Nederlandse instellingen besmet via RTLO-truc
De uitbraak van de Dorifel-malware is veel groter dan in eerste instantie werd gedacht en nog gaande, aldus het Russische anti-virusbedrijf Kaspersky Lab. Naast Nederland raakten ook organisaties in Denemarken, Filipijnen, Duitsland, Verenigde Staten, Spanje, Canada, China en Polen geinfecteerd. Nederland werd echter het zwaarst getroffen.
"Het aantal infecties in Nederland is naar 3113 gestegen, wat een stijging van meer dan 1100 computers in slechts een paar uur is", aldus analist David Jacoby. "Dit geeft aan dat niet alle computers up-to-date anti-virus software draaiden, of erger, helemaal geen virusscanner gebruikten."
RTLO
De malware verspreidt zich volgens Kaspersky Lab initieel via e-mail, waarbij het de "Right-to-Left-Override" (RTLO) kwetsbaarheid gebruikt om de werkelijke extensie van het bestand te maskeren. De malware downloadt vervolgens aanvullende malware die op de besmette computer documenten versleutelt. Ook probeert Dorifel bestanden op gedeelde netwerkmappen te versleutelen.
Security.nl legt in dit artikel uit hoe de detailweergave in Windows een oplossing voor RTLO is.
Nederland
Jacoby onderzocht de servers waarop de Dorifel-malware draait en ontdekte dat die niet goed was geconfigureerd, waardoor er eenvoudig toegang tot andere mappen was te krijgen. Daar werden nog veel meer kwaadaardige onderdelen ontdekt, waaronder Java-exploits en nep-virusscanners.
Op de vraag of deze aanval specifiek tegen Nederlandse bedrijven en overheidsinstanties is gericht kan Jacoby geen antwoord geven. "Dit kunnen we niet bevestigen, maar voor nog onbekende reden komende meeste slachtoffers uit Nederland."
Ronald Prins van Fox-IT laat via Twitter weten dat het "Dorifel boefje" 100 slachtoffers van de Hermes malware heeft voorzien. Hermes is Bankingmalware die aanvallers ook DDoS-aanvallen laat uitvoeren en remote shell geeft.
Het Taiwanese AegisLab maakte onderstaande screenshot van de RTLO-truc die Dorifel op bestanden toepast.
Het zou al een stuk helpen als virusscanners zouden waarschuwen (zomogelijk aan/uit te zetten) bij RTO bestandsnamen. Helaas ken ik geen enkele virusscanner die dat doet. Ook zou je het in Windows gewoon uit moeten kunnen zetten; voor ons westerlingen is het een verrassing dat RTLO bestaat.
Sample: http://is.gd/iot3L7
Sample: http://is.gd/iot3L7
Ik zie daar: Analysis date: 2012-08-10 10:52:50 UTC
En de laatste update van de scanners is 2012-08-08.
Test 't nog eens zou ik zeggen.
(email adressen vervangen)
Immers, stel dat dat de malware die eXpL0iT.be uploadt door veel scanners wordt gedetecteerd, dan zou je niet weten of dat komt doordat ofwel de scanners heel goed zijn in het herkennen van nog onbekende malware, ofwel de malware feitelijk al wat ouder is en AV boeren er ondertussen definities voor hebben uitgebracht.
eXpL0iT.be heeft gewoon aangetoond dat de malware op 2012-08-08 maar door 1 virusscanner herkend zou zijn. Zodra de malware met nieuwere definities wordt geanalyseerd kun je wat zeggen over de reactiesnelheid van de AV boeren.
Wat betreft de reactiesnelheid van AV boeren, die kun je hier mooi bekijken: http://www.blog.mrg-effitas.com/
(kijk ook op oudere pagina's in het blog)
Voorlopig resultaat van die tests is hier te vinden: http://www.mrg-effitas.com/current-tests/flash-test-results/
Wil hierbij opmerken dat dit niet alleen om detectie d.m.v. definities gaat. Uitleg over de gehanteerde testmethode kun je vinden op de pagina met het voorlopige resultaat.
(kijk ook op oudere pagina's in het blog)
Voorlopig resultaat van die tests is hier te vinden: http://www.mrg-effitas.com/current-tests/flash-test-results/
Wil hierbij opmerken dat dit niet alleen om detectie d.m.v. definities gaat. Uitleg over de gehanteerde testmethode kun je vinden op de pagina met het voorlopige resultaat.
(kijk ook op oudere pagina's in het blog)
Voorlopig resultaat van die tests is hier te vinden: http://www.mrg-effitas.com/current-tests/flash-test-results/
Wil hierbij opmerken dat dit niet alleen om detectie d.m.v. definities gaat. Uitleg over de gehanteerde testmethode kun je vinden op de pagina met het voorlopige resultaat.
Zemana/HMP (= HitmanPro) is de enige on-demand scanner die mee doet in deze test. De grafiek geeft onterecht 1 rood blokje bij HitmanPro want tot op heden hebben we bij alles Pass gescoord (zie de Blog link).
Verder werkt Bluepoint op basis van white list (niet in de white list = blokkeren).
De resultaten laten in ieder geval zien dat slechts een paar programma's, waaronder HMP, goed scoren m.b.t. bescherming tegen zero day/early life malware. Dan een groep die gemiddeld scoort en een paar die ronduit slecht scoren.
Bluepoint is inderdaad een vreemde eend in de bijt en naar mijn idee eigenlijk niet geschikt voor de gemiddelde computergebruiker. Die zal heel vaak zelf moeten beslissen wanneer iets niet in de whitelist staat en dan is de kans groot dat 't alsnog fout gaat.
Interesting what is mentioned in the Kaspersky write-up:
http://www.securelist.com/en/blog/208193776/Dorifel_is_much_bigger_than_expected_and_it_s_still_active_and_growing
David Jacoby writes, “The infection rate in the Netherlands has gone up to 3113 which is an increase of over 1100 computers in just a few hours.”
We saw 2257 infections nearly over a day and half ago. Add 1100 to that and you end up with 3357. I’d suggest buying a new calculator.
After the panel screenshot we showed most of the additional clients were seen on the 9th of August 2012, with reaching 2979 on Thursday afternoon and 3129 on Friday afternoon.
As the domain name for the C&C in XDocCrypt/Dorifiel is actually now sinkholed, we can expect that there are no additional payloads pushed via this. However the clients that are still infected with Citadel or the new Hermes can get infected with a new crypted version of XDocCrypt/Dorifiel again which might not be picked up by existing anti-virus products.
Lijkt er op dat Kaspersky een populair artikel wilde schrijven maar wat uit z'n duim zoog... Fear Uncertainty Doubt!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.