image

Onderzoekers 'sinkholen' usb-botnet, zien 2,5 miljoen unieke ip-adressen

vrijdag 26 april 2024, 09:56 door Redactie, 5 reacties

Onderzoekers hebben een server gebruikt door een bekende 'usb-worm' weten te 'sinkholen', waarna ze 2,5 miljoen unieke ip-adressen verbinding zagen maken. De PlugX-malware bestaat al vele jaren en wordt onder andere ingezet voor datadiefstal en spionage. Eén van de varianten verspreidt zich via usb-sticks, infecteert vanaf het besmette systeem nieuw aangesloten usb-sticks en verzamelt allerlei bestanden van het systeem.

Met deze variant besmette machines maken geregeld verbinding met een command & control-server, bijvoorbeeld voor het downloaden van nieuwe malware. Al deze machines blijken verbinding met één specifiek ip-adres te maken. Onderzoekers van securitybedrijf Sekoia wisten vorig jaar september dit ip-adres in handen te krijgen. Op deze manier wisten ze het botnet te 'sinkholen'. Hierbij wordt verkeer afkomstig van een besmette machine doorgestuurd naar een server van bijvoorbeeld een securitybedrijf, autoriteit of provider, om zo verdere schade te voorkomen en besmette machines te identificeren.

De afgelopen zes maanden zagen de onderzoekers elke dag 90.000 tot 100.000 unieke ip-adressen requests naar het command & control ip-adres versturen die specifiek zijn voor met PlugX besmette machines. Over een periode van zes maanden gaat het om 2,5 miljoen unieke ip-adressen, waarbij er nog steeds nieuwe infecties plaatsvinden. De onderzoekers merken op dat het totaal aantal besmette machines onbekend is.

Veel besmette machines kunnen namelijk een zelfde ip-adres hebben. Daarnaast zijn er veel internetgebruikers met een dynamisch ip-adres, waardoor een besmette machine gedurende een bepaalde periode meerdere ip-adressen kan hebben. De onderzoekers zagen wel dat vijftien landen bij elkaar voor meer dan tachtig procent van de infecties verantwoordelijk zijn. Het gaat vooral om Nigeria, India, China, Iran en Indonesië.

Reacties (5)
26-04-2024, 10:47 door Anoniem
het zou pas echt cool zijn als ze de kill switch konden activeren... nu is het meer van 'kijk ons eens goed bezig zijn', terwijl ze geen oplossing bieden.
26-04-2024, 11:20 door Anoniem
Door Anoniem: het zou pas echt cool zijn als ze de kill switch konden activeren... nu is het meer van 'kijk ons eens goed bezig zijn', terwijl ze geen oplossing bieden.

Dit is juist wel een oplossing. De verbinding blokkeren tussen het slachtoffer en de C2 server betekent dat de aanvaller geen controle meer heeft. Het is dan enkel een infectie, maar bijvoorbeeld data exfiltratie wordt hierdoor bemoeilijkt.
26-04-2024, 11:46 door Anoniem
Deze usb-worm is dus wat anders dan de bad-usb firmware malware. Deze usb-worm is namelijk Windows only, wel een belangrijk detail. Dit haal ik tenminste uit het bron artikel, wat me nog niet duidelijk is, is of deze kwetsbaarheid door Microsoft al is gepatcht en dat het dus om besmettingen gaat bij niet up to date machines?
26-04-2024, 18:50 door Alexios - Bijgewerkt: 26-04-2024, 18:50
Door Anoniem: het zou pas echt cool zijn als ze de kill switch konden activeren... nu is het meer van 'kijk ons eens goed bezig zijn', terwijl ze geen oplossing bieden.
Het zou past echt "cool" zijn als mensen eerst (geheel) de gelinkte tekst lezen, voordat men besluit om een reactie te plaatsen... https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet/
26-04-2024, 19:48 door Anoniem
Door Alexios:
Door Anoniem: het zou pas echt cool zijn als ze de kill switch konden activeren... nu is het meer van 'kijk ons eens goed bezig zijn', terwijl ze geen oplossing bieden.
Het zou past echt "cool" zijn als mensen eerst (geheel) de gelinkte tekst lezen, voordat men besluit om een reactie te plaatsen... https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet/

Zou inderdaad mooi zijn wanneer de auteur in het artikel ook kort had opgenomen dat sekoia samenwerkt met landelijke CERTs om een delete commando te kunnen sturen. Aangezien de malware op een USB stick overleeft heeft alleen het sturen van een delete commando geen zin, de volgende keer dat de usb stick wordt ingestoken zal de worm opnieuw actief worden. Sekoia zou dus een eigen worm moeten maken die in de betroffen computers actief blijft die elke usb stick des-infecteerd. De uitdaging ligt dus eigenlijk bij de antivirussoftware makers.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.