Security Professionals - ipfw add deny all from eindgebruikers to any

Malware is 34 min actief geweest en door Ingestelde upload beperking zijn gebestanden gestolen

05-01-2017, 20:26 door bas-d, 13 reacties
Ik ben bezig met een onderzoek voor onze lokale omroep en nu heb ik gereligeerd raport gekregen.

Daarin staat deze conclusie:

De malware heeft in dit tijdsbestek niet de mogelijkheid gehad om bestanden naar een externe server te uploaden, dit (onder meer) vanwege de ingestelde beperking op de uploadsnelheid van de omgeving

Volgens raport is de mallware 34min actief geweest.
en ze hebben upload beperking,

Maar dit wil toch niet zeggen dat niks is buitgemaakt ?

Mijn lijkt dit rare conclusie of zit ik er nu helemaal naast ?
Reacties (13)
05-01-2017, 20:56 door Anoniem
Door bas-d: Ik ben bezig met een onderzoek voor onze lokale omroep en nu heb ik gereligeerd raport gekregen.

Daarin staat deze conclusie:

De malware heeft in dit tijdsbestek niet de mogelijkheid gehad om bestanden naar een externe server te uploaden, dit (onder meer) vanwege de ingestelde beperking op de uploadsnelheid van de omgeving

Volgens raport is de mallware 34min actief geweest.
en ze hebben upload beperking,

Maar dit wil toch niet zeggen dat niks is buitgemaakt ?

Mijn lijkt dit rare conclusie of zit ik er nu helemaal naast ?

Met de informatie, kan ik alleen maar mijn conclusie trekken, dat je eigenlijk hierover niets kan zeggen, zonder dat je meer informatie geeft. Veel malware wacht totdat er een CC server opdrachten geeft. Een halfuur kan dan inderdaad te weinig tijd geweest zijn.
Maar misschien is mijn conclusie verkeerd en zit ik er naast. En misschien ook niet.

Eigenlijk exact het zelfde als jouw conclusie.
05-01-2017, 21:52 door karma4
Het is een redenering naar een gunstige gewenste conclusie om geen melding naar het ap te moeten doen.
Als er een log van uitgaande verkeer (naast ingaande) zou daar het sluitende bewijs uit gehaald moeten worden.

Nu is het gissen. Een ciso met alle mogelijke scenario's zou zeggen dat alles gecompromitteerd is. Een andere vraag is bij welke data zou de malware toegang gehad kunnen hebben. Welke privacy kenmerken zitten daaraan.
Gewoon gevoelige data van bedrijfsgegevens is je eigen zaak wat de impact is. Daar zijn geen controles en regels voor.
05-01-2017, 22:14 door Anoniem
In hoeverre is de upload beperkt? Wat is de uploadsnelheid en hoeveel data kan er in 34 minuten geupload worden?
34 minuten is een lange tijd, er kan van alles gecompromitteerd zijn zonder dat dit direct merkbaar is.
Wordt alle verkeer sindsdien actief gemonitord? Is de volledige omgeving onder de loep genomen?
05-01-2017, 22:24 door Erik van Straten
De term "upload" wordt normaal gesproken gebruikt voor de bandbeedte naar een server toe, en download de andere kant op. Dus op dat punt rammelt het verhaal mogelijk al.

Maar laten we ervan uitgaan dat het om een soort thuisaansluiting gaat met een kleinere uitgaande dan inkomende bandbreedte. De seriële verbinding met de laagste uploadbandbreedte die ik ken is 1200/75 baud, d.w.z. 75 bits/seconde uploadsnelheid. Met 2040 seconden kun je dus 153000 bits transporteren. Daar gaat wat overhead vanaf, gebruikelijk is het om 10 bits per effectieve byte te rekenen. In die tijd kun je, bij 75 bits/seconde 15300 bytes overdragen. Daar passen al heel wat wachtwoorden en bijv. een private key in.

Ik vermoed echter dat de "upload" bandbreedte aanzienlijk hoger zal zijn geweest, want 1200/75 werd 30 jaar geleden gebruikt. Ik denk dat je moet zoeken naar aansluitingen met minder dan 100 kbps upload bandbreedte. Bij die snelheid kun je in 34 minuten bijna 20MB (mega byte) verplaatsen. Als het om informatie gaat die goed te comprimeren valt, nog meer.
05-01-2017, 22:32 door Anoniem
34 minuten is lang genoeg om rootkits en sniffers te installeren, accounts aan te maken, backdoors te maken
05-01-2017, 23:45 door [Account Verwijderd]
[Verwijderd]
06-01-2017, 00:01 door Vixen
In principe kun je stellen dat, als er tijdens het uitvoeren van kwaadwillende software, voor elke tijd langer dan, pak hem weg, één seconde, enige vorm van al dan niet vertraagde netwerkverbinding was, dat er gegevens gestuurd kunnen zijn naar de maker van de software.
06-01-2017, 06:38 door Erik van Straten - Bijgewerkt: 06-01-2017, 06:41
Door Poco:
Door Erik van Straten: De term "upload" wordt normaal gesproken gebruikt voor de bandbeedte naar een server toe, en download de andere kant op. Dus op dat punt rammelt het verhaal mogelijk al.

