Trojaanse reclames op Nu.nl en Startpagina.nl uitgelegd
De aanval die afgelopen zaterdag ervoor zorgde dat verschillende websites, zoals Nu.nl, Ilse.nl en Startpagina.nl, een met Trojaans paard besmette reclames lieten zien, is zorgvuldig gepland, zo heeft een Finse hacker laten weten. Volgens de hacker "Matt" heeft men via de aanval de Backdoor.Win32.Agent.ec op PC's van bezoekers van de sites willen verspreiden en heeft de Bofra worm, zoals door sommige media werd gesuggereerd, niets met het incident te maken. "De aanvallers hebben de javascript code op de advertentieservers van Falk AG aangepast, waardoor Internet Explorer gebruikers werden doorverwezen naar een pagina op search.comedycentral.com waar de exploit code gehost werd. Vanaf daar werden verschillende downloader Trojans gebruikt om een backdoor Trojan van gamedev.he.net te downloaden. Via de backdoor kan een aanvaller volledige controle over de PC krijgen", aldus Matt. De aanval zou uit de volgende stappen hebben bestaan:
- De gehackte Falk eSolutions AG server stuurde door het IFRAME lek een document met de locatie van de exploit code naar de bezoekers van websites waar de aangepaste reclames werden getoond.
- Een gehackte Comedy Central server hoste de exploit code in HTML formaat. Het document was 8474 bytes en in Unicode formaat. In het document was Javascript aanwezig om de buffer overflow uit te voeren. De shell code die door de exploit code gemaakt werd was 330 bytes. Het bevatte instructies om een uitvoerbaar bestand te downloaden.
- De Trojan-Downloader.Win32.Small.aaq werd gebruikt om de laatste backdoor te downloaden. De Trojan was 3114 bytes en werd in de root directory van C: bewaard als bla.exe.
- De laatste Trojan, Backdoor.Win32.Agent.ec werd in de root directory van C: als winampa.exe opgeslagen, waarna bla.exe werd verwijderd. De Trojan is 47616 bytes groot.
Reacties (14)
24-11-2004, 10:36 door
G-Force
Ik neem aan dat security.nl niet de bedoeling heeft om toekomstig
onderricht te geven aan een nieuwe generatie hackers die het misschien
het zelfde gaat proberen? Ik begrijp wel dat fouten e.d. bekend moeten zijn,
anders kun je er niet van leren. We weten uit ervaring in de
beveiligingswereld dat er genoeg inbrekers rondlopen die de vakbladen
van de beveiligingswereld afstruimen om alleen maar nieuwe inbrekers
idee-en op te doen. Voorzichtigheid is dus zeker op z'n plaats. Ook hier in
dit geval.
onderricht te geven aan een nieuwe generatie hackers die het misschien
het zelfde gaat proberen? Ik begrijp wel dat fouten e.d. bekend moeten zijn,
anders kun je er niet van leren. We weten uit ervaring in de
beveiligingswereld dat er genoeg inbrekers rondlopen die de vakbladen
van de beveiligingswereld afstruimen om alleen maar nieuwe inbrekers
idee-en op te doen. Voorzichtigheid is dus zeker op z'n plaats. Ook hier in
dit geval.
24-11-2004, 10:47 door
Walter
Maar zoals je kunt lezen is hier veel werk aan vooraf
gegaan, en is dit dus waarschijnlijk niet door de eerste de
beste scriptkiddie uit te voeren....
Een aantal bekende trojans gebruikt en op een goede manier
naar elkaar laten verwijzen is natuurlijk niet zo
moeilijk, maar de manier waarop duidt niet op een kiddie,
maar iemand met toch iets meer kennis dan dat...
Hoe dan ook, het is dus duidelijk dat in dit geval een
behoorlijk aantal machines betrokken waren bij de
verspreiding, waardoor er dus veel mensen 'schuld' moeten
bekennen.
gegaan, en is dit dus waarschijnlijk niet door de eerste de
beste scriptkiddie uit te voeren....
Een aantal bekende trojans gebruikt en op een goede manier
naar elkaar laten verwijzen is natuurlijk niet zo
moeilijk, maar de manier waarop duidt niet op een kiddie,
maar iemand met toch iets meer kennis dan dat...
