image

Nog duizenden Macs onderdeel Flashback-botnet

woensdag 8 januari 2014, 12:30 door Redactie, 4 reacties

Nog altijd duizenden Macs zijn onderdeel van het Flashback-botnet dat sinds begin 2012 actief is. Flashback wist zich voornamelijk te verspreiden via een lek in Java, dat door traag reageren van Apple enkele weken ongepatcht bleef, terwijl voor Windows er al wel een update beschikbaar was.

Flashback groeide met zo'n 700.000 machines uit tot het grootste Mac-botnet ooit. Uiteindelijk publiceerde Apple een verwijdertool om de malware, die besmette computers clickfraude liet plegen, te verwijderen. Ook kwamen verschillende anti-virusbedrijven met een verwijderprogramma. Toch zijn er nog altijd duizenden Macs die de verwijdertool nooit hebben gedraaid of geen virusscanner gebruiken.

Domeinnamen

Flashback gebruikt een domeinnaamgenerator (DNG) algoritme om elke dag nieuwe domeinnamen te genereren waarmee de besmette Macs de Command & Control-server kunnen bereiken. Via deze server kunnen de criminelen het botnet nieuwe opdrachten geven. Het algoritme werd al gauw door onderzoekers gekraakt.

Mac-beveiliger Intego registreerde een aantal van de domeinnamen waarmee met Flashback besmette Macs verbinding maken. Over een periode van vijf dagen genomen telde het beveiligingsbedrijf in totaal 22.000 geïnfecteerde Macs die de geregistreerde domeinnamen benaderden. Gisteren stond de teller op 14.248 unieke infecties.

Analist Arnaud Abbati merkt op dat als anti-virusbedrijven en beveiligingsonderzoekers stoppen met het registreren van de domeinnamen die Flashback genereert, het botnet weer in handen van cybercriminelen kan komen.

Reacties (4)
08-01-2014, 16:38 door Anoniem
Tja dat is wat, geen OS X advies van Intego deze keer? Prima : doen we het hier

Om welke Mac's zou het dan gaan?
Hoe lossen we dat op?

Kortst :
Vermoede risicogroep : Alle intel Mac's van 2006 t/m 2009 met OS X 10.5 (of zelfs 10.4)
Oplossing : upgraden en updaten naar OS X 10.6.8

Eventueel, en beter van wel, nog een scan draaien met een antivirus-scanner.
Die zijn er ook gratis.

- - - - - - - -

Meer specifiek / uitgebreid :

Betreft de vermoedelijke doelgroep die aan de volgende voorwaarden voldoet :

* Dat kan elke intel Mac betreffen uit de periode 2006 - 2009 die nog OS X Leopard 10.5 (of ouder 10.4? ) draaien, daarbij Java niet hebben uitgeschakeld in het Java paneel en ook een browser gebruiken waarvan de Java plugin is geactiveerd.
Daarnaast draait de gebruiker in kwestie dan geen anti-virusscanner want verreweg de meeste virusscanners detecteren de FlashBack malware.

Ouder OS X 10.4 ook? - De Mac's uit 2006 en 2007 werden zelfs nog met Tiger 10.4 geleverd, niet geheel duidelijk is of de FlashBack malware nou wel of niet werkte / is aangetroffen op Intel Machines met 10.4. Gebruik werd gemaakt van kwetsbare Java versies, die op 10.4 zijn nog ouder en nog minder up-to-date.

* Intel machines met niet up to date Java versies
De OS X versies 10.5 en 10.4 werden voor de uitbraak al en na de uitbraak ook niet meer voorzien van Nieuwe Java updates /versies
Java voor Leopard : laatste versie Java for Mac OS X 10.5 , 1.5.0_30 , Update 10 , Jun 28, 2011
Java voor Tiger : laatste versies voor Tiger Java 1.5.0_19 of 1.4.2_21, 2009


Detectie mogelijkheden FlashBack malware:

Aparte scanners
Voor 10.5 zijn er FlashBack malware scanners beschikbaar o.a. van Apple.
Zelf gebruikte ik ooit een universal binary app-je om ook PPC mac's te kunnen checken, "Flashbackchecker.app" : https://github.com/jils/FlashbackChecker/wiki
Voor 10.4 is er naar mijn weten geen apart scannertje uitgebracht, dat hoeft niet per sé, gebruik dan inderdaad een antivirus-programma.

