Malware vernietigt MBR van harde schijf bij analyse
Het is bekend dat malwaremakers allerlei trucs uithalen om analyse van hun creatie te voorkomen, maar een nieuw exemplaar gaat wel heel erg ver en "vernietigt" de Master Boot Record (MBR) van de harde schijf, waardoor de computer niet meer kan opstarten. Dat laten onderzoekers van Cisco weten.
De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf. Het is essentieel voor de computer om te kunnen starten. De nu ontdekte Rombertik-malware richt zich op de MBR in het geval van analyse. De malware verspreidt zich via e-mailbijlagen en doet zich voor als een PDF-bestand. In werkelijkheid gaat het echter om een SCR-bestand dat de malware is.
Zodra gebruikers de bijlage openen controleert Rombertik eerst of het binnen een sandbox draait. Sandboxes worden vaak door onderzoekers gebruikt om malware te analyseren en het komt regelmatig voor dat malware op de aanwezigheid van dit soort analyseomgevingen controleert. In het geval er geen sandbox wordt aangetroffen wordt de installatie voortgezet. Rombertik is ontwikkeld om wachtwoorden uit browsers te stelen.
Voordat het dit doet wordt er nog een laatste controle uitgevoerd om te controleren dat de malware niet via het geheugen wordt geanalyseerd. Als deze controle mislukt slaat Rombertik toe en vernietigt de MBR en overschrijft de partities met "null bytes", zodat het herstellen van data van deze partities lastig wordt. De MBR wordt verder zo aangepast dat de computer in een oneindige herstartloop terechtkomt. Als de malware geen permissies heeft om de MBR te overschrijven zal het alle bestanden van de gebruiker in de home directory overschrijven en versleutelen.
Hoe reageert dit soort malware op het volgende scenario:
1. Geforceerd uitzetten van de computer (stroom eraf halen)
2. Daarna een recovery CD van een backupprogramma starten
3. Laatste succesvolle backup van het OS (en de MBR) terugzetten
4. Computer (normaal) starten
Vraag 2:
Is deze malware alleen schadelijk voor de MBR of ook voor GPT?
Heeft iemand enige aanvullende informatie over dit soort malware?
Heeft iemand enige aanvullende informatie over dit soort malware?
Was de link naar de Cisco analyse om te beginnen niet genoeg?
Ik zie in de eerste plaats een Gzip file en je weet dat je geen 'zip' file attachments moet openen als je niet heel zeker weet dat dat een verstandig idee is.
De zoveelste variant dus van een verstopte 'executable' in een zipje
http://fileinfo.com/extension/gz
Kies voor herstellen
Start command prompt
Bootrec /fixboot
Bootrec /fixmbr
Bootrec /rebuildbcd
Reboot
klaar..
Is voor de Windows omgeving misschien niet meer de gebruikelijke gang van zaken.
Wanneer kunnen we op een GPT indeling (geen FAT of NTFS) een Windows installeren (primaire partitie) ?
Er zijn een aantal hacks waardoor dit ogenschijnlijk wel kan. Hybrid MBR en DUET zijn er twee van.
De eerste heeft als nadelen dat hij omschreven staat als gevaarlijk en dat Windows het GPT-deel niet ziet.
De tweede doet het systeem lijken op een EFI-systeem, maar schijnt erg moeilijk te zijn om op te zetten. Bovendien werkt het alleen met x64 vanaf Vista en later.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.