Hoe dan ook, het is dus duidelijk dat in dit geval een
behoorlijk aantal machines betrokken waren bij de
verspreiding, waardoor er dus veel mensen 'schuld' moeten
bekennen.
24-11-2004, 10:54 door
Dr.NO
beste verhoeven, zonder duidelijke uitleg komen we nooit
ergens met onze beveiliging. de oplossing is niet om alles
ter verzwijgen, maar uitleggen hoe iets is uitgevoerd, zodat
we voor een volgende keer passende maatregelen hebben kunnen
treffen.
ergens met onze beveiliging. de oplossing is niet om alles
ter verzwijgen, maar uitleggen hoe iets is uitgevoerd, zodat
we voor een volgende keer passende maatregelen hebben kunnen
treffen.
24-11-2004, 10:59 door
awesselius
Door Walter
Een aantal bekende trojans gebruikt en op een goede manier
naar elkaar laten verwijzen is natuurlijk niet zo
moeilijk, maar de manier waarop duidt niet op een kiddie,
maar iemand met toch iets meer kennis dan dat...
Een aantal bekende trojans gebruikt en op een goede manier
naar elkaar laten verwijzen is natuurlijk niet zo
moeilijk, maar de manier waarop duidt niet op een kiddie,
maar iemand met toch iets meer kennis dan dat...
Het gaat niet alleen om meer kennis, want kennis is voor het oprapen, niet
alleen op deze Nederlandstalige site.
Het gaat ook om inzicht, het begrijpen van hoe dingen in elkaar steken,
analytisch vermogen voor oorzaak en gevolg. Dan nog, moet een kiddie de
moeite nemen om het in elkaar te steken.
Ik las eens een boek over beveiliging, dat heel nauwkeurig dingen uit de
doeken deed. Het gaf op dezelfde vraag het volgende argument: kiddies
lezen geen boeken en zeker geen boeken zonder plaatjes met alleen maar
droge stof.
Daar zit wat in, kiddies hebben daar geen trek in. Een boek te kopen (of
een PDF op te halen ergens) en vervolgens het hele boek door te lezen om
het te begrijpen. Ze proberen eerder wat "scriptjes" of kleine
gereedschapprogammaatjes (zoals nMap kennelijk).
http://www.claimyourrights.eu/
http://www.thinkfree.ca/
- Unomi -
24-11-2004, 11:04 door
Walter
Door Unomi
Het gaat niet alleen om meer kennis, want kennis is voor het
oprapen, niet alleen op deze Nederlandstalige site.
Het gaat ook om inzicht, het begrijpen van hoe dingen in
elkaar steken, analytisch vermogen voor oorzaak en gevolg. Dan nog, moet
een kiddie de moeite nemen om het in elkaar te steken.
Je hebt helemaal gelijk, die was ik vergeten erbij te zetten. Kennis is leuk, maar zonder inzicht heb je er geen donder aan (wat een collega van mij dagelijks bewijst).Het gaat niet alleen om meer kennis, want kennis is voor het
oprapen, niet alleen op deze Nederlandstalige site.
Het gaat ook om inzicht, het begrijpen van hoe dingen in
elkaar steken, analytisch vermogen voor oorzaak en gevolg. Dan nog, moet
een kiddie de moeite nemen om het in elkaar te steken.
Ik las eens een boek over beveiliging, dat heel
nauwkeurig dingen uit de doeken deed. Het gaf op dezelfde
vraag het volgende argument: kiddies lezen geen boeken en zeker geen boeken zonder plaatjes met alleen maar droge stof.
Daar zit wat in, kiddies hebben daar geen trek in. Een boek
te kopen (of een PDF op te halen ergens) en vervolgens het hele boek door
te lezen om het te begrijpen. Ze proberen eerder wat "scriptjes" of kleine
gereedschapprogammaatjes (zoals nMap kennelijk).
Ik heb thuis nog een Hackers Guide liggen, waar inderdaad ook nogal wat droge stof wordt behandeld, maar vooral wordt gehamerd op inzicht. Inzicht is hetgene dat je netwerk kan beveiligen, of juist hetgene waarmee je het netwerk binnen (ongewenst) kunt komen.nauwkeurig dingen uit de doeken deed. Het gaf op dezelfde
vraag het volgende argument: kiddies lezen geen boeken en zeker geen boeken zonder plaatjes met alleen maar droge stof.
