Malware opent Windows Remote Desktop als backdoor
Een nieuwe variant van de Citadel-malware voegt op besmette systemen een gebruiker toe die via de Remote Desktopfunctie van Windows kan inloggen voor het geval de malware zelf van het systeem verwijderd wordt. Dat meldt beveiligingsbedrijf Trusteer, dat onderdeel van IBM is.
Citadel is een banking Trojan, voornamelijk ontwikkeld om geld van online bankrekeningen te stelen. De nu ontdekte variant maakt op de computer een gebruiker genaamd "coresystem" aan en voegt die toe aan de groep van beheerders en Remote Desktopgebruikers. Via Remote Desktop kunnen gebruikers op afstand op de computer inloggen, bijvoorbeeld voor beheer.
Back-up backdoor
Volgens Trusteer creëren de aanvallers op deze manier een "back-up backdoor" voor het geval de malware zelf wordt gedetecteerd en verwijderd. Gebruikers zouden in dit geval misschien denken dat hun systeem weer veilig is, terwijl de aanvallers nog steeds op afstand kunnen inloggen. Daarnaast kan het zijn dat communicatie via Remote Desktop niet meteen bij netwerkbeheerders opvalt.
"Het is duidelijk dat de beheerders van Citadel investeren in de overlevingskansen van hun malwarel". zegt Etay Maor. Hij merkt op dat het gebruik van Remote Desktop of VNC (Virtual Network Connection) niet alleen als back-up wordt gebruikt. Het biedt namelijk ook verschillende andere voordelen voor het plegen van bankfraude. In het geval van grote bedragen die de aanvallers proberen te stelen zou er niet op geautomatiseerde scripts kunnen worden vertrouwd en wordt de transactie handmatig uitgevoerd.
Door de handmatige aanpak kunnen de aanvallers bepaalde beveiligingsmaatregelen van de bank omzeilen, zoals bijvoorbeeld het analyseren van gedrag dat met geautomatiseerde scripts samenhangt. Ook kan de aanvaller een al geopende sessie van de gebruiker met de bank overnemen en via HTML-injectie extra informatie aan het slachtoffer vragen.
Als laatste kijken sommige banken naar de gebruikte computer om te bepalen of er geen fraude in het spel is. In dit geval is de aanval echter afkomstig van de computer van het slachtoffer en niet van de aanvaller zijn computer. Hoe de nieuwe Citadel-variant zich precies verspreidt en of die wijdverbreid is laat Trusteer niet weten.
Ik verbaas me telkens meer over al die artikelen die hier verschijnen over wat een
stuk tuigware al dan niet doet op een reeds geïnfecteerd systeem.
Als een systeem geïnfecteerd is, is ALLES mogelijk.
Enige mate van bescherming (zelfs bij een infectie van een normale gebruiker) kun je verkrijgen door:
- zet services zoals rdp uit wanneer je ze niet nodig hebt
- zet bestandsdeling uit indien niet expliciet nodig
- werk normaal niet met een administrator account
- gebruik een serieus wachtwoord voor een administrator account. Je kunt het zelfs op je
computer plakken. Mits buiten beeld van je cammie ;-).
- zet UAC in de hoogste stand (in W7 dus niet de default)
- gebruik de administrator alleen voor installatie en onderhoud
- dus niet voor surfen
- en niet voor E-mails openen
- vraag je elke keer af wanneer UAC je om permissie vraagt. Is dit logisch
- gebruik geen installatiebestanden van een o zo handige gemeenschappelijke map
- gebruik alleen bestanden uit de map waarvoor de administrator alleen rechten heeft
- loop zo nu en dan de firewall-regels na.
- Acrobat reader hoeft geen internet toegang te hebben, wanneer je niet automatisch
update en (onverstandig) gebruik maakt van links in documenten.
- Regels blijven vaak na deïnstallatie staan. Slordig maar waar. Wijs een software-
producent er eens wat vaker op. Sommigen zijn alleen gevoelig voor de massa.
Wat zou het toch fijn zijn als UAC achteraf een samenvatting geeft
wat er met die permissie is gedaan. Dat mis ik echt.
Ik doe dit maar zeer ten dele zelf. Je weet wel de schoenmaker en de gaten in zijn
eigen schoenen. En wordt dus wel eens gebeten. Een schone back-up en een
bootable USB-stick maken dat ik rustig slaap.
En zo nu en dan gebeten worden maakt je alert en wijst je op wat in de toekomst
beter kunt vermijden. Een keygenerator voor een illegaal gedownload stukje software
draai ik nog wel, maar alleen in een geïsoleerde omgeving ;-)
User Account Control. Dit had je zo effe kunnen googlen btw. Afijn.
Wat het register aangaat, is het mogelijk om een register via een BAT file terug te zetten, voor de pc opstart?
Wout
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.