Malware stopt virusscanner via Windows-beveiligingsfeature
Een beveiligingsfeature in Windows die gebruikers juist moet beschermen wordt door malware gebruikt om een groot aantal virusscanners en beveiligingspakketten uit te schakelen. Het gaat om de Vawtrak-malware die allerlei gegevens op computers steelt, onder andere om met internetbankieren te frauderen.
Vawtrek lijkt zich vooral op Japanse internetgebruikers te richten. Opmerkelijk aan de malware is dat het beveiligingssoftware op het systeem uitschakelt via de Software Restriction Policies van Windows. Deze beveiligingsmaatregel werd voor het eerst in Windows XP en Server 2003 geïntroduceerd en is te vergelijken met een soort van white- en blacklist. De maatregel heeft onder andere als doel om virussen te bestrijden, zo blijkt uit de documentatie van Microsoft.
Daarnaast kan het worden gebruikt om alleen digitaal ondertekende scripts uit te voeren en alleen toegestane software op de computer uit te voeren. Deze functies gebruikt Vawtrak echter om virusscanners en andere beveiligingspakketten uit te schakelen. Eenmaal actief op het systeem kijkt de malware in de applicatiemap van Windows om te controleren of er beveiligingssoftware op de computer is geïnstalleerd.
Is dit het geval, dan wijzigt Vawtrak het Windows Register, waardoor de software in kwestie met beperkte rechten draait. Dit zorgt er uiteindelijk voor dat de virusscanner niet kan starten. Volgens anti-virusbedrijf Trend Micro is het niet de eerste keer dat malware deze tactiek gebruikt, maar gezien het grote aantal slachtoffers van Vawtrak in Japan worden hier nu meer gebruikers door getroffen dan normaal.
Microsoft weet heel veel over veiligheid, je kan hier heel veel voor instellen.
Probleem zit alleen vaak in de Default instellingen van Windows.
Vooral consumenten PC's hebben vaak standaard Local Admin en deze doelgroep installeert van alles en nog wat (vooral als het gratis is te vinden op internet met een crack.)
Wanneer ik kijk naar features die je kan inschakelen, vooral bij bedrijven die wel iets met security doen, zijn er genoeg mogelijkheden met Windows. (Ja ik weet dat sommige features niet in de standaard versies werken, maarja wat al zeg, bij bedrijven kunnen ze hier wel gebruik van maken.)
Bijvoorbeeld deze combinatie:
- Geen Local Admin
- UAC aan
- Applocker inschakelen op alleen standaard folders (Program Files/Windows) waar EXE/MSI/Scripts mogen starten.
- Installeer alleen legitieme software, en alleen software die je nodig hebt.
- Installatie en configuratie van EMET (Populair Software template voldoet al aardig.)
- Een virusscanner (altijd bijgewerkt)
- Microsoft Updates (altijd bijwerken)
- Actieve Firewall
- Eventueel Bitlocker voor Drive Encryptie.
Denk als je dit als basis gebruikt, al heel ver bent.
Dus ja Microsoft heeft veel oplossingen voor veiligheid, alleen helaas staat niet alles by default ingeschakeld.
Ook vaak met legacy te maken en gebruiksgemak...
Heeft verder niets met Windows software te maken.
Heeft verder niets met Windows software te maken.
... behalve dan dat MS uberhaupt code schrijft die toegankelijk is voor dit soort 'grapjes'
Heeft verder niets met Windows software te maken.
... behalve dan dat MS uberhaupt code schrijft die toegankelijk is voor dit soort 'grapjes'
Kom nou... het is zo jaren 90 om almaar negatief over MS te zijn.
De crux is dat als malware eenmaal op een systeem staat, op wat voor manier dan ook, dan kan het alles wat de gebruiker zelf ook kan. Jaren geleden is ook al eens een hele familie malware aangetoond die juist de firewall en antivirus *aanzette*, kennelijk bedoeld om het systeem niet op te laten vallen en te beschermen tegen andere malware.
Malware op je systeem (ongeacht OS): game over. Dat is een basis regel van beveiliging.
En ja, er zijn allerlei manieren om malware op een systeem te krijgen. Dit artikel zegt er niks over, maar als je even had gekeken in het originele artikel had je dit gevonden (over de VAWTRAK malware):
"This backdoor arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites."
Dus... het is onder andere iets dat meekomt met andere software (zoals "gratis" youtube downloaders en zo): een zeer veel gebruikte distributie methode; de gebruiker infecteert zichzelf. Werkt perfect, op alle platformen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.