten om zoneringen voor betrouwbaarheid/herkomst aan bestanden te hangen.
Verschillende non-windows bestandssystemen hebben faciliteiten voor arbitraire extra vlaggetjes. En bijvoorbeeld in FreeBSD kan zelfs de informatieflow binnen de kernel van vlaggetjes en restricties worden voorzien. linux heeft vergelijkbare faciliteiten zoals selinux.

Maargoed, dan volgt de vraag wie er wat met die meta-informatie moet doen. Windows gaat niet verder dan irritante pop-ups produceren waar het gros van de gebruikers per reflex blind doorheen klikken. En het is nog steeds veel vatbaarder voor malware dan verschillende andere systemen.

Dus waarom je zonodig op "linux" moet afgeven ontgaat me een beetje. Of het moet zijn om gewoon weer eens lekker af te geven zonder iets constructiefs toe te voegen. Terwijl ook, of zelfs vooral, op windows dit verre van een opgelost probleem is.
09-01-2019, 08:09 door karma4
Door Anoniem: ....
Dus waarom je zonodig op "linux" moet afgeven ontgaat me een beetje. Of het moet zijn om gewoon weer eens lekker af te geven zonder iets constructiefs toe te voegen. Terwijl ook, of zelfs vooral, op windows dit verre van een opgelost probleem is.
1/ Kijk even reactie 18:39 hierboven. Heeft niets met beveiliging te maken. Het is wat ik tegen heb op de open source fanatici. Ze hebben hun eigen vendor lockin.

2/ Het zou voor informatiebeveiliging goed zijn om informatie hoe af te schermen aan het bestand te koppelen niet aan een los systeem. Daarvoor moet nog heel veel gebeuren.

3/ jehebt gelijk met die druk op wegklikken. Dat is ook ingegeven door kpi's resultaat doelen tijdverlies kosten met micromanagement.
09-01-2019, 08:30 door -karma4 - Bijgewerkt: 09-01-2019, 08:31
Door karma4:
Door Anoniem: ....
Dus waarom je zonodig op "linux" moet afgeven ontgaat me een beetje. Of het moet zijn om gewoon weer eens lekker af te geven zonder iets constructiefs toe te voegen. Terwijl ook, of zelfs vooral, op windows dit verre van een opgelost probleem is.
1/ Kijk even reactie 18:39 hierboven. Heeft niets met beveiliging te maken.

In die reactie 18:39 staat niks over Linux. Alleen (terechte) kritiek op Microsoft en het 'on-topic' beveiligingsprobleem.
09-01-2019, 09:12 door Anoniem
Door karma4: 1/ Kijk even reactie 18:39 hierboven. Heeft niets met beveiliging te maken. Het is wat ik tegen heb op de open source fanatici. Ze hebben hun eigen vendor lockin.
Alleen reageerde je niet op The Foss maar op iemand die het alleen over "mark of the web" had. Als je iets tegen of over The Foss te zeggen hebt, reageer dan op The Foss en plaats het niet bij een citaat dat er los van staat, daarmee creëer je misverstanden.

Of reageer liever helemaal niet op The Foss. Je bestrijdt dat soort reacties niet door erop door te gaan, je benadrukt ze. Maar goed, dat is iets dat ik ook niet altijd kan laten, zoals op dit moment ;-).
09-01-2019, 09:24 door Anoniem
Door The FOSS:In die reactie 18:39 staat niks over Linux. Alleen (terechte) kritiek op Microsoft en het 'on-topic' beveiligingsprobleem.

Het is geen terechte kritiek, maar je standaard klein kind gezeik op Microsoft. Zoals altijd is je enige doel op deze site om je ongenoegen uit te spreken / te blèren over Microsoft en dan vooral Windows. Prima. Staat genoteerd.

Zou je er nu mee op kunnen houden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.