image

Malware in drivers Japanse hardwarefabrikant verstopt

zaterdag 31 mei 2014, 12:00 door Redactie, 6 reacties

Aanvallers zijn erin geslaagd om drivers van de Japanse hardwarefabrikant Buffalo van malware te voorzien. Het gaat om de Bankeiya Trojan, die ontwikkeld is om gegevens van Japanse online bankklanten te stelen. De malware werd via de officiële website van Buffalo verspreid.

Het Japanse bedrijf houdt zich vooral bezig met de ontwikkeling van randapparatuur zoals externe harde schijven. De aanvallers hadden verschillende installatiebestanden van stuurprogramma's voor de randapparatuur veranderd. Zo was een zichzelf uitpakkend RAR-bestand genaamd setup.exe aangepast zodat het tijdens de installatie een kwaadaardig DLL-bestand uitvoerde. Dit DLL-bestand was een Trojan-downloader die de Bankeiya Trojan downloadde.

De tweede methode die de aanvallers toepasten was het aanbieden van een zogenaamd legitiem installatieprogramma via de driverpagina. Dit installatieprogramma bevatte zowel het bestand dat de driver installeerde alsmede het Trojaanse paard. De driverpagina zou op 27 mei van de kwaadaardige bestanden zijn voorzien.

Drie dagen later, op 30 mei, werd de malware ontdekt. In de tussentijd waren de tien aangepaste bestanden 856 keer gedownload. De kwaadaardige bestanden zijn inmiddels van de officiële website verwijderd en het bedrijf heeft excuses aangeboden, zo meldt Symantec.

Reacties (6)
31-05-2014, 23:20 door Anoniem
Dacht altijd dat downloaden van de officieele site voldoende garantie bood voor 'veilge' software. Ook de hashes zegt in zo'n geval dus niet voldoende wat. Die kunnen ze dan ook aanpassen op de zelfde website. Dus hoe kun je het dan weten?
mogelijk door de pgp signatures?
01-06-2014, 02:36 door Anoniem
@Gisteren, 23:20 door Anoniem

Neen dit kun je op geen enkele wijze zien, het enige wat je kan doen is software Sandboxed draaien met een goede realtime scanner zoals Malwarebytes in combinatie met Kaspersky en een goede Firewall zoals Comodo
01-06-2014, 09:16 door Anoniem
@Gisteren, 2:36 door Anoniem

Een scanner helpt niet tegen een zero day issue
Een firewall kan inzicht geven in calling home features, maar dat doet steeds meer software onder de druk om bijgewerkt (up to date) te blijven.
sandboxing heeft m.i. geen zin als de device drivers (inzoemen op huidig hardware verhaal) uitgerold moeten worden op bv meerdere machines.
ook minder inzichtelijk wanneer het bv neteerk drivers zijn.
Wat je eivenlijk beschrijft is een volledige (malware) analyse van nieuwe software of ge-updated drivers vor uitrol.
Lijkt mij voor de meeste bedrijven en personen geen haalbare zaak.

pgp gesigneerde software / hashes zou in iedergeval de leverancier met een grotere zekerheid kunnen vast sgellen, t.o.v.alleen maar de websife als bron.
Mee eens dat dit nogsteeds geen garantie biedt., maar een pgp signature controle lijkt mij eenvoudiger te automatiseren en daardoor berijkbaarder voor de meeste gebruikers dan een sandboxed analyse.

Goed sleutelbeheer is dan natuurlijk weer een zwak punt.
02-06-2014, 15:02 door Anoniem
"Dacht altijd dat downloaden van de officieele site voldoende garantie bood voor 'veilge' software. "

Onkwetsbaarheid bestaat niet, beveiligen gaat om het reduceren van risico's. En ja, op een officiele site loop je gemiddeld natuurlijk een veel lager risico dan als je elders gaat downloaden.

"Neen dit kun je op geen enkele wijze zien, het enige wat je kan doen is software Sandboxed draaien met een goede realtime scanner zoals Malwarebytes in combinatie met Kaspersky en een goede Firewall zoals Comodo"

Of je gooit de software door een malware analyser die niet alleen kijkt wat AV bedrijven weten, maar ook kijkt naar de vraag hoe malware zich gedraagt (bijv. www.malwr.com).

Je firewall zal verder geen enkele toegevoegde waarde leveren in deze situatie. Immers neem ik aan dat je mag downloaden vanaf internet volgens de configuratie van je firewall.
02-06-2014, 15:03 door Anoniem
"Een scanner helpt niet tegen een zero day issue"

Hoezo, scanners kijken naar meer dan alleen bekende hashes (i.e. heuristic scanning). De kans dat je de malware detecteert is natuurlijk kleiner, maar wel aanwezig.
02-06-2014, 22:58 door Anoniem
'Je firewall zal verder geen enkele toegevoegde waarde leveren in deze situatie. Immers neem ik aan dat je mag downloaden vanaf internet volgens de configuratie van je firewall.'

wanneer je host based firewall outbound traffic alleen van goedgekeurde applicaties toestaat en dan heb je wel degelijk een kans om 'malware' die aan calling home doet kans op detectie en dus wat aan je firewall, want je moet een nieuwe applicatie toegang tot internet gaan geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.