Flame verspreidde valse Windows updates via netwerk
Er zijn meer details openbaar gemaakt over de manier waarop het Flame spionagevirus computers via Windows Update infecteerde. Gisteren werd bekend dat Flame valse Microsoft certificaten gebruikte om Windows Update te misleiden. Nu blijkt dat via één besmette computer in het netwerk van de aangevallen organisatie de overige machines werden geïnfecteerd.
"Windows 7 machines werden op een zeer verdachte manier via het netwerk geïnfecteerd", zegt Kaspersky Lab analist Aleks Gostev. Zodra een nog niet geïnfecteerde machine verbinding met Windows Update probeerde te maken, werd dit verzoek onderschept en naar de al geïnfecteerde machine doorgestuurd. Vervolgens kreeg de nog niet geïnfecteerde computer vanaf de al besmette computer een kwaadaardige Windows Update waar Flame in zat verstopt.
CAB-bestand
Voor het infecteren van computers via Windows Update werden 8 CAB-bestanden gebruikt. Eén bevatte een speciaal ontwikkeld programma genaamd WuSetupV.exe. Dit programma is met een vals Microsoft certificaat gesigneerd, zodat het besturingssysteem tijdens de installatie van de overige CAB-bestanden geen waarschuwing geeft.
Deze 'Gadget' downloader van Flame zou op 27 december 2010 zijn gecompileerd en op 28 december met het valse certificaat zijn gesigneerd. Uiteindelijk werd het op 11 januari 2011 aan het CAB-archief toegevoegd. "Dit is één van de interessantste en meest complexe kwaadaardige programma's die we ooit hebben gezien", aldus Gostev.
(update: ik zie net dat https://secure.security.nl/artikel/41769/1/Microsoft%3A_Flame_gebruikte_cryptografische_collission-aanval.html melding maakt van de aanval via WPAD).
Die DNS request voerde mijn notebook niet uit omdat ik een webbrowser had gestart, maar omdat Microsoft Update van de IE engine gebruik maakt. Direct daarna werd namelijk een DNS lookup van download.windowsupdate.com uitgevoerd (update: gisteren vermoedde ik nog dat de Flame aanval werd uitgevoerd via een DNS spoofing attack, zodanig dat je een ander IP-adres terugkrijgt op die request, zie mijn bijdrage in https://secure.security.nl/artikel/41759/1/Flame_besmet_computers_via_Windows_Update.html). Onmiddellijk daarna werden, deels via http, deels via https, gegevens opgehaald waaruit mijn notebook afleidde dat er een update beschikbaar was voor mijn notebook.
Nu heb ik verschilende zaken uitgezet op mijn notebook (o.a. de server service en NetBIOS over TCP/IP), daarom zie ik geen NetBIOS WPAD lookups (broadcast in LAN), maar ben nu wel afhankelijk van de betrouwbaarheid van de DNS server van mijn ISP voor een complete proxy instelling, niet alleen voor DNS requests. Hier moet ik dus wel wat aan doen!
Voor degenen die niet weten wat WPAD is (ik wist het ook niet goed): dit is een methode voor webbrowsers (ooit bedacht door Netscape als ik me niet vergis) om "aan het netwerk" om proxy instellingen te vragen. Als dat via een broadcast op LAN gebeurt en op dat LAN is een PC gecompromitteerd, dan is een aanval natuurlijk heel eenvoudig.
Vergelijkbare aanvallen zijn denkbaar via DHCP spoofing, maar moderne switches in bedrijfsnetwerken helpen die aanvalsmogelijkheid te voorkomen.
Weet iemand hoe je WPAD betrouwbaar en voor alle webbrowsers uit kunt zetten?
Nu ik met Total Commander aan het zoeken ben geslagen op WuSetupV.exe vind hij deze in de regel
C:\windows\softwaredistribution\selfupdate\handler\*.* De dir is aangemaakt op 02-10-2009.
Kan ik deze dir zonder problemen nu verwijderen of heb ik dan geen windows update meer ?
Alvast bedankt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.