Dorifelvirus topje van de ijsberg
Het Dorifel-virus dat vorige week uitgebreid in de media verscheen is slechts het topje van de ijsberg, reden voor Security.nl om in deze achtergrond dieper op computerinfecties in te gaan en hoe die zijn te voorkomen. Woensdag 8 augustus ontvingen we een tip over een onbekend virus dat Excel- en Wordbestanden verminkte. Dezelfde dag bleek dat ook de gemeente Weert door een virus was getroffen dat het computernetwerk platlegde. De volgende dag werd duidelijk dat naast Weert nog veel meer gemeenten en ook twee ministeries besmet waren geraakt. Het ging om het Dorifel-virus dat op de machines door het Citadel-botnet was geïnstalleerd.
Citadel werd voor het eerst op 23 januari genoemd. Het betreft 'open source malware' die aan de hand van de wensen van kopers wordt aangepast. De basis van Citadel is gebaseerd op de beruchte banking Trojan Zeus. Zeus is ontwikkeld om geld van online bankrekeningen te stelen en heeft wereldwijd vele miljoenen euro's buitgemaakt.
Infecties
In totaal werd Dorifel volgens zowel het Nationaal Cyber Security Center als Kaspersky Lab op zo'n 3.000 computers geïnstalleerd. Later werden op de Dorifel master-server inloggegevens voor internetbankieren van Nederlandse internetgebruikers ontdekt. Die waren voor zover bekend niet door Dorifel gestolen, maar zeer waarschijnlijk door Citadel, waarvan het bekend is dat het dit soort informatie buitmaakt. De bende achter de malware gebruikte de server in kwestie voor nog veel meer doeleinden.
3.000 besmette computers domineren nu al een aantal dagen het nieuws, maar de problematiek gaat veel verder dan Citadel of Dorifel. Volgens het Spaanse Panda Security is een kwart van alle computers in het Nederland geïnfecteerd. In het laatste Microsoft Security Intelligence Report (SIR) van de laatste helft van 2011, staat dat Microsoft op 13 van elke 1.000 gescande Windows computers malware aantrof.
De computers werden gescand met de ingebouwde Malicous Software Removal Tool. (MSRT). Eind 2010 liet Microsoft weten dat er 3 miljoen Windows 7 licenties waren verkocht, waarmee het besturingssysteem een aandeel van 25% had veroverd. In 2010 had Windows op de markt van besturingssystemen een aandeel van zo'n 90%. Dat zou zo'n 12 miljoen Windows computers betekenen. Aangezien 13 van de 1.000 gescande computers malware bevat, zou het om zo'n 156.000 machines gaan, hoewel Microsoft geen rekening houdt met het feit dat computers vaker met malware besmet raken.
Vorig jaar liet onderzoeker Michel van Eeten nog weten dat 5% tot 10% van de Nederlandse computers onderdeel van een botnet is, wat neerkomt op 450.000 tot 900.000 machines. Van welke berekening je ook uitgaat, de 3.000 Dorifel-besmettingen zijn letterlijk een druppel op een gloeiende plaat.
Klikken
Maar hoe raakten deze machines nu met de Citadel-malware besmet die vervolgens Dorifel installeerde. "Dat ligt aan de groep die het gebruikt", zegt Roel Schouwenberg van Kaspersky Lab tegenover Security.nl. Er zijn namelijk meerdere bendes die Citadel voor hun eigen doelen inzetten. Zo wordt Citadel in de Verenigde Staten gebruikt om de Reveton-malware te installeren. Citadel verspreidt zich zoals de meeste malware via social engineering en drive-by downloads, laat Schouwenberg weten.
Het gaat dan om e-mails met een geïnfecteerde bijlage die de ontvanger opent of dat die met verouderde software gehackte of kwaadaardige websites bezoekt. Websites die bijvoorbeeld in spamberichten worden gelinkt. Het is bij gebruikers van besmette systemen, waar een verwijdertool of virusscanner Dorifel en/of Citadel verwijdert dan ook wachten tot de volgende infectie. De oorzaak van de besmetting is namelijk niet opgelost.
Ondanks allerlei uitspraken over "veranderende dreigingslandschappen" en "cyberlegers" is preventie eenvoudig: namelijk niet klikken en software updaten, oftewel veilig internetten. Drive-by downloads waardoor Citadel en Dorifel verspreiden maken gebruik van bekende beveiligingslekken waarvoor een update al vaak geruime tijd beschikbaar is. Het gaat hier niet om Stuxnet-achtige malware waarbij de aanvallers onbekende kwetsbaarheden gebruiken. Dorifel is uiteindelijk niets meer dan een symptoom en het is wachten tot het volgende 'beestje' z'n kop opsteekt.
firewall niet meer genoemd worden. Terecht, want daar had je in dit geval geen moer aan.
Soms is up-to-date werken zelfs onmogelijk omdat patches er gewoon niet zijn (zie bijv. http://www.security.nl/artikel/41032/1/%22Apple_deels_schuldig_aan_Mac-botnet%22.html, http://www.security.nl/artikel/42504/Avira_lek%3A_AntiVir_for_Exchange_en_(Small)_Business_Security_Suite_(Oracle_Outside_In_libraries).html en de URL waar ik in laatstgenoemde pagina boven in naar verwijs).
Een veel groter probleem is "niet klikken". Ik vind dat wij als beveiligers compleet falen als we de schuldvraag bij de eindgebruiker neerleggen terwijl de techniek die eindgebruiker volledig in de steek laat. Het is belachelijk simpel om met zoekwerk op internet een mail op te stellen voor een willekeurig bedrijf/organisatie met de volgende kenmerken:
- Gericht is aan een medewerker;
- Afkomstig lijkt van bijv. een leidinggevende;
- In foutloos Nederlands opgesteld is en oproept ASAP de Excel bijlage te openen en te reageren;
- Een bijlage met de aan de gebruiker getoonde bestandsnaam "Omzet 2012Q2rcs.xls" bevat (terwijl het systeem dit als "Omzet 2012Q2slx.scr" interpreteert op het moment dat de gebruiker klikt, en het vervolgens als .exe uitvoert).
We moeten de hand in eigen boezem steken en met oplossingen komen in plaats van gebruikers dom te noemen als ze op iets kwaadaardigs geklikt hebben. Die gebruikers hebben nu groot gelijk als ze stellen: maar we hebben toch een virusscanner, een firewall, en dichtgetimmerde en trage systemen waardoor ik m'n werk al niet efficiënt meer kan doen? Ja mevrouw, maar toch is het uw schuld, u had niet moeten klikken...
En de mens is nu eenmaal nieuwsgierig van aard en wil dingen ondervinden, leren, spelen noem het maar op.
Overigens schande hoe mijn provider logs van mijn router terzijde legt waaruit blijkt dat een andere abonnee van hen overduidelijk misbruik maakt van het netwerk, door ongebreideld te pingen.
Vanavond Windows maar eens herinstalleren.
Als je dit vergelijkt met de wijze hoe in de regel Linux computers hun programma's ontvangen, zie je een groot verschil. De distributeur, Debian/Ubuntu, RedHat, Suse enz, verzamelen van alle benodigde programmatuur de broncodes, compilren die en integreren het tot een stabiel geheel. Je hoeft dan alleen te beoordelen of die ene distributeur je vertrouwen waard is. De procedures die de gerenomeerde distributies hanteren voor acceptatie en wijziging in de broncodes zijn in de regel bijzonder stringent en het risico dat ongein wordt meegeïnstalleerd is dan ook klein. De geïnstalleerde programmatuur kan/wordt verder automatisch up-to-date gehouden met die in de repositories van de distributie. Een behoorlijk werkend systeem waarbij je ook niet allerlei verschillende updaters voor de programma's van verschillende leveranciers in de lucht moet houden (en vertrouwen!).
Het Apple platform lijdt overigens in principe aan hetzelfde euvel als het MS Windows platform.
Nu is het niet zo dat open source programma's geen (beveiligings)gebreken hebben of beter zouden zijn. Wel worden gebreken en beveilingsgaten meestal snel, meestal sneller dan in de merkgebonden programmatuur, verholpen en gedicht.
Joep Lunaar
Ik hoop dat
Als je dit vergelijkt met de wijze hoe in de regel Linux computers hun programma's ontvangen, zie je een groot verschil. De distributeur, Debian/Ubuntu, RedHat, Suse enz, verzamelen van alle benodigde programmatuur de broncodes, compilren die en integreren het tot een stabiel geheel.
Heerlijke poep. Het is nu de vijfde avond na de eerste berichten over een virus. Het is 96 uur nadat het virus aangeboden werd aan de makers van ClamAV. 29 van de 42 virusscanners herkennen het, maar ClamAV niet.
ClamAV is de 'default' oplossing voor RedHat. Mijn RHEL fileservers, waarvoor ik bijna duizend euro per machine per jaar aan licentie-kosten betaal, herkennen Dorifel niet. Met zo'n 80.000 gebruikers zie ik dat toch wel als een probleem.
Natuurlijk is de oplossing eenvoudig. Genoeg fabrikanten die Dorifel wel herkennen en een 90 of 120 dagen trial-version aanbieden.
Maar, en dat is mijn punt: oogkleppen en blind vertrouwen op de makers van RedHat, Centos, Debian, OpenBSD, FreeBSD, NetBSD had je in dit geval niet geholpen. (Arme Theo..)
(Overigens: deze omgeving omvat 52 machines, maal bijna duizend euro per jaar per machine voor een RedHat-licentie.. Het is niet dat we beknibbelen op kosten, ofzo..)
Jouw ervaring met clamav is niet fijn en in dit geval van Dorifel jammer.
Maar bedenk wel dat die ervaring gaat over het detecteren (en opruimen) van die allende; mijn betoogje richtte zich op het beperken van de kwetsbaarheid.
NB. jouw RHEL servers zelf zijn niet kwetsbaar voor Citadel/Dorifel , het zijn (vermoedelijk) de ervan gebruikmakende MS Windows werkplekken. En Theo (de Raadt) is niet zielig, want zijn schepping is zelf dus niet kwetsbaar.
Hoe dan ook: botnets, trojans en dergelijke zooi kan vaak indringen bij gebrek aan een __exclusief__ en goed afgeschermd kanaal waarover programmatuur op een computer kan komen. Dat is de fundamentele zwakte die aan het "open" platform MS Windows kleeft.
Volgens het artikel is Dorifel het topje van de ijsberg en is het onderliggende botnet een probleem van veel grote orde - m.i. correct en ik houd mijn hart ook vast. Dorifel is just a payload. Het botnet is een (ongewenst) distributiekanaal voor programmatuur pur sang. Citadel en Zeus zijn al langere tijd bekend, maar die onderscheppen is dus nogal lastig, akelig, zeker als je je bedenkt dat ze niet uniek zijn.
p.s.
Dat het Dorifel niet standaard wordt gedetecteerd, ook zonder dat de scanners het al specifiek kennen verbaast mij. Een documentbestand dat is opgetuigd met een executeerbare naamextensie, dat moet toch een heuristisch eitje zijn. Het is zo ie zo bezopen dat de bestandsnaam en de uitvoerbaarheid van een bestand niet orthogonaal zijn.
Tijdig patchen is makkelijker gezegd dan gedaan. Er moet ook nog met de apparatuur gewerkt worden. De manier die wordt voorgesteld lijkt me zeer vervelend werken. Computer starten; Windows en virusscanner updaten; flash updaten; Adobe-reader updaten; Java updaten; update uitvoeren (herstarten); virusscanner draaien; vervolgens aan de slag.
Daarna ook nog even de router, televisie en mobile telefoon updaten!
Voor wie moeite heeft met updaten is er weinig dat diegene belet de automatische updaters van onder meer Windows, virusscanner en Flash Player te gebruiken. En een router verstrekt door een ISP voert eventuele updates doorgaans automatisch door.
Van sommige andere software vergt het updaten inderdaad meer zorg, maar de beveiligings-patches daarvoor komen beslist niet dagelijks uit. Wie het toch te lastig vindt om security-patches bij te houden, die kan naar wens Secunia PSI 3.0 gebruiken, die het doorvoeren van security-patches verregaand kan automatiseren.
Het wérkelijke probleem is het ontbreken van kennis over de noodzaak tot patchen, of de onjuiste veronderstelling dat patchen niet werkelijk van belang zou zijn zolang maar een virusscanner wordt gebruikt.
@ yobi 11:07,
Voor wie moeite heeft met updaten is er weinig dat diegene belet de automatische updaters van onder meer Windows, virusscanner en Flash Player te gebruiken. En een router verstrekt door een ISP voert eventuele updates doorgaans automatisch door.
Van sommige andere software vergt het updaten inderdaad meer zorg, maar de beveiligings-patches daarvoor komen beslist niet dagelijks uit. Wie het toch te lastig vindt om security-patches bij te houden, die kan naar wens Secunia PSI 3.0 gebruiken, die het doorvoeren van security-patches verregaand kan automatiseren.
Het wérkelijke probleem is het ontbreken van kennis over de noodzaak tot patchen, of de onjuiste veronderstelling dat patchen niet werkelijk van belang zou zijn zolang maar een virusscanner wordt gebruikt.
Verder moet je dit zien te proppen in je toch al krappe onderhoudsplanning. Vooral het testen is bijzonder tijdrovend omdat het niet altijd helder is wie er binnen de organisatie bekwaam is om goed te testen. Of een programma opstart kan elke idioot testen, maar we werken met data analyse programma's waarbij zonder foutmeldingen opstarten niets zegt over de scripts die onder water draaien.
Thuis is het makkelijk want de key-user en de beheerder zijn één en dezelfde. Maar zie het maar eens voor elkaar te krijgen binnen een organisatie van meer dan 5000 medewerkers en 1200 applicaties om dan die ene maandagavond in de maand, in twee uur, de nodige Windows updates, nieuwe software en updates van weet-ik-hoeveel programma's getest uit te rollen.
Zonder dat je dinsdagochtend om 7 uur weer aan je roll-back mag beginnen omdat Henkie zijn Davilex troep niet aan de praat krijgt.
Geheel mee eens. Daarnaast kunnen ook legitieme website besmet zijn met drive-by malware. Is iemand dom omdat hij via bijvoorbeeld www.nu.nl wordt geinfecteerd t.g.v. een malicious banner ? En de spearphishing aanvallen waarover Bitwiper het heeft zijn ook lang niet altijd eenvoudig te detecteren.
Overigens vraag ik mij nog altijd af waarom mail clients niet net iets meer informatie verschaffen, bijvoorbeeld geolocatie info op basis van originating IP. Indien ik een mail krijg van een collega uit Amsterdam, maar de originating IP laat zien dat de mail verstuurd werd vanuit (bijvoorbeeld) Oekraine, dan zou het handig zijn om dit te zien. En bij voorkeur zonder zelf handmatig de full header te gaan bekijken.
Je hebt uiteraard helemaal gelijk.
Maar uit de formulering van yobi lijkt te blijken dat dat een thuis-situatie betreft, vooral ook door de verwijzing naar de televisie. Of het moet werk betreffen waarbij tv-kijken tot de taakomschrijving hoort ;-)
... malware en inbraken ... drie voorbeelden:
1. Veilig internetten: Probeer maar op kantoor bijv. je collega's te vertellen dat er met Firefox+ABP+NoScript gewerkt moet worden en dan niet bij de eerste de beste website op "permanent toestaan" moet worden geklikt.
