image

Gratis tools detecteren HackingTeam-backdoors

dinsdag 21 juli 2015, 16:00 door Redactie, 7 reacties

Zowel Facebook als het Amerikaanse beveiligingsbedrijf Rook Security hebben een gratis tool ontwikkeld waarmee gebruikers en systeembeheerders backdoors op hun systemen kunnen detecteren die afkomstig zijn uit de data die bij het Italiaanse HackingTeam werd gestolen.

Rook Security analyseerde de ruim 400GB aan gestolen data en ontdekte hierin 40 bestanden die gebruikt zouden kunnen worden voor het aanvallen van gebruikers of hierbij zouden kunnen assisteren. Om deze bestanden te detecteren ontwikkelde het beveiligingsbedrijf de "Milano" tool. De tool beschikt over een 'quick scan' en 'deep scan'.

De quick scan controleert op bestandsnaam. Als de gevonden bestandsnaam overeenkomt met de naam van één van de gevonden HackingTeam-bestanden, dan wordt vervolgens ook nog de md5-hash vergeleken met die van het gestolen HackingTeam-bestand. De deep scan vergelijkt de hash van alle bestanden op de computer met die van de HackingTeam-bestanden.

Facebook

Vorig jaar lanceerde Facebook "osquery", een opensourceproject voor het monitoren van meerdere platformen, waaronder Ubuntu, CentOS en Mac OS X. Aan de hand van SQL-gebaseerde queries en tabellen kan de huidige staat van het besturingssysteem worden bekeken, zoals processen, geladen kernelmodules en open netwerkverbindingen. Volgens Facebook is osquery voor allerlei zaken in te zetten, zoals intrusion detection, compliance en vulnerability management.

Facebook heeft nu een nieuwe versie van osquery gelanceerd die gebruiksvriendelijker zou moeten zijn. Zo worden er "query packs" gebruikt, wat in principe gegroepeerde SQL-queries zijn die als bestand worden aangeboden. Eén van de packs die Facebook aanbiedt richt zich specifiek op Mac OS X-backdoors. Via het "OS X-attacks pack" kunnen organisaties nu controleren of een Mac-computer in hun omgeving met malware is besmet. Het gaat dan ook om de Mac-backdoor die in de gestolen data van HackingTeam werd aangetroffen.

Reacties (7)
21-07-2015, 17:02 door Anoniem
Geweldig.....helaas wilt mijn virusscanner, zonder extra handelingen, de downloadlink niet toestaan.
Nadat ik de url als uitzondering heb genoteerd, kan ik de zip downloaden.
En na het scannen van de zip, geeft ook nu mijn virusscanner aan dat het niet in de haak is met de inhoud van dit pakket.

Misschien kon je Hacking Team niet vertrouwen, maar ik zou zeker net zo goed uitkijken voor dit soort 'reddende' bedrijven.

Melding: PDF:UrlMal-inf [Trj]

En ja....het kan goed zijn dat dit een FP is of dat Avast sommige links in de pdf niets vindt.
En mocht je denken dat pdf's veilig zijn......https://www.offensive-security.com/metasploit-unleashed/client-side-exploits/
21-07-2015, 17:10 door Anoniem
Is er ook een lijst met hashes ?
21-07-2015, 17:31 door Anoniem
Als de gevonden bestandsnaam overeenkomt met de naam van één van de gevonden HackingTeam-bestanden

Zoek maar op zip/tar.gz bestanden bijvoorbeeld.
Vooral niet openen onder Windows of Android.
Virustotal is je vriend om te zien welke scanners wat detecteren.
Er wordt door diverse AV's aan analyse gewerkt, echt hard opschieten doet het niet. Genoeg bestanden die nog niet of nauwelijks worden gedetecteerd.
21-07-2015, 17:59 door Anoniem
OS X?

De door Hacking Team gemaakte OS X spyware malware Crisis / Morcut definities zijn allang, al jaren opgenomen in virusdefinities van verreweg de meeste (niet allemaal) AV producten voor Mac.
Bovendien staat Java op veel minder Mac's dan in 2012.

Over mogelijke andere Malware exploits van Hacking Team voor de Mac is nergens iets aan info te vinden.
Alle info hier nog niet doorgeworsteld
https://github.com/facebook/osquery

Blijft over de detectie op aanwezigheid van het het remote control pakket van Hacking Team.
De tool van Facebook lijkt in ieder geval (vooral?) te scannen op een paar definities die de aanwezigheid van RCS Galileo malware zouden kunnen verraden.

Van bekende gevonden exploits, de flash exploits en onder andere de geprepareerde office documenten is niet bekend dat zij iet op een Mac hadden kunnen uitrichten.

Nog een algemene opmerking over OS X malware, dat is er niet zoveel.
In de categorie echt nare malware voor OS X kan je stellen dat deze Crisis malware bovenaan staat.
Niet gemaakt door criminelen maar door een whitehat security bedrijf dat levert aan legaal opererende overheden.

Vriendelijk bedankt, we zijn er erg blij mee.
21-07-2015, 20:04 door gogonal
Door Anoniem: Is er ook een lijst met hashes ?

Bij die Milano tool wel MAAR de hashes van de .zip komen niet overeen/de bestandsnaam wijkt af : package_1.zip.

tja
22-07-2015, 11:08 door Anoniem
Als Hotmail maar ook goed veilig is net als Gmail en natuurlijk ook de rest graag !
22-07-2015, 16:00 door Anoniem
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.