Daar zit wat in, kiddies hebben daar geen trek in. Een boek
te kopen (of een PDF op te halen ergens) en vervolgens het hele boek door
te lezen om het te begrijpen. Ze proberen eerder wat "scriptjes" of kleine
gereedschapprogammaatjes (zoals nMap kennelijk).
Ik moet het dus wederom met je eens zijn.
p.s.: Micro$uf (in andere reacties) ?? Doe maar gewoon Microsoft, dat staat wat volwassener ;), ik ben net zo min fan van het bedrijf in Redmond, maar dank er wel mijn baan aan.
Door Walter
Maar zoals je kunt lezen is hier veel werk aan vooraf
gegaan, en is dit dus waarschijnlijk niet door de eerste de
beste scriptkiddie uit te voeren....
.
Maar zoals je kunt lezen is hier veel werk aan vooraf
gegaan, en is dit dus waarschijnlijk niet door de eerste de
beste scriptkiddie uit te voeren....
.
Walter..... (ik neem aan dat jij De WAlter bent) jij zou beter moeten weten.
Indien degene ECHT verstand van zaken had gehad, had hij ten eerste
JPG2 exploit gebruikt, omdat daar geen PATCH voor is, de kans groter is
dat JPG/GIF/SWF (beide kennen hun lekken in verleden, het heden en de
toekomst) door getoonde website worden doorgelaten (er is geen reden
om iets anders door te laten als dat).
Verder zou zijn payload zelfgeschreven zijn en voorzien zijn van morphing
code, zodat neit de eerste beste virusscan update hem zal kunnen
verwijderen.
Zal de timing beter zijn, maandag tussen 11:00 en 13:00 CET is het meest
effectief. (zie websites statistieken om te weten waarom).
Zal de loadbalancer beter gecracked zijn, of denkt men nu echt dat Falk AG
30 loadbalancers heeft staan?
Zou men een effectiever backdoor hebben gebruikt.
Al met al voldoende om te concluderen dat dit slechts scriptkiddies zijn
met een beperkte kennis.
Gelukkig maar want alle organisaties zouden nu wel door moeten hebben
dat ze IP's en url's van mass adservers moeten blokkeren om dit te
voorkomen. Een hack/deface van een website valt meteen op, maar een
lullige banner met een exploit niet.
24-11-2004, 13:16 door
Preddie
Ik denk juist dat de uitleg en werkplanner van de hacker
ons meer in zicht moet geven hoe we moeten gaan denken als
goed wilt beveiligen !
ons meer in zicht moet geven hoe we moeten gaan denken als
goed wilt beveiligen !
Door Predjuh
Ik denk juist dat de uitleg en werkplanner van de hacker
ons meer in zicht moet geven hoe we moeten gaan denken als
goed wilt beveiligen !
Ik denk juist dat de uitleg en werkplanner van de hacker
ons meer in zicht moet geven hoe we moeten gaan denken als
goed wilt beveiligen !
Je kunt ook stragen inhuren die ook kunnen bewijzen dat iets kan. (niet
een lullige consultant van een grote speler, die slechts een grote naam
achter zich heeft staan en toevallig in een weekend een RSA documentje
heeft gelezen en nu een security expert is.)
Overigens is full disclosure ongewenst, omdat hiermee de tools en de
tactieken in handen kunnen komen van mensen die het ook daadwerkelijk
zullen gaan toepassen.
Bovenstaande uitleg is reeël en kan elke moment van de dag
plaatsvinden, echter de mensen die over die kennis en middelen
beschikken hebben andere belangen. (beschikken over een schoorsteen
die ook moet roken)
24-11-2004, 14:20 door
Walter
Door Anoniem
Walter..... (ik neem aan dat jij De WAlter bent) jij zou
beter moeten weten.
Ik weet niet wie jij bedoeld met De Walter, maar goed, daarWalter..... (ik neem aan dat jij De WAlter bent) jij zou
beter moeten weten.
komen we binnenkort wel achter :).
