Aanvallers verspreiden backdoor via updateproces antivirussoftware eScan
Aanvallers hebben via het updatemechanisme van virusscanner eScan een onbekend aantal organisaties met backdoors en cryptominers geïnfecteerd. Dat laat antivirusbedrijf Avast weten. De antivirussoftware van eScan maakte standaard altijd via http verbinding voor het downloaden van updates. De aanvallers wisten door middel van een man-in-the-middle (mitm) aanval een malafide update bij aangevallen organisaties te verspreiden.
Vervolgens voert de virusscanner de malafide update uit en wordt het systeem geïnfecteerd. De updates werden wel gecontroleerd, maar via een malafide dll die gesideload werd kon de malware worden uitgevoerd. Hoe de aanvallers de mitm-aanval konden uitvoeren is onbekend, maar Avast denkt dat de aanvallers al toegang tot het systeem of het netwerk van de aangevallen organisatie hadden en zo het verkeer konden omleiden. Bij de aanval werden twee soorten backdoors ingezet, gericht op grote bedrijfsnetwerken.
Daarnaast worden besmette systemen geïnfecteerd met een cryptominer die de rekenkracht van de computer gebruikt voor het minen van cryptovaluta. Avast waarschuwde eScan. De virusbestrijder laat weten dat de nieuwste versies van de antivirussoftware gebruikmaken van https voor het downloaden van updates. Volgens Avast hebben de aanvallers mogelijk banden met een Noord-Koreaanse aanvalsgroep.
Leef je uit op een willekeurige Linux mirror .
Wat er ontbrak waren gesignde updates. Als je applicatie/updates/virusdefinities gesigned zijn hoef je geen moeite te doen om een betrouwbaar TLS update CDN te runnen.
Het nadeel van 'gewoon' TLS is dat je of enkele zelf beheerde centrale sites moet runnen - met bv DoS risico , of als je allerlei third-party CDNs gebruikt je steeds minder zekerheid hebt over de betrouwbaarheid van de operators ervan.
De linux distributies en hun updates zijn allemaal gesigned - die kun je gerust updaten van een HTTP mirror , en ongeacht wie die runt.
Je enige risico-moment is de allereerste installatie . Dat image moet je ophalen van een trusted site, of (handmatig) de hash ervan controleren bij de bron.
Die updates waren echter wel gesigneerd: was dat mechanisme hier dan kapot?
Inderdaad. Best pijnlijk. Wat zou de overweging zijn geweest om HTTP te blijven gebruiken. Gemakzucht? Naïviteit? In ieder geval lelijk.
Inderdaad. Best pijnlijk. Wat zou de overweging zijn geweest om HTTP te blijven gebruiken. Gemakzucht? Naïviteit? In ieder geval lelijk.
Nogmaals : kijk naar een willekeurige Linux distro. NIKS MIS MET HTTP .
Zolang de updates zelf gesigned zijn en gecontroleerd worden door de updater.
Die updates waren echter wel gesigneerd: was dat mechanisme hier dan kapot?
Is dat zo ? Met name - zijn de code-updates (en niet alleen de virus definities) gesigned ?
In de analyse van avast waar het artikel naar linkt zie ik niks staan over signing van de dll updates .
https://radar.avrotros.nl/artikel/virusscanner-avast-verkocht-privgegevens-miljoenen-nederlanders-zo-dien-je-een-claim-in-54647
https://radar.avrotros.nl/artikel/virusscanner-avast-verkocht-privgegevens-miljoenen-nederlanders-zo-dien-je-een-claim-in-54647
Hier was avast de partij die een analyse publiceerde en het probleem vond. De kwetsbare scanner was eScan
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