2. Vertrouwen: Nog lastiger is dan het verhaal dat je ook een besmette mail van een overheidsinstantie kan ontvangen.
... Wie vrolijke bekenden vrienden heeft, kan soms prachtige dubbelzinnige mails ontvangen met PPT/XLS-bestanden - wie klikt dan op "NEE"?
3. Netwerken: Helemaal "vrolijk" wordt ik van een kwestie zoals destijds rond LinkedIn, wetende dat sommige werkgevers van je vragen om daar een account aan te maken.
Omdat het telkens weer kan gebeuren -> accepteer gewoon dat je vaak "geluk" hebt gehad; maar als het fout gaat, niet janken maar om je heen kijken en met de beste tips aan de slag met puinruimen.
Als spam afkomstig van zombie-PC's al een regel met X-Originating-IP bevat, zal deze ongetwijfeld gespoofed zijn. Op "Received" headerregels kun je ook niet vertrouwen, omdat spam vanaf zombie PC's in de meeste gevallen voorzien is van 1 of meer gespoofde regels (onderaan de lijst). De enige truc is om van boven naar beneden Received header regels te doorlopen tot je de laatste vertrouwde mailserver tegenkomt; het IP adres van de afzender tijdens die sessie is de enige zinvolle en betrouwbare informatie die je krijgt.
Bij spam vanaf (meestal gecompromitteerde) webmail accounts wordt in lang niet alle gevallen een originating IP adres meegestuurd (o.a. Gmail doet dat niet).
Een ander probleem is dat mobile devices vaak lastiger te "geo-localiseren" IP-adressen gebruiken.
Stel dat je toch betrouwbaar (en geautomatiseerd) het originating IP-adres zou kunnen vaststellen, zullen spammers zich aanpassen en zal er een nieuw probleem ontstaan: zodra een aanvaller een PC "overneemt" en op die PC een e-mail adreslijst aantreft (en wellicht ook e-mails, wat social engineering vereenvoudigt) kan die aanvaller alle adressen op de gevonden adreslijst spammen vanaf die PC (met dus het verwachte IP-adres van de afzender) en desgewenst daarbij ook de identiteit van de PC eigenaar overnemen en de mail voorzien van een overtuigend verhaal. Denk aan "ik heb wat wijzigingen aangebracht in het document dat je me vorige week stuurde (zie bijlage), ben je het er zo mee eens?"
Zodra een doortastende aanvaller een PC binnen een bedrijf/organisatie (of van een thuisgebruiker met VPN) heeft overgenomen, kan die aanvaller heel veel schade aanrichten als hij of zij dan ook namens die gebruiker kan mailen...
We moeten de hand in eigen boezem steken en met oplossingen komen in plaats van gebruikers dom te noemen als ze op iets kwaadaardigs geklikt hebben. Die gebruikers hebben nu groot gelijk als ze stellen: maar we hebben toch een virusscanner, een firewall, en dichtgetimmerde en trage systemen waardoor ik m'n werk al niet efficiënt meer kan doen? Ja mevrouw, maar toch is het uw schuld, u had niet moeten klikken...
Tja, ik zie het iets anders. Je rijdt met je auto het water in omdat je navigatie systeem aangaf dat je meteen rechtsaf moest. Dat is de schuld van de autofabrikant, want die had moeten zorgen dat de auto daar niet rechtsaf kon.
Wat ik nu schrijf klinkt natuurlijk als onzin, feitelijk is jouw verhaal dat ook, als je niet weet waar je mee bezig bent doe het niet,
Natuurlijk kan het anders, de rechten van de gebruiker op een systeem inperken tot alleen lezen, met alleen homedir om te schrijven. Maar dat heb ik uitgevoerd bij een kennis die veel besmettingen had.
Admin wachtwoord gegeven voor alleen echte installaties en een paar weken later zat hij weer vol... veel te lastig zo'n account zonder rechten.
Dat laatste is niet alleen dom te noemen.
We moeten de hand in eigen boezem steken en met oplossingen komen in plaats van gebruikers dom te noemen als ze op iets kwaadaardigs geklikt hebben. Die gebruikers hebben nu groot gelijk als ze stellen: maar we hebben toch een virusscanner, een firewall, en dichtgetimmerde en trage systemen waardoor ik m'n werk al niet efficiënt meer kan doen? Ja mevrouw, maar toch is het uw schuld, u had niet moeten klikken...
Tja, ik zie het iets anders. Je rijdt met je auto het water in omdat je navigatie systeem aangaf dat je meteen rechtsaf moest. Dat is de schuld van de autofabrikant, want die had moeten zorgen dat de auto daar niet rechtsaf kon.
Wat ik nu schrijf klinkt natuurlijk als onzin, feitelijk is jouw verhaal dat ook, als je niet weet waar je mee bezig bent doe het niet,
Natuurlijk kan het anders, de rechten van de gebruiker op een systeem inperken tot alleen lezen, met alleen homedir om te schrijven. Maar dat heb ik uitgevoerd bij een kennis die veel besmettingen had.
Admin wachtwoord gegeven voor alleen echte installaties en een paar weken later zat hij weer vol... veel te lastig zo'n account zonder rechten.
Dat laatste is niet alleen dom te noemen.
Het werken met beperkte rechten zorgt er voor dat malware inderdaad lastiger op je systeem komt, maar zorgt er ook voor dat updates handmatig geïnstalleerd moeten worden onder een ander account. Een klant van mij werkt met beperkte rechten, daardoor is de software niet altijd up-to-date (virusscanner wel) maar wordt eens per maand nagekeken. Toch is haar computer besmet. En in het geval van Dorifel dus dubbel besmet.
De virusscanner is als een airbag. Niet als een navigatiesysteem. Ja, de bestuurder is dom genoeg om tegen een boom aan te rijden of verloor simpelweg door geavanceerde malware de macht over het stuur, maar de airbag zou moeten redden wat er kritiek is.
De virusscanners falen keer op keer om juist de kritieke delen van het systeem af te schermen. Het maakt niet uit dat er een paar Word documenten corrupt zijn. Die staat toch in de backup... Maar een botnet erbij!? Kom op! Dat had nooit mogen gebeuren.
Natuurlijk is de oplossing eenvoudig. Genoeg fabrikanten die Dorifel wel herkennen en een 90 of 120 dagen trial-version aanbieden.
Waar betaal je dat licentiebedrag precies voor? Ik zou denken voor snelle antwoorden op vragen over configuratie en gebruik, snelle actie bij bugs in software, dat soort dingen. Niet voor de software zelf, die is open source en ook uit andere bronnen te betrekken (op een paar RedHat-specifieke dingen na vermoedelijk). ClamAV zal de default zijn omdat het de enige open-source-virusscanner is. ClamAV is niet van RedHat, en een virusdatabase beheren is een nogal vergaande specialisatie, ik zou verbaasd zijn als RedHat in staat zou zijn om sneller te reageren dan ClamAV zelf.
Misschien moet je eens kijken of je verwachtingen aan RedHat overeenstemmen met wat precies bij dat licentiegeld inbegrepen is, ik vermoed dat daar iets wringt.
Als je de kans dat een virus herkend wordt door een scanner op je fileservers op wil schroeven kan het zinvol zijn om meerdere engines te gebruiken (en geen ad hoc trial-versies maar structureel). Hier kan je een indruk krijgen van wat op Linux draait en hoe het presteert:
http://www.shadowserver.org/wiki/pmwiki.php/AV/Viruses
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.