Meer 'onzichtbare' malware met eigen TCP/IP stack ontdekt
Cybercriminelen gebruiken steeds vaker een nieuwe methode om firewalls te omzeilen en malware onzichtbaar op het netwerk te maken. Het gaat om de Ronvix-malware, wat oorspronkelijk een bootkit is. Dit soort malware is een rootkit-variant die in staat is om de Master Boot Record (MBR) van de harde schijf te infecteren. Een onlangs ontdekte Ronvix-variant gebruikt echter een nieuwe truc.
De bootkit gebruikt namelijk een eigen TCP/IP stack, een verzameling van netwerkprotocollen. De implementatie van deze 'privé-stack' is op een open source TCP/IP-project gebaseerd en kan vanuit zowel kernel als user modes worden benaderd. Het voornaamste doel van deze privé-stack is om onzichtbaar te blijven.
Het maakt het mogelijk om de NDIS library te omzeilen en zo uiteindelijk de firewall te omzeilen. De Network Driver Interface Specification (NDIS) is een door Microsoft en 3Com ontwikkelde standaard die de communicatie tussen hardware en protocollen regelt. De poort die de privé-stack gebruikt is niet op een normale wijze, zoals via het nbtstat-commando, te benaderen.
Onzichtbaar
"Dit betekent dat Rovnix de netwerkcommunicatie op een nieuwe manier onzichtbaar heeft gemaakt", zegt Chun Feng van het Microsoft Malware Protection Center. Traditionele manieren om netwerkverkeer te analyseren, bijvoorbeeld via monitoringsoftware, is mogelijk niet in staat om de pakketten te zien die via de privé-stack worden verstuurd en ontvangen.
De besmette machine maakt echter contact met het domein youtubeflashserver.com. Als netwerkbeheerders dit domein zien, dan weten ze dat een computer geïnfecteerd is geraakt. Windows Defender zou de malware inmiddels herkennen.
Eind vorig jaar werd er ook al malware met een eigen TCP/IP-stack ontdekt. "Het lijkt erop dat dit een nieuwe trend voor dit soort malware aan het worden is", aldus Feng.
Dat hangt heel erg van de malware af natuurlijk, als dit via poort 80 (http) gaat communiceren dan kun je het verkeer wel zien op je externe firewall maar dat is niet echt een poort die je even dicht zet.
Je zult dan naast een firewall toch iets als een Intrusion Detection System (IDS) moeten draaien die je verkeer doorlicht en blokkeert als het verdacht lijkt.
Je zou eventueel nog je netwerk kunnen dichtspijkeren en alles via een proxy kunnen leiden waar je authentication op zet, helaas zal echt slimme malware deze authentication uit je OS settings kunnen lezen en gebruiken.
Zal mogelijk wel een klusje worden om het te filteren (maar in het bovengenoemde geval dat er verkeer gaat naar het domein "youtubeflashserver.com" is dat wel weer te filteren. Maar natuurlijk is het weer beter als je ook payload gaat inspecteren.
EEa is natuurlijk wel afhankelijk van je kennis van zaken en/of budget.
HTTP GET requests gebruiken deze user agent string: FWVersionTestAgent
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.