image

Trojaans paard steelt wachtwoord van wachtwoordmanagers

donderdag 20 november 2014, 10:37 door Redactie, 15 reacties

Onderzoekers van IBM hebben een Trojaans paard ontdekt dat het wachtwoord van verschillende wachtwoordmanagers steelt. Het gaat om de Citadel Trojan, een Trojaans paard dat oorspronkelijk is ontwikkeld om geld van online bankrekeningen te stelen.

In een nieuwe variant werd een configuratie aangetroffen die ervoor zorgt dat de toetsaanslagen van de gebruiker worden opgeslagen zodra de populaire wachtwoordmanagers KeePass en Password Safe actief zijn, alsmede de neXus Personal Security Client, een authenticatieoplossing voor het verrichten van financiële transacties. KeePass en Password Safe, dat door beveiligingsexpert Bruce Schneier is ontwikkeld, zijn beide opensourceprogramma's waarmee gebruiker wachtwoorden kunnen opslaan en genereren. Om deze wachtwoorden te gebruiken moet er vervolgens een hoofdwachtwoord worden opgegeven.

"Wachtwoordmanagers en authenticatieprogramma's zijn belangrijke oplossingen die helpen om veilig toegang tot applicaties en webdiensten te krijgen. Het is echter belangrijk om te begrijpen dat deze oplossingen door malware kunnen worden gecompromitteerd", zegt Dana Tamir van IBM. Ze merkt op dat als een aanvaller het hoofdwachtwoord kan stelen en toegang tot de wachtwoorddatabase krijgt, hij vervolgens onbeperkte toegang tot systemen en informatie heeft.

Reacties (15)
20-11-2014, 11:16 door Anoniem
Het is nog geen enkel Trojaans paard gelukt om toegang te krijgen tot mijn hoofd.
20-11-2014, 12:43 door Vorkbaard
Bij KeePass kan je een keyfile gebruiken. Met het hoofdpassword maar zonder keyfile kom je dan nog steeds niet in de database.
20-11-2014, 13:31 door rsterenb
Echter, als *alle* toetsaanslagen worden opgeslagen, dan kunnen zowel de getypte username als passwords worden doorgegeven, eventueel samen met de bijhorende url. Wie heeft er dan een keyfile nodig?
20-11-2014, 13:54 door Anoniem
Door rsterenb: Echter, als *alle* toetsaanslagen worden opgeslagen, dan kunnen zowel de getypte username als passwords worden doorgegeven, eventueel samen met de bijhorende url. Wie heeft er dan een keyfile nodig?

Niet als je alles kopieerd en plakt uit Keepass naar de webpagina... zoals ik doe.
20-11-2014, 13:57 door Vorkbaard
Met KeePass type je de credentials niet over maar kopieer je ze. Ik weet niet precies hoe die trojan werkt maar als het echt toetsaanslagen zijn dan omzeil je dat daarmee. En al zouden klembordacties wel worden meegenomen dan heb je nog steeds alleen maar de credentials van de site waar je op dat moment wou inloggen. Met de rest van de database kan die trojan dan niks omdat je de keyfile niet hebt.
20-11-2014, 14:07 door Anoniem
Door Vorkbaard: Met KeePass type je de credentials niet over maar kopieer je ze. Ik weet niet precies hoe die trojan werkt maar als het echt toetsaanslagen zijn dan omzeil je dat daarmee. En al zouden klembordacties wel worden meegenomen dan heb je nog steeds alleen maar de credentials van de site waar je op dat moment wou inloggen. Met de rest van de database kan die trojan dan niks omdat je de keyfile niet hebt.

Ik denk dat ze het hoofdwachtwoord bedoelen en niet de wachtwoorden die je opgeslagen hebt in de database. Keyfile is niet verplicht.
20-11-2014, 14:32 door B3am
Door rsterenb: Echter, als *alle* toetsaanslagen worden opgeslagen, dan kunnen zowel de getypte username als passwords worden doorgegeven, eventueel samen met de bijhorende url. Wie heeft er dan een keyfile nodig?

Username en password knip/plak je dus zoals Vorkbaard al aangaf, maar die keyfile bevat wel al je info.

Het artikel zegt: "Again, by using a keylogger, the malware can capture the “master password,” which lets cybercriminals unlock and access the entire user/password database."