Dat is een kwestie van perspectief: op hun server draaide een malware client die uploadde naar een command and control server.
In de tekst van de TS is nergens sprake van een C&C server. De term "malware" is erg breed; er kan wellicht ook een interactieve exploit en/of remote shell of iets als Teamviewer mee bedoeld worden.

Daarnaast, als er sprake was van een al langer bekende kwetsbaarheid kan er veel meer data zijn gekopieerd.

Kortom, op basis van de veel te beperkte gegevens van de TS hebben we geen idee wat er gebeurd is. Op basis van die zeer beperkte gegevens kun je echter wel inschatten hoeveel data er maximaal uitgevoerd kan zijn, slechts afhankelijk van de feitelijke (ons onbekende) bandbreedte.
06-01-2017, 14:18 door Anoniem
Beperking van upload snelheid bied geen of nauwelijks bescherming. Beperken van uploads op zich wel.

De meeste malware download nieuwe bestanden en voert die uit. Kijk dus altijd of er nieuwe bestanden zijn geplaatst. Dat is vaak te zien aan de datum van de bestanden. Vanaf de command line kun je met dir C: /s en wat geschikte parameters een lijstje bestanden produceren die je daarna makkelijk kan doorzoeken met een tekstverwerker of hex editor.

Houd er rekening mee dat antivirus software achterloopt en dat ze niet alles vinden, ook niet na updaten. Handmatig zoeken is noodzakelijk.

Wat is "gereligeerd"? Bedoel je geredigeerd?

Met een tool gefabriceerde security rapporten zijn vaak waardeloos. Die hebben de schijn van autoriteit en volledigheid.
07-01-2017, 11:27 door Anoniem
Wat ik vooral raar vind is dat er een paar zinnen uit "een gereligeerd rapport" (wat is dat?) gehaald worden en dan
hier vervolgens advies gevraagd wordt zonder de hele zaak voor te leggen. En dat er dan nog mensen op in gaan ook.
14-01-2017, 14:41 door Anoniem
Door Erik van Straten: De term "upload" wordt normaal gesproken gebruikt voor de bandbeedte naar een server toe, en download de andere kant op. Dus op dat punt rammelt het verhaal mogelijk al.
Lees wat er staat:
De malware heeft in dit tijdsbestek niet de mogelijkheid gehad om bestanden naar een externe server te uploaden
Het wordt hier juist gebruikt: naar een server toe.
14-01-2017, 14:50 door Anoniem
gebestanden gestolen
Gebestanden? Wat voor bestanden? Bedoel je geen bestanden?

Beste bas-d, zelfs als je dit in vanuit een bus op een hobbelweg op een klein smartphone-scherm hebt ingetypt, zou je alsjeblieft voortaan op 'preview' willen klikken, nalezen wat er staat, corrigeren wat fout is, nog eens op 'preview' klikken en daar net zo lang mee doorgaan tot er iets begrijpelijks staat?

Je vraagt mensen om zich voor je in te spannen maar je bent op jouw beurt kennelijk niet bereid om zelfs maar de inspanning te leveren om duidelijk te zijn in wat je vraagt. Je loopt een goede kans dat het "garbage in, garbage out"-principe hier de kop gaat opsteken.
15-01-2017, 09:57 door Erik van Straten
14-01-2017, 14:41 door Anoniem:
Door Erik van Straten: De term "upload" wordt normaal gesproken gebruikt voor de bandbeedte naar een server toe, en download de andere kant op. Dus op dat punt rammelt het verhaal mogelijk al.
Lees wat er staat:
De malware heeft in dit tijdsbestek niet de mogelijkheid gehad om bestanden naar een externe server te uploaden
Het wordt hier juist gebruikt: naar een server toe.
Je hebt gelijk, mijn excuses. Bij het lezen van het ietwat warrige verhaal van de TS ging ik er, vooringenomen, vanuit dat het in het rapport om een gecompromitteerde server ging en die verwacht ik, normaal gesproken, niet achter een aansluiting met "upload beperking".

Los van of het om een server gaat (een computer met als hofddoel het aannemen van inkomende verbindingen t.b.v. gegevensuitwisseling): mijn punt was dat 34 minuten, ook met de langzaamst denkbare verbinding, voldoende kan zijn om vertrouwelijke gegevens te lekken. En, als ik me niet vergis, was dat de vraag van de TS.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.