Hoezo zou ik beter moeten weten. De timing zou inderdaad
wijzen op iemand die dit in ieder geval buiten de normale
werktijden doet.
Je punten zijn wel duidelijk, dat moet ik zeggen, maar een
gemiddeld scriptkiddie (en die kennen we blijkbaar beiden
voldoende) gaat niet een 5-tal lekken/exploits samen
misbruiken om iets te regelen.
Ik denk nog steeds dat dit een persoon is geweest die in
ieder geval meer dan gemiddelde kennis van
beveiliging heeft dat die scriptkiddies waar we allemaal zon
hekel aan hebben, maar minder dan de door ons o zo
gewaardeerde die-hard hackers. Al met al dus een cracker in
ontwikkeling.
Door Walter
Ik weet niet wie jij bedoeld met De Walter, maar goed, daar
komen we binnenkort wel achter :).
Ik weet niet wie jij bedoeld met De Walter, maar goed, daar
komen we binnenkort wel achter :).
Walter B.
Hoezo zou ik beter moeten weten. De timing zou inderdaad
wijzen op iemand die dit in ieder geval buiten de normale
werktijden doet.
Over de timing is niet nagedacht, weekend en 's ochtends....
Iedereen die een beetje nadenkt weet dat het 's ochtends in het weekend
erg rustig is op websites.
Je punten zijn wel duidelijk, dat moet ik zeggen, maar een
gemiddeld scriptkiddie (en die kennen we blijkbaar beiden
voldoende) gaat niet een 5-tal lekken/exploits samen
misbruiken om iets te regelen.
Toch wel hoor.
Ook scriptkiddies gaan met hun tijd mee.
De tijd dat scripkiddies niet verder kwamen als ping -p
2b2b2b415448300d f00 is allang voorbij, daar recht toe rechtaan scripts
steeds minder het gewenste resultaat opleveren.
Ik denk nog steeds dat dit een persoon is geweest die in
ieder geval meer dan gemiddelde kennis van
beveiliging heeft dat die scriptkiddies waar we allemaal zon
hekel aan hebben, maar minder dan de door ons o zo
gewaardeerde die-hard hackers. Al met al dus een cracker in
ontwikkeling.
Dat het een potentionele cracker kan worden lijkt me wel duidelijk, echter
zal hij eerst moeten leren coden, want er is geen bewijs gelevert dat hij dat
kan, tevens doorgrond hij regulieren processen en procedures niet.
Zolang er dit soort figuren dergelijke massale 'ownage' methodieken erop
nahouden hoeven mensen zich niet druk te maken.
Echter is het wel lullig voor particulieren, maar die moeten aan de bel
trekken bij Micro$oft.
25-11-2004, 11:01 door
Walter
Door Anoniem
Walter B.
Nope, dit is Walter E.Walter B.
velen scriptkiddies zijn en blijven goeie hackers... kijk naar alle compleete
pc zalen en server's die gehackt worden op nederlandse universiteiten...
jullie maken mij echt niet meer wijs dat alle scriptkiddies kneuzen zijn want
dat is gewoon niet zo, met openbaare exploits kom je daar gewoon niet in
pc zalen en server's die gehackt worden op nederlandse universiteiten...
jullie maken mij echt niet meer wijs dat alle scriptkiddies kneuzen zijn want
dat is gewoon niet zo, met openbaare exploits kom je daar gewoon niet in
Je punten zijn wel duidelijk, dat moet ik zeggen,
maar een
gemiddeld scriptkiddie (en die kennen we blijkbaar beiden
voldoende) gaat niet een 5-tal lekken/exploits samen
misbruiken om iets te regelen.
Door precies *zo'n* instelling raken nu thuisgebruikersmaar een
gemiddeld scriptkiddie (en die kennen we blijkbaar beiden
voldoende) gaat niet een 5-tal lekken/exploits samen
misbruiken om iets te regelen.
besmet...... ``Ik hoef niet te patchen, want deze bug vind
ik niet erg'' -- niet wetende dat deze in combinatie met een
andere Administrator-rechten aan een indringer kan geven.
De 'gemiddelde' script-kiddie hoeft dit zelf overigens
nieteens te doen; de tools die tegenwoordig beschikbaar zijn
om deze wormen en virussen mee te genereren doen dat voor
ze.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?