De FBI heeft opnieuw technische details vrijgegeven over malware die door de Noord-Koreaanse overheid zou zijn ingezet bij aanvallen tegen organisaties. De malware wordt Electricfish genoemd en is een tool die een tunnel opzet voor het uitwisselen van verkeer tussen twee systemen.
Electricfish maakt hierbij gebruik van een zelfontwikkeld protocol dat het mogelijk maakt om snel dataverkeer te versturen. De malware kan ook met een proxyserver worden geconfigureerd, waar er eerst bij een proxyserver moet worden ingelogd voordat het ip-adres van de bestemming kan worden benaderd.
In de waarschuwing over Electricfish geeft de FBI "indicators of compromise" (IOCs). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, whois-data, hashes, bestandsnamen en anti-virusbenamingen.
Verder doet de FBI aanbevelingen om infecties door malware te voorkomen, zoals het updaten van anti-virussoftware en besturingssysteem, het uitschakelen van bestands- en printerdeling, het beperken van de rechten van gebruikers om ongewenste software te installeren, het afdwingen van veilige wachtwoorden, voorzichtig zijn met e-mailbijlagen, het inschakelen van een personal firewall, het uitschakelen van onnodige diensten, het monitoren van het browsegedrag van gebruikers, het scannen van alle gedownloade bestanden en voorzichtig zijn in het gebruik van verwijderbare media.
De afgelopen jaren heeft de FBI meerdere keren gewaarschuwd voor "Noord-Koreaanse" malware. In april verscheen er nog een waarschuwing voor een Trojan genaamd "Hoplight". Vorig jaar februari, maart, mei en juni verschenen er ook rapporten over malware, alsmede eind 2017.
Deze posting is gelocked. Reageren is niet meer mogelijk.