image

Updates Cobra DocGuard verspreiden door Microsoft gesigneerde backdoor

dinsdag 22 augustus 2023, 16:02 door Redactie, 5 reacties

Aanvallers zijn erin geslaagd om het updatekanaal van Cobra DocGuard te kapen en te gebruiken voor de verspreiding van een backdoor die door Microsoft was gesigneerd, zo meldt securitybedrijf Symantec in een analyse. De meeste slachtoffers van de supply chain-aanval bevinden zich in in Hong Kong. Cobra DocGuard is een programma voor het beveiligen, versleutelen en ontsleutelen van software, ontwikkeld door het Chinese EsafeNet.

Vorig jaar september meldde antivirusbedrijf ESET dat een update voor de software was gebruikt voor het infecteren van een gokbedrijf in Hong Kong. In april bleek dat er opnieuw besmette updates onder gebruikers van de software waren verspreid. De afgelopen maanden zijn erop deze manier verschillende malware-exemplaren "uitgerold". Een van de malware-exemplaren was gesigneerd door Microsoft en downloadde de Korplug-backdoor op systemen.

Deze backdoor kan aanvallers commando's op besmette systemen laten uitvoeren, bestanden stelen, toetsaanslagen opslaan en firewall-poorten openzetten. De malafide downloader beschikte over een certificaat van Microsoft. Vanaf Windows 10 moeten alle drivers via het Windows Hardware Developer Center Dashboard portal gesigneerd zijn.

Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die als alles goed is signeren. Verschillende malafide partijen hebben het Windows Hardware Developer Program misbruikt om hun malafide drivers door Microsoft gesigneerd te krijgen, zo liet het techbedrijf afgelopen juli weten.

Zo'n honderd systemen raakten besmet via de malafide updates voor Cobra DocGuard. Het programma draait op zo'n tweeduizend systemen, aldus de onderzoekers. Dit zou suggereren dat de aanvallers de malware selectief onder bepaalde slachtoffers verspreiden. Hoe de aanvallers erin zijn geslaagd het updatekanaal van DocGuard te compromitteren wordt niet door Symantec gemeld.

Reacties (5)
22-08-2023, 19:11 door Anoniem
Als Cobra DocGuard is wat ik denk dat het is, dan is het concept totaal foutief en een extra veiligheidsrisico.

Het idee is dat je '.exe' geëncrypt is. Maar waar dacht je dat de encryptie sleutel is opgeslagen? Ook in de .exe want anders kan je de software niet starten. De .exe kan niet uitgevoerd worden zonder de sleutel.

Ook zal Cobra DocGuard in staat zijn om de programmacode in de .exe te verbergen voor beveiligingssoftware. Je kan er dus alles in verbergen, mits de encryptie niet gebroken wordt door je beveiligingssoftware. Ook is na encryptie compressie niet meer mogelijk, maar dit is slechts een klein detail. Je .exe wordt dus groter in je backups (en bij updates).

Het is een stompzinnig voorbeeld van security through obscurity en het is goed dat minder mensen het na dit bericht zullen gaan gebruiken.
23-08-2023, 10:30 door Anoniem
Door Anoniem:Het idee is dat je '.exe' geëncrypt is. Maar waar dacht je dat de encryptie sleutel is opgeslagen? Ook in de .exe want anders kan je de software niet starten. De .exe kan niet uitgevoerd worden zonder de sleutel.

Geen probleem met een asymmetrische sleutel.

Peter
23-08-2023, 12:10 door Anoniem
Door Anoniem:
Door Anoniem:Het idee is dat je '.exe' geëncrypt is. Maar waar dacht je dat de encryptie sleutel is opgeslagen? Ook in de .exe want anders kan je de software niet starten. De .exe kan niet uitgevoerd worden zonder de sleutel.

Geen probleem met een asymmetrische sleutel.

Peter

Toch wel. Want de private key moet in de binary zitten om de .exe te kunnen decrypten. Met de public key kan je alleen maar de handtekening verifiëren. Niet decrypten. En de decrypted programma code is nodig op de processor om die uit te kunnen voeren. Een debugger kan daar bij. Je begint aan de buitenkant van de .exe en gaat steeds meer naar binnen in de code.

Hoe dacht je dat release groups games kraken? Zover ik weet wordt elke populaire game nog steeds gekraakt en aangeboden via nieuwsgroepen. Soms duurt het kraken een paar dagen, soms minder.

