Flame-virus verspreidt zich via Windows feature
Het beruchte Flame-virus gebruikt naast twee beveiligingslekken in Windows ook een feature van het besturingssysteem om zich te verspreiden. Net als Stuxnet gebruikt Flame een kwetsbaarheid in de Windows Print Spooler Service en een lek in Windows Shortcut 'LNK/PIF' bestanden. Ook maakt het gebruik van een speciaal gemaakt Autorun.inf bestand en probeert het via gestolen inloggegevens op gedeelde netwerkschijven in te loggen.
In het geval van het LNK-lek wordt een geheel nieuwe methode gebruikt die onderzoekers nog nooit eerder hebben waargenomen. Het LNK-lek zorgt ervoor dat het openen van een USB-stick, bijvoorbeeld in de Windows-verkenner, voldoende is om besmet te raken ook al staat Autorun uitgeschakeld. Stuxnet gebruikte de kwetsbaarheid op deze manier.
Junction points
Flame gebruikt bij deze aanvalsmethode een Windows feature genaamd junction points. Een junction point laat een gebruiker een alias maken die naar een directory verwijst. In het geval van bijvoorbeeld C:\Dit\Zijn\Heel\Veel\Directories, kan er een junction worden gemaakt genaamd C:\DezeJunction die naar de eerdere directory wijst. Het junction point is eigenlijk een directory met speciale kenmerken.
Flame gebruikt junction points om de eigen bestanden te verbergen en zichzelf uit te voeren. De malware maakt op een USB-stick een normale directory aan. Daar binnen plaatst Flame drie bestanden, zichzelf, desktop.ini en target.lnk. Normaliter moet een junction point altijd naar een andere directory wijzigen, maar de makers van Flame hebben een manier gevonden om van de aangemaakte directory een junction point te maken. Zodra het slachtoffer deze map probeert te openen, wordt hij doorgestuurd naar de directory die in het bestand target.lnk staat opgegeven.
Daardoor kan de gebruiker de bestanden in de map niet zien. Tevens zorgt het gebruik van het junction point er ook voor dat via het aangeroepen lnk-bestand de lnk-kwetsbaarheid is uit te buiten en de malware zichzelf op het systeem installeert. "Flame is enorm groot en we verwachten dat we nog meer interessante trucs en nieuwe technieken zullen vinden bij het analyseren van deze dreiging", aldus anti-virusbedrijf Symantec.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.