Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Exploit
Deze ochtend was ik op een weblog van een Zeeuwse mevrouw en na het plaatsen van een reactie kwam MSE met de waarschuwing dat er een Exploit was gedetecteerd, en wilde Acrobat een file openen. Het bleek er om 2 te gaan:
Exploit:Win32/Pdjsc.RF
Exploit:JS/Blacole.AR
Beide maken misbruik van de pc indien er niets aangedaan wordt. MSE verwijderde de ongein gelijk .
Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Niet! En dat is best wel jammer.
Exploit:Win32/Pdjsc.RF
Exploit:JS/Blacole.AR
Beide maken misbruik van de pc indien er niets aangedaan wordt. MSE verwijderde de ongein gelijk .
Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Niet! En dat is best wel jammer.
Reacties (11)
26-02-2012, 13:27 door
SirDice
Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.@Zeurkool
m'n zus heeft ook een keer een exploit uit de blackhole toolkit op haar laptop gehad en deze is ook gedetecteerd met MSE, ook al kreeg ze daarna alsnog een BSOD, waardoor ik 4 verschillende scans heb kunnen uitvoeren, gelukkig had ik Java er een dag eerder voor der der af gegooid.
Daar heb ik slechte ervaringen mee, met het offline halen van een virus website. Ik had de bron van een virusinfectie op het schoolnetwerk gevonden. Daarna de oude bekende Whois gebruikt en de hoster gecontacteerd, ze zeiden dat ze de website zouden beoordelen en hem desnoods offline zouden halen, maar dat is niet gebeurd, dus dan maar niet, de site lijkt niet actief mis-/gebruikt te worden.
Virustotal rapporten:
https://www.virustotal.com/file/c166886af3a9f84dd2d92c097d7fa6eecf11125e0875ca49f0e33b922d11ddd5/analysis/1330271276/
https://www.virustotal.com/file/048c282dd112d0b3fe6e4669af9496ec15424dd4f834e304ac73bbfbbce2be8f/analysis/1330271368/
https://www.virustotal.com/file/f0878a59aea3dc8ece29e1f7dd7a11707030d2587e5a506462eb876b7a9ffe9f/analysis/1330271475/
1 ding, mocht je deze website vinden in de virustotal rapporten, klik dan niet op de directory /myvids/ want dan krijg je een drive-by download, die met Java wat leuke commando's probeert uit te voeren in cmd.exe
m'n zus heeft ook een keer een exploit uit de blackhole toolkit op haar laptop gehad en deze is ook gedetecteerd met MSE, ook al kreeg ze daarna alsnog een BSOD, waardoor ik 4 verschillende scans heb kunnen uitvoeren, gelukkig had ik Java er een dag eerder voor der der af gegooid.
Door SirDice:
Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.Daar heb ik slechte ervaringen mee, met het offline halen van een virus website. Ik had de bron van een virusinfectie op het schoolnetwerk gevonden. Daarna de oude bekende Whois gebruikt en de hoster gecontacteerd, ze zeiden dat ze de website zouden beoordelen en hem desnoods offline zouden halen, maar dat is niet gebeurd, dus dan maar niet, de site lijkt niet actief mis-/gebruikt te worden.
Virustotal rapporten:
https://www.virustotal.com/file/c166886af3a9f84dd2d92c097d7fa6eecf11125e0875ca49f0e33b922d11ddd5/analysis/1330271276/
https://www.virustotal.com/file/048c282dd112d0b3fe6e4669af9496ec15424dd4f834e304ac73bbfbbce2be8f/analysis/1330271368/
https://www.virustotal.com/file/f0878a59aea3dc8ece29e1f7dd7a11707030d2587e5a506462eb876b7a9ffe9f/analysis/1330271475/
1 ding, mocht je deze website vinden in de virustotal rapporten, klik dan niet op de directory /myvids/ want dan krijg je een drive-by download, die met Java wat leuke commando's probeert uit te voeren in cmd.exe
27-02-2012, 08:29 door
SirDice
Door Anoniem:
Daar heb ik slechte ervaringen mee, met het offline halen van een virus website. Ik had de bron van een virusinfectie op het schoolnetwerk gevonden. Daarna de oude bekende Whois gebruikt en de hoster gecontacteerd, ze zeiden dat ze de website zouden beoordelen en hem desnoods offline zouden halen, maar dat is niet gebeurd, dus dan maar niet, de site lijkt niet actief mis-/gebruikt te worden.
Ik niet hoor. Ik heb al meerdere sites uit de lucht gekregen op die manier. Dat lukt niet altijd maar meestal is het raak.Door SirDice:
Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.Daar heb ik slechte ervaringen mee, met het offline halen van een virus website. Ik had de bron van een virusinfectie op het schoolnetwerk gevonden. Daarna de oude bekende Whois gebruikt en de hoster gecontacteerd, ze zeiden dat ze de website zouden beoordelen en hem desnoods offline zouden halen, maar dat is niet gebeurd, dus dan maar niet, de site lijkt niet actief mis-/gebruikt te worden.
27-02-2012, 08:52 door
S-q.
Toch wel effectief dat MSE dan!
@Anoniem 17.09.
Je had Java ook gewoon kunnen patchen hoor.
Ik probeer daar ook attent op te zijn.
Kreeg een dag daarna een keer ook een exploit (2) die daarom doodliep, door MSE gevonden werd en verwijderd.
Ik moet wel toegeven, MSE vond het pas na een volledige scan.
(Of het was een nieuwe exploit/toeval)
Maar, gewoon doen wat SirDice aangeeft.
@Anoniem 17.09.
Je had Java ook gewoon kunnen patchen hoor.
Ik probeer daar ook attent op te zijn.
Kreeg een dag daarna een keer ook een exploit (2) die daarom doodliep, door MSE gevonden werd en verwijderd.
Ik moet wel toegeven, MSE vond het pas na een volledige scan.
(Of het was een nieuwe exploit/toeval)
Maar, gewoon doen wat SirDice aangeeft.
27-02-2012, 09:09 door
Ilja. _V V
Door SirDice:
Niet om je af te kammen of zo, maar is dat niet een beetje grof geweld tegen een oude van dage?... ;-)Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.
27-02-2012, 10:25 door
Mysterio
Door Ilja. _\\//:
Nope, als er iemand hoest in de bus gooi ik er ook meteen een vuilniszak overheen. Je weet maar nooit!Door SirDice:
Niet om je af te kammen of zo, maar is dat niet een beetje grof geweld tegen een oude van dage?... ;-)Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.Het off-line halen kan een hoop ellende voorkomen waar een hoster helemaal niet op zit te wachten. Daarnaast heeft men daar vast procedures voor die netjes de klant op de hoogte stellen en meer van dat.
27-02-2012, 10:34 door
SirDice
Door Ilja. _\\//:
Ik vind dat zeurkool z'n best heeft gedaan, hij heeft in ieder geval nog de moeite genomen om de webmaster in te lichten. Dat sla ik over het algemeen gewoon over.Door SirDice:
Niet om je af te kammen of zo, maar is dat niet een beetje grof geweld tegen een oude van dage?... ;-)Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.
27-02-2012, 21:46 door
0101
Het kan een false positive zijn; MSE heeft recentelijk nog zelfs Google aangemerkt als de BlackHole exploit kit. Omdat de exploit kit in de browser draait en allemaal geobfusceerde JavaScript bevat is 'ie moeilijk te te identificeren. (En liggen false positives op de loer.)
Als je de tijd hebt om door de broncode te spitten... Cookies weggooien (of private browsing), Flash / Java tijdelijke bestanden weggooien (of, beter, plugins uitschakelen) en dan view-source:http://www.debewustesite.nl/. En kijk ook even van welke pagina's er bestanden geladen worden (kan makkelijk vanuit de AdBlock Plus blokkeerlijst, Ctrl+Shift+V) als je de site "normaal" bezoekt. Als er geen verdachte externe websites worden geladen is de kans groot dat MSE ernaast zit.
Als je de tijd hebt om door de broncode te spitten... Cookies weggooien (of private browsing), Flash / Java tijdelijke bestanden weggooien (of, beter, plugins uitschakelen) en dan view-source:http://www.debewustesite.nl/. En kijk ook even van welke pagina's er bestanden geladen worden (kan makkelijk vanuit de AdBlock Plus blokkeerlijst, Ctrl+Shift+V) als je de site "normaal" bezoekt. Als er geen verdachte externe websites worden geladen is de kans groot dat MSE ernaast zit.
Anoniem 17.09:
Zo dom ben ik niet om op een virussite zo op verschillende links te klikken en Java heb ik lang geleden gedumpt. :P Ik heb de website 'geanalyseerd' met Tails 0.10 in een VM om achter mijn bevindingen te komen en ik ben niet besmet via deze drive-by, maar ik heb hem op een andere manier gevonden en die drive-by was niet de bron van een eerdere besmetting. Met JS en Java uitgeschakeld in Tails zag ik index2.html en dus verandere ik index2.html in index.html en toen zag ik een hele interessante code die commando's uitvoert, zowel in cmd,exe in Windows als in de terminal in Unix/Linux... Het betreft hier ook niet een exploit uit de Blackhole toolkit, ik heb het eerdere bericht alleen geschreven om aan te tonen dat een site uit de lucht halen niet altijd wilt lukken en ik wilde alleen waarschuwen dat mocht iemand in de comments op virustotal.com bekijken en de URL vinden dat diegene dan niet uit nieuwsgierigheid op die drive-by zou klikken.
Door S-q.: Toch wel effectief dat MSE dan!
@Anoniem 17.09.
Je had Java ook gewoon kunnen patchen hoor.
Ik probeer daar ook attent op te zijn.
Kreeg een dag daarna een keer ook een exploit (2) die daarom doodliep, door MSE gevonden werd en verwijderd.
Ik moet wel toegeven, MSE vond het pas na een volledige scan.
(Of het was een nieuwe exploit/toeval)
Maar, gewoon doen wat SirDice aangeeft.
@Anoniem 17.09.
Je had Java ook gewoon kunnen patchen hoor.
Ik probeer daar ook attent op te zijn.
Kreeg een dag daarna een keer ook een exploit (2) die daarom doodliep, door MSE gevonden werd en verwijderd.
Ik moet wel toegeven, MSE vond het pas na een volledige scan.
(Of het was een nieuwe exploit/toeval)
Maar, gewoon doen wat SirDice aangeeft.
Zo dom ben ik niet om op een virussite zo op verschillende links te klikken en Java heb ik lang geleden gedumpt. :P Ik heb de website 'geanalyseerd' met Tails 0.10 in een VM om achter mijn bevindingen te komen en ik ben niet besmet via deze drive-by, maar ik heb hem op een andere manier gevonden en die drive-by was niet de bron van een eerdere besmetting. Met JS en Java uitgeschakeld in Tails zag ik index2.html en dus verandere ik index2.html in index.html en toen zag ik een hele interessante code die commando's uitvoert, zowel in cmd,exe in Windows als in de terminal in Unix/Linux... Het betreft hier ook niet een exploit uit de Blackhole toolkit, ik heb het eerdere bericht alleen geschreven om aan te tonen dat een site uit de lucht halen niet altijd wilt lukken en ik wilde alleen waarschuwen dat mocht iemand in de comments op virustotal.com bekijken en de URL vinden dat diegene dan niet uit nieuwsgierigheid op die drive-by zou klikken.
06-03-2012, 08:50 door
Zeurkool
Ondertussen zijn we alweer ruim een week verder en hebben ze er nog niets aan gedaan.
Ze zeggen dat ik mijn MSE moet updaten ( welke natuurlijk up2date is) en dat mijn adobe reader veroudert is terwijl ik versie 10.1.2 heb. Volgens mij de laatste versie.
Het is grappig om te zien hoe men hier mee omgaat, en hoe men je niet gelooft. De host zegt gewoon dat er niets te vinden is.
Ze zeggen dat ik mijn MSE moet updaten ( welke natuurlijk up2date is) en dat mijn adobe reader veroudert is terwijl ik versie 10.1.2 heb. Volgens mij de laatste versie.
Het is grappig om te zien hoe men hier mee omgaat, en hoe men je niet gelooft. De host zegt gewoon dat er niets te vinden is.
06-03-2012, 12:27 door
SirDice
Ter illustratie, dat een hoster vaak ook gewoon netjes z'n werk doet, vorige week 4 abuse e-mails de deur uit gedaan. Twee reageerde helemaal niet, zelfs geen auto-reply, maar ruimde de boel wel op. En twee reacties:
Dennis, Mar 02 18:08 (EET):
Hello,
The mentioned URL no longer works. This was already removed. You may check it.
Dennis M.
System Administrator
http:/www.eurovps.com
Providing Quality Hosting since 2004
Tel: +31 208 202 120 / +44 203 355 6681
http://facebook.com/eurovps - Like us yet?
Kortom, vier uit vier die de boel opruimden. En twee die bonus punten krijgen voor een fatsoenlijk antwoord.
Dear SirDice,
We have received your notification concerning the phishing content. We have shut down the website in question accordingly. The website will not be re-enabled to public access until it has been cleared by our own security checks and all of the phishing and/or malware content has been removed of the server.
Regards,
Patrick
Mijndomein Support
We have received your notification concerning the phishing content. We have shut down the website in question accordingly. The website will not be re-enabled to public access until it has been cleared by our own security checks and all of the phishing and/or malware content has been removed of the server.
Regards,
Patrick
Mijndomein Support
Dennis, Mar 02 18:08 (EET):
Hello,
The mentioned URL no longer works. This was already removed. You may check it.
Dennis M.
System Administrator
http:/www.eurovps.com
Providing Quality Hosting since 2004
Tel: +31 208 202 120 / +44 203 355 6681
http://facebook.com/eurovps - Like us yet?
Kortom, vier uit vier die de boel opruimden. En twee die bonus punten krijgen voor een fatsoenlijk antwoord.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.