Als je een keylogger op een systeem kan zetten, kan je ook vrij eenvoudig de keyfile er af halen en deze offline uitlezen.
20-11-2014, 15:45 door Anoniem
Ik gebruik KeePass. Mijn hoofdwachtwoord voer ik deels handmatig via het toetsenbord in en deels d.m.v. een Yubikey in statische modus. Yubikey genereert dus een deel v.h. wachtwoord alsof je het via een toetsenbord intikt. Daarnaast gebruik ik een keyfile. Verder gebruik ik Trusteer Rapport van ING en antivirussoftware. Ik heb een paar vragen.

Vraag 1: is Citadel in staat om de input van Yubikey te onderscheppen?

Vraag 2: Op de webpagina van securityintelligence.com, waarnaar in bovenstaand artikel verwezen wordt, komt de naam Trusteer voor. Is de beveiligingsoplossing, waarover in dat artikel gesproken wordt ook geintegreerd in Trusteer Rapport?

Vraag 3: Een keyfile wordt niet via een toetsenbord ingevoerd, maar in het KeePass inlogscherm wordt in een apart veld naar de locatie verwezen. Is die verwijzing ook te onderscheppen door Citadel?

Vraag 4: Als het antwoord op vraag 3 'ja' is. Is Citadel dan in staat om de fysieke locatie van de keyfile te benaderen. (bv. op de harddisk, usbkey, sdcard, google drive) en kan Citadel deze keyfile dan uploaden naar hun servers?
20-11-2014, 16:59 door PureFox
Daarom heb ik een tijdje geleden voor de softwareBus een artikel geschreven hoe je wachtwoorden zou kunnen bedenken en onthouden in je hoofd. http://www.reindejong.nl/1001-wachtwoorden-maken-en-onthouden
20-11-2014, 21:26 door [Account Verwijderd] - Bijgewerkt: 20-11-2014, 21:26
Door Anoniem 20-11-2014 11:16 uur: Het is nog geen enkel Trojaans paard gelukt om toegang te krijgen tot mijn hoofd.

Het is ook nog geen Trojaans paard gelukt mijn stukje papier of pen te hacken :-)
(briefje wel veilig bewaren natuurlijk)
20-11-2014, 22:24 door Anoniem
Keepass door bruce? huh?

Hij wordt gequote op de site. Maar is toch niet de ontwikkelaar?
20-11-2014, 22:39 door Anoniem
Door Vorkbaard: Bij KeePass kan je een keyfile gebruiken. Met het hoofdpassword maar zonder keyfile kom je dan nog steeds niet in de database.
Door Anoniem:
Door rsterenb: Echter, als *alle* toetsaanslagen worden opgeslagen, dan kunnen zowel de getypte username als passwords worden doorgegeven, eventueel samen met de bijhorende url. Wie heeft er dan een keyfile nodig?

Niet als je alles kopieerd en plakt uit Keepass naar de webpagina... zoals ik doe.
We hebben het hier wel over Citadel mensen, ZeuS 2.0, wat zeg ik, 3.0 inmiddels.
Niveautje ring0 + webInjects; een bestandje uitlezen is echt geen probleem.
Misschien is het automatisch uitlezen van de gekoppelde keyfile nog niet standaard geïncorporeerd, kan ik niet beoordelen, maar dat zal dan wel niet lang meer duren.


Door _kraai__:
Door Anoniem 20-11-2014 11:16 uur: Het is nog geen enkel Trojaans paard gelukt om toegang te krijgen tot mijn hoofd.

Het is ook nog geen Trojaans paard gelukt mijn stukje papier of pen te hacken :-)
(briefje wel veilig bewaren natuurlijk)
Ja hallo. tot je dat wachtwoord daadwerkelijk een keer gebruikt op een geïnfecteerd systeem natuurlijk...
En laat daar nu net KeePass voor ontwikkeld zijn, dat met een eigen API werkt.

Heel dat KeePass was juist bedoelt tegen keyloggers, trojans en vergeetachtigheid.
Dat werkt nu dus niet meer tegen dit soort ellende, gelukkig nog wél tegen vergeetachtigheid en het kwijtraken van papiertjes :p
20-11-2014, 23:27 door Anoniem
Door Anoniem: Ik gebruik KeePass. Mijn hoofdwachtwoord voer ik deels handmatig via het toetsenbord in en deels d.m.v. een Yubikey in statische modus. Yubikey genereert dus een deel v.h. wachtwoord alsof je het via een toetsenbord intikt. Daarnaast gebruik ik een keyfile. Verder gebruik ik Trusteer Rapport van ING en antivirussoftware. Ik heb een paar vragen.

Vraag 1: is Citadel in staat om de input van Yubikey te onderscheppen?

