Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Aanval via Word-documenten die automatisch inloggegevens stelen

zondag 9 juli 2017, 09:37 door Redactie, 20 reacties
Laatst bijgewerkt: 10-07-2017, 13:40

Energiebedrijven en andere onderdelen van de vitale infrastructuur wereldwijd zijn het doelwit van een aanval waarbij Word-documenten worden gebruikt die automatisch inloggegevens van de gebruiker proberen te stelen door verbinding met een SMB-server te maken om daar een template te downloaden.

Dat laat Cisco in een analyse weten. Volgens de netwerkgigant vinden de aanvallen sinds mei plaