Nieuws
image

Realtek personeel betrokken bij nieuwe USB-malware?

vrijdag 16 juli 2010, 10:19 door Redactie, 9 reacties

De malware die een nieuwe manier gebruikt om zich via USB-sticks te verspreiden, heeft inmiddels al 16.000 computers besmet en is mogelijk door personeel van Realtek geholpen. De Wit-Russische virusbestrijder VirusBlokAda ontdekte op 17 juni een virus dat zich op een nog nooit eerder vertoonde wijze verspreidde. Het maakt namelijk geen gebruik van de Autorun functionaliteit, maar van een Windows-lek. Gebruikers hoeven een besmette USB-stick alleen via Windows Explorer of een andere file manager te openen die icons kan weergeven, om de malware op het systeem uit te voeren.

Of het inderdaad om een onontdekte kwetsbaarheid gaat is nog altijd onbekend. Microsoft onderzoekt het probleem en zal meer informatie vrijgeven als het onderzoek is afgerond.

Certificaat
Een andere opmerkelijke eigenschap van de malware is het gebruik van twee drivers die met de certificaten van hardwarefabrikant Realtek zijn ondertekend. Het bedrijf is onder andere bekend van netwerkkaarten en onboard geluid op moederborden. Het intrekken van het Realtek certificaat is onmogelijk, omdat veel software dan niet meer zou werken.

De twee drivers zijn ontworpen om de rootkit functionaliteit van de malware te ondersteunen. Ze verstoppen de malware op het systeem en op geïnfecteerde USB-sticks. De certificaten in kwestie zijn op 25 januari getekend, terwijl de malware pas in juni werd ontdekt. "De grote vraag blijft, hoe konden de cybercriminelen deze bestandensigneren?", vraagt Alexander Gostev van Kaspersky Lab zich af. Het gebruikte certificaat is namelijk honderd procent legitiem.

India
Volgen Gostev gaat het eigenlijk om een worm, aangezien de malware zich via USB-sticks verspreidt. Uit onderzoek blijkt dat er wereldwijd meer dan 16.000 computers besmet zijn geraakt. Drie landen zijn echter het hardst getroffen, India, Iran en Indonesië. Deze landen hebben elk met meer dan 5.000 infecties te maken.

Het gebruik van USB-sticks is niet de snelste manier voor malware om zich te verspreiden. "Maar het zorgt er wel voor dat de malware een langere levenscyclus heeft", merkt Gostev op. De geografische verspreiding is mogelijk een aanwijzing hoe de rootkit digitaal werd getekend. Realtek is een hardwarefabrikant, die mogelijk de softwareontwikkeling in India uitbesteedt. Het is goed mogelijk dat het softwarebedrijf ook de bestanden met het certificaat van Realtek kan signeren. "Eén theorie is dat de malware is gemaakt in India en mogelijk met hulp van een insider binnen de Realtek applicatieontwikkelaars."

De virusbestrijder erkent dat de theorie pure speculatie is. "Als we deze theorie aannemen, dan acht ik het ook mogelijk dat de drivers eigenlijk legitieme drivers zijn. Ja, ze hebben rootkit functionaliteit en verbergen de bestanden in de root van de USB-stick. Maar dat betekent niet dat de driverbestanden niet legitiem zijn. Denk nog aan het Sony rootkit incident."

Gestolen
Larry Seltzer vermoedt dat de oude private key van Realtek mogelijk is gecompromitteerd. "Er zijn verschillende manieren waarop dit kan gebeuren, maar twee dingen komen als eerste naar boven, gezien het feit dat de malware voor belangrijke doelwitten is bedoeld." De Realtek key zou door een werknemer zijn verkocht of er heeft een "high-quality" hack op het systeem van de hardwarefabrikant plaatsgevonden. Realtek zelf heeft nog altijd niet op het incident gereageerd.

Reacties (9)
16-07-2010, 10:43 door sjonniev
Als het Realtek certificaat *niet* ingetrokken wordt, zie ik het nut van digitaal tekenen van software niet (meer) in.

Ze zullen als een gek alle drivers met een nieuwe key moeten teken en beschikbaar maken.
16-07-2010, 11:04 door ej__
Precies. Daarnaast zijn, hoe de hack op de certificaten ook heeft plaatsgevonden, elementaire fouten gemaakt ten aanzien van de root CA van Realtek. Deze mag natuurlijk nooit via een netwerk bereikbaar zijn, en moet ook fysiek goed worden beveiligd. Blijkbaar is aan tenminste 1 van beide voorwaarden niet voldaan.

Realtek verbrandt zijn gat en moet nu op de blaren gaan zitten.
16-07-2010, 13:16 door mathijsk
Is dit niet gewoon een voortborduursel op die kwetsbaarheid die laatst werd gepubliceerd?
Dat een usb device zich kan kan voordoen als X maar Y kan doen?
Er zijn meer manieren om aan een gelijke checksum te komen namelijk.
16-07-2010, 16:34 door Anoniem
Door sjonniev: Als het Realtek certificaat *niet* ingetrokken wordt, zie ik het nut van digitaal tekenen van software niet (meer) in.

Het certificaat hoeft niet ingetrokken te worden omdat het maar tot 12 juni 2010 geldig was.

En ja, wat is het nut van digitaal tekenen als Windows niet kijken of een certificaat geldig is, maar alleen controleren of er een certificaat is. Eventueel zelfs self-signed, volgens mij.

Peter
16-07-2010, 16:47 door spatieman
wat is het volgende, mallware die met een MS sertificaat is ondertekend ?
16-07-2010, 17:38 door ej__
Door spatieman: wat is het volgende, mallware die met een MS sertificaat is ondertekend ?
Ik hoop dat dat beperkt blijft tot malware. We hebben niets aan besmette winkelcentra, noch aan MS die zich met winkelcentra gaat bemoeien. ;)
17-07-2010, 05:21 door Anoniem
Daarnaast kun je ook alleen maar raden wat hij met een "sertificaat" bedoelt.
18-07-2010, 11:44 door Erik Loman
Het certificaat hoeft niet ingetrokken te worden omdat het maar tot 12 juni 2010 geldig was.

En ja, wat is het nut van digitaal tekenen als Windows niet kijken of een certificaat geldig is, maar alleen controleren of er een certificaat is. Eventueel zelfs self-signed, volgens mij.

Peter
Windows kijkt alleen naar het certificaat op het moment dat er een driver geïnstalleerd wordt, daarna kijkt het er niet meer naar om. Malware kan hierdoor ongestraft reeds geïnstalleerde ondertekende drivers infecteren.

Verder moet het Realtek certificaat wel ingetrokken worden omdat de Stuxnet driver bestanden voorzien zijn van een zogenaamde timestamp counter signature. Deze timestamp ondertekening geeft aan dat het bestand in de geldigheidsperiode van het certificaat ondertekend is. Het bestand blijft dus geldig ondertekend, ook nadat het certificaat verlopen is. Echter, ze kunnen het certificaat niet nogmaals gebruiken om te ondertekenen omdat het verlopen is.

Microsoft zegt dat het in samenwerking met Verisign en Realtek het certificaat heeft ingetrokken:
Microsoft MMPC has been working with Verisign to revoke this certificate, and did so at 08:05:42 PM UTC with the agreement and support of Realtek.
Ik verwacht echter dat een groot aantal originele Realtek bestanden (die dus niets met Stuxnet te maken hebben) ongeldig worden omdat het certificaat is ingetrokken. Realtek moet nu al z'n driver bestanden (die met het ingetrokken certificaat zijn ondertekend) opnieuw ondertekenen met een nieuw certificaat.
18-07-2010, 15:51 door Anoniem
Door spatieman: wat is het volgende, mallware die met een MS sertificaat is ondertekend ?
En de Windows suite is geen malware?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search