Virus / malware scanners
Vrijwel alle virusscanners herkennen/detecteren/verwijderen de Flashback/Flashfake malware, zèlfs gratis versies en zelfs sommige hele lichte scannertjes (ClamXav bijvoorbeeld).

Zie voor een specifiek overzicht bijvoorbeeld het onderzoeksvergelijkings pdf "LatestDetectionRates.pdf" op de site van securityspread : http://securityspread.com/detection-rate-results/
Of van Thomas Reed : http://www.thesafemac.com/mac-anti-virus-testing-01-2013/


Mac Oplossingen :

- Systeem upgraden van 10.4 of 10.5 naar OS X 10.6 en door-updaten naar 10.6.8
Programma's die onder 10.4 werkten moeten ook gewoon nog onder 10.6 werken.
Voor 10.6 is meer up-to-date software te krijgen, denk ook aan je browser!
(ik weet niet precies of Flashplayer van Adobe nog wordt ondersteund voor intel machines die 10.4 draaien. Voor 10.6 is dat geen probleem.)

- Check doen met een FlashBack malware checker of een virusscanner die je dan nu eindelijk gaat installeren

- Wil je op 10.5 of 10.4 blijven zitten, schakel dan de Java functionaliteit uit in je browser.
Browse niet met een unsupported browser, dat is dan sowieso Safari in dit geval.
Schakel Java uit in de algemene Java voorkeuren, onder Tiger 10.4 kan dat niet.

Op OS X 10.4 kan je dus niet zoals in de latere versies Java in zijn algemeenheid uitschakelen.
Buiten het deactiveren van je Java browserplugin, kan je Java onder 10.4 alleen nog helemaal disablenen door de Java software te 'breken' (bepaalde componenten verwijderen), of Java (bijna) in haar geheel te verwijderen.

! -> Omdat dat voor de gemiddelde gebruiker misschien wat lastig is is het dan een eenvoudiger en meer safe optie om te upgraden naar OS X 10.6.8 .


Ander Advies :
Met het updaten van je Mac naar 10.6 en daarmee ook je Java versie is het probleem opgelost ; FlashBack malware werkt dan niet meer.
Probleem opgelost, en een fijn nieuwer OS X om mee te werken met meer functionaliteit.

Mocht je in intel Machine hebben die uit die periode is en Snow Leopard 10.6 of later draait, deze ook netjes up to date hebt gehouden door je software updates te draaien, ook je Java versies mee te nemen, en al een virusscannertje hebben geïnstalleerd is er zéér waarschijnlijk niets aan de hand.


En verder :

Maar natuurlijk kan je ook alleen het advies van Intego volgen door voor Intego's oplossing te gaan als je nog geen virusscanner hebt :
"Mac users can download our top ranked antivirus product, Intego VirusBarrier, to find and remove any variant of Flashback, and any other malware on your Mac."


Java twijfels?
Welke Java versie heb je? Test het hier : http://javatester.org/version.html
08-01-2014, 21:19 door Anoniem
Ok,dus de Mac computers met nog resterend Mountainlion 10.8.5 en Maverics daar hoef je je geen zorgen om te maken.
Maar goed ondanks dat ik zowel op mijn Imac en Macbook pro Maverics heb draaien,heb ik toch op beide Kaspersky Internet security op geinstalleerd.
Het is altijd prettig om te weten dat je veilig kan internetten,en dat je computers beschermd zijn tegen het ongewis.
08-01-2014, 23:42 door Anoniem
Bedankt voor deze uitgebreide en duidelijke uitleg! Ik ben net overgestapt van Windows naar OS X en heb alle updates geinstalleerd.
10-01-2014, 19:32 door Anoniem
Door Anoniem: Bedankt voor deze uitgebreide en duidelijke uitleg! Ik ben net overgestapt van Windows naar OS X en heb alle updates geinstalleerd.

Graag gedaan!

Meer Mac security info en overwegingen onder o.a. : https://www.security.nl/posting/374597#posting374702

Let wel ; het is een erg lang stuk, ik vond de ingekorte versie inhoudelijk gewoon niet goed genoeg. Alsnog gekozen voor plaatsen van de lange inhoudelijke versie ;-) . Misschien /hopelijk heb je er nog wat aan (al was het maar voor het inzicht).

Succes & plezier met je Mac
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.