Windows-rootkit verbergt zich dankzij open source
Een beruchte Windows-rootkit die al sinds 2008 actief is heeft een nieuwe methode om zich op besmette computers te verbergen, namelijk het gebruik van opensourcesoftware. Nu komt het vaker voor dat malware legitieme software gebruikt, in het geval van de Tidserv malware (ook bekend als TDL) gaat het om het Chromium Embedded Framework (CEF).
Zonder het downloaden van dit 50MB grote raamwerk kan de malware niet correct functioneren. Volgens Kevin Savage van Symantec is dit zeer bijzonder voor malware.
Chromium Embedded Framework
CEF is een uitbreiding voor het Chromium project van Google. Het biedt ontwikkelaars een eenvoudige manier om een op HTML5 gebaseerde grafische gebruikersinterface in een desktopapplicatie te implementeren of browsereigenschappen aan een applicatie toe te voegen.
De Tidserv malware gebruikt een modulair framework om nieuwe modules te downloaden en die in schone processen te injecteren. Voorgaande versies gebruikten hiervoor een bepaalde module die netwerkactiviteiten zoals het klikken op links en tonen van advertentie pop-ups voor zijn rekening nam.
Module
Symantec ontdekte onlangs een nieuwe variant die een nieuwe module gebruikt. Deze module vereist het bestand cef.dll, wat onderdeel van CEF is. Om dit bestand te verkrijgen downloadt de malware het gehele Chromium Embedded Framework van 50MB op de besmette computer. Het aantal downloads van CEF is de afgelopen dagen flink gestegen.
Hoeveel downloads met de malware te maken hebben is onduidelijk, maar als de toename wel door Tidserv is veroorzaakt, gaat het om aardig wat besmette computers. Door het gebruik van CEF kan Tidserv veel van de basale browsereigenschappen uit de eigen modules verwijderen, waardoor die kleiner worden en eenvoudiger zijn te updaten met nieuwe functionaliteit.
Reactie
De ontwikkelaars zijn inmiddels van de malware-activiteiten op de hoogte en zeggen het gebruik van CEF voor illegale doeleinden niet goed te keuren.
Daarnaast zullen er maatregelen worden getroffen om het misbruik tegen te gaan. Eén van die maatregelen is al genomen, de ontwikkelaars hebben namelijk het bestand uit het framework verwijderd waar de malware op zoek naar is.
Java heeft ook een deels opensource en deels closesource licentie en wordt veelvuldig gebruikt voor aan vallen.
En beetje misleidende titel die ook nog eens nergens op slaat. Op zich wel apart dat een rootkit een library download om actief te kunnen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.