Vraag 2: Op de webpagina van securityintelligence.com, waarnaar in bovenstaand artikel verwezen wordt, komt de naam Trusteer voor. Is de beveiligingsoplossing, waarover in dat artikel gesproken wordt ook geintegreerd in Trusteer Rapport?

Vraag 3: Een keyfile wordt niet via een toetsenbord ingevoerd, maar in het KeePass inlogscherm wordt in een apart veld naar de locatie verwezen. Is die verwijzing ook te onderscheppen door Citadel?

Vraag 4: Als het antwoord op vraag 3 'ja' is. Is Citadel dan in staat om de fysieke locatie van de keyfile te benaderen. (bv. op de harddisk, usbkey, sdcard, google drive) en kan Citadel deze keyfile dan uploaden naar hun servers?
Kijk, da's een goede.

1] In principe wel ja, het is HD-input, (= dezelfde API als reeds al gebruikt wordt door Citadel,) en omdat het een statisch token betreft, is dat ook later door de aanvaller te gebruiken.

Als aanvulling, Citadel is ook in staat om het wachtwoord uit het invoerveld zelf te lezen, mits het om een applicatie of site gaat die gescript is in Citadel.
Het gaat daarbij vooral om mail & commerce, spam en centen dus. Vandaar ook de term banking-trojan.

2] De autheur van het artikel, Dana Tamir, is directrice van een op de zakelijke markt gerichte afdeling van IBM Trusteer. Ik mag hopen van wel dus, het is nieuws en reclame voor het eigen product tegelijk.

3] Ja. Citadel-clients kunnen scripts uitvoeren; het kan in feite alles met jouw systeem doen, wat jij zelf kan als administrator, en meer. Dat wil niet zeggen dat het nu al een standaard-feature is, maar dat zal nog wel komen.
Ook LastPass en andere populaire PW-vaults zullen ongetwijfeld op korte termijn aandacht krijgen.

4] Ja.


Maar dat betekent niet dat er niets te doen is tegen Citadel.
Het is en blijft een trojan, die via verschillende kanalen wordt verspreid maar, bij mijn weten dan, altijd interactie of een kwetsbaar systeem vereist. Dus:
1 - OS, browser en andere applicaties (AV, FW, plug-ins, Office, etc. etc.) goed instellen.
2 - OS, browser en andere applicaties goed up-to-date houden.
3 - Niet overal op klikken, oppassen voor social engeneering (links, attachments, updates, codecs, cracks, etc.)
4 - Letten op afwijkend gedrag (beetje systeemkennis vereist)
5 - Regelmatig off-line (LiveCD) scannen.

Het opvallende aan Citadel is overigens, dat het vaak AV's uitschakelt en websites van AV-boeren ontoegankelijk maakt, maar dat is niet noodzakelijk altijd het geval.

Tevens is het juist dat IBM Trusteer-gebeuren, dat constant strijdt levert met banking-trojans zoals deze.
Ik beschouw de oplossing zelf als "erger dan de kwaal," maar het moet wel gezegd worden dan het tot nu toe uitstekend lijkt te werken voor de ING. Credit where credit's due.
21-11-2014, 09:41 door Anoniem
Door Anoniem: Keepass door bruce? huh?

Hij wordt gequote op de site. Maar is toch niet de ontwikkelaar?

The program was initiated by Bruce Schneier at Counterpane Systems
http://en.wikipedia.org/wiki/Password_safe
21-11-2014, 15:35 door [Account Verwijderd]
Door Anoniem:
Door _kraai__:
Door Anoniem 20-11-2014 11:16 uur: Het is nog geen enkel Trojaans paard gelukt om toegang te krijgen tot mijn hoofd.

Het is ook nog geen Trojaans paard gelukt mijn stukje papier of pen te hacken :-)
(briefje wel veilig bewaren natuurlijk)
Ja hallo. tot je dat wachtwoord daadwerkelijk een keer gebruikt op een geïnfecteerd systeem natuurlijk...
En laat daar nu net KeePass voor ontwikkeld zijn, dat met een eigen API werkt.

Heel dat KeePass was juist bedoelt tegen keyloggers, trojans en vergeetachtigheid.
Dat werkt nu dus niet meer tegen dit soort ellende, gelukkig nog wél tegen vergeetachtigheid en het kwijtraken van papiertjes :p

Daar heb je een punt. (Overigens Voor het kwijtraken van briefjes tegen te gaan kun je het briefje bijvoorbeeld in een klapper te stoppen, dat maakt het kwijtraken misschien iets moeilijker :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.