Als Cobra DocGuard zou werken, dan zou elke game publisher het gebruiken voor al hun games.

Anoniem 19:11
23-08-2023, 14:27 door Anoniem
Door Anoniem: Als Cobra DocGuard is wat ik denk dat het is, dan is het concept totaal foutief en een extra veiligheidsrisico.

Het idee is dat je '.exe' geëncrypt is. Maar waar dacht je dat de encryptie sleutel is opgeslagen? Ook in de .exe want anders kan je de software niet starten. De .exe kan niet uitgevoerd worden zonder de sleutel.

Leg eens uit hoe _jij_ denkt dat het werkt ?
Ik meen op te maken dat je denkt dat er een fixed key in de exe zit waarmee de rest gedecrypt wordt, een soort van obfuscation .
Je hebt alleen je eigen idee ontkracht, lijkt me.

Het kan prima een kleine stub zijn van code die niks anders doet dan de sleutel/passphrase vragen, en de rest van de exe daarmee decrypten - of niet, als de gebruiker die sleutel/passphrase niet kan opgeven.

Ongeveer hetzelfde zoals secure boot/bootloaders van een encrypted filesystem werken.


Ook zal Cobra DocGuard in staat zijn om de programmacode in de .exe te verbergen voor beveiligingssoftware. Je kan er dus alles in verbergen, mits de encryptie niet gebroken wordt door je beveiligingssoftware. Ook is na encryptie compressie niet meer mogelijk, maar dit is slechts een klein detail. Je .exe wordt dus groter in je backups (en bij updates).

Het is een stompzinnig voorbeeld van security through obscurity en het is goed dat minder mensen het na dit bericht zullen gaan gebruiken.

Wat je omschrijft is inderdaad geen secure mechanisme, maar je kunt dingen ook anders doen .

Denk je ook dat een self-extracting gecrypte zip file per definitie het password in de .exe moet hebben ?
23-08-2023, 16:39 door Anoniem
Door Anoniem: Leg eens uit hoe _jij_ denkt dat het werkt ?
Ik meen op te maken dat je denkt dat er een fixed key in de exe zit waarmee de rest gedecrypt wordt, een soort van obfuscation .
Je hebt alleen je eigen idee ontkracht, lijkt me.

Zoals ik het artikel lees gaat het inderdaad over obfuscation. Het verbergen van de software code in de .exe met in dit geval cryptografie.

Het kan prima een kleine stub zijn van code die niks anders doet dan de sleutel/passphrase vragen, en de rest van de exe daarmee decrypten - of niet, als de gebruiker die sleutel/passphrase niet kan opgeven.

Ongeveer hetzelfde zoals secure boot/bootloaders van een encrypted filesystem werken.

Nee nee! Ik heb vroeger een aanvaring gehad met iemand die beweerde dat PGP 2.x veiliger gemaakt kon worden door zijn obfuscation toe te passen. De wrapper ving ook alle toetsenbord invoer af om te beschermen tegen keyloggers.

Los van het feit dat je juist wilt zien wat de binaire code in PGP 2.x doet, dat er geen keylogger meedraait, heb ik deze software binnen een week gekraakt. Daarna nooit meer iets van deze maker vernomen. Dat was wel leuk :-)

Ook zal Cobra DocGuard in staat zijn om de programmacode in de .exe te verbergen voor beveiligingssoftware. Je kan er dus alles in verbergen, mits de encryptie niet gebroken wordt door je beveiligingssoftware. Ook is na encryptie compressie niet meer mogelijk, maar dit is slechts een klein detail. Je .exe wordt dus groter in je backups (en bij updates).

Het is een stompzinnig voorbeeld van security through obscurity en het is goed dat minder mensen het na dit bericht zullen gaan gebruiken.

Wat je omschrijft is inderdaad geen secure mechanisme, maar je kunt dingen ook anders doen .

Denk je ook dat een self-extracting gecrypte zip file per definitie het password in de .exe moet hebben ?

Ik zou dan voor productsleutels gaan als je toch met software verkopen bezig bent. Ik denk dat Microsoft dat tegenwoordig redelijk goed voor elkaar heeft. Hoewel er nog steeds illegale versies van Windows in omloop zijn zover ik weet.

Als je password meteen je licentiecode is, prima. Dat ga ik niet proberen te kraken. Als de check op je licentiecode alleen 'goed' of 'fout' is, dat is makkelijk aan te passen maar hier niet van toepassing.

Anoniem 19:11
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.