Besmette USB-stick legde rechtbank plat
Een concurrent van de beruchte Conficker worm heeft gisteren via een besmette USB-stick het netwerk van de rechtbanken en gerechtshoven platgelegd. De malware zorgde ervoor dat medewerkers niet meer konden internetten en e-mailen. Volgens een woordvoerder zijn de besmette machines grotendeels schoongemaakt, maar kan het personeel uit voorzorg nog niet extern mailen en internetten. De computers raakten van binnenuit besmet met de Neeris worm, die waarschijnlijk via een besmette USB-stick is meegelift.
Neeris worm
Hoewel sommige media vermelden dat het om Neeris.A gaat, is het zeer waarschijnlijk een nieuwere variant van de malware die het Openbaar Ministerie heeft getroffen. Microsoft waarschuwde afgelopen april voor een nieuwe worm die zich via het zelfde beveiligingslek als Conficker bij Windows systemen naar binnen wurmde. Net als Conficker gebruikt de Neeris worm een exploit voor het MS08-067 lek, hoewel sommige varianten via de MS06-040 kwetsbaarheid binnenkomen.
Met Neeris besmette systemen downloaden de worm via HTTP, daarnaast verspreidt die zich ook via Autorun. Als laatste patcht het de TCP/IP laag van Windows systemen, om zo de beperking van het aantal uitgaande verbindingen op te heffen, die sinds XP Service Pack 2 van kracht was. Op 31 maart en 1 april van dit jaar was er een stijging van het aantal Neeris infecties zichtbaar.
"De eerste exemplaren van Neeris dateren van mei 2005, dus het lijkt erop dat de Conficker auteurs in dit geval de copycats zijn", zegt Ziv Mador van het Microsoft Malware Protection Center. Aan de andere kant hebben de makers van Neeris nu de MS08-067 exploit toegevoegd, waardoor het volgens Microsoft mogelijk is dat de cybercriminelen samenwerken of in ieder geval van elkaars creatie op de hoogte zijn. Neeris begon als een IRC bot die zichzelf via links in MSN Messenger berichten verspreidde.
Autorun uitschakelen
De nieuwe Neeris variant maakt verbinding via poort 449 met een Command en Control server. Het server wachtwoord dat het gebruikt om in te loggen werd in februari nog door andere bots gebruikt. De worm zorgt ervoor dat die bij elke systeem start geladen wordt, ook in Veilige Modus. Gebruikers krijgen het advies om voorzichtig met AutoPlay / Autorun te zijn of die anders gewoon uit te schakelen. Daarnaast geldt ook het advies wat voor de Conficker worm gegeven werd, zoals het patchen van alle machines, mocht dat nog niet gedaan zijn.
of heb ik t mis?
Mark
fd0
Op de nova website staat een filmpje van 5 minuten. Interessant om te lezen/zien:
http://www.novatv.nl/page/detail/uitzendingen/7053/Belastingdienst++doet+%27dom%27+met+USB-stick
Ik ben altijd bang dat dit soort nieuws altijd een aantal gevolgen heeft ontremd desastreuze wetsvoorstellen die worden voorgelegd om de nog meer controle te krijgen op de massa.
Het is mij nog niet gelukt.
Feitelijk kun je namelijk autorun niet blokkeren voor devices die nog niet op het systeem bekend zijn.
De enige echte oplossing is USB-aansluitingen fysiek onbereikbaar maken, geen cd/dvd drive in de PC en geen floppy of kaartlezer.
Uiteraard moet je dan ook nog de benodigde USB-aansluitingen voor bijvoorbeeld toetsenbord en muis vast maken aan de PC-behuizing, want voor je het weet heeft een of andere gebruiker er toch een USB-hubje tussen gehangen.
Uiteraard moeten ook eventuele firewire poorten uitgeschakeld zijn.
Zou jij dan kunnen uitleggen hoe je Windows duidelijk maakt dat autorun voor _alle_ media uit staat?
De enige echte oplossing is USB-aansluitingen fysiek onbereikbaar maken
1. Autorun uit via GPO.
2. In je anti-virus configureren dat ze geen uitvoerbare bestanden mogen starten van verwijderbare media.
3. Encryptie software die automatische usb sticks beveiligd.
Gebruikers vriendelijk en toch redelijk veilig.
Zou jij dan kunnen uitleggen hoe je Windows duidelijk maakt dat autorun voor _alle_ media uit staat?
De enige echte oplossing is USB-aansluitingen fysiek onbereikbaar maken
1. Autorun uit via GPO.
2. In je anti-virus configureren dat ze geen uitvoerbare bestanden mogen starten van verwijderbare media.
3. Encryptie software die automatische usb sticks beveiligd.
Gebruikers vriendelijk en toch redelijk veilig.
Het enige wat je dan dus zegt is gebruik geen sticks van anderen...
Autorun uitzeten via GPO heb ik al eens eerder gedaan en toen bleek dus gewoon een nog nooit gebruikte stick toch te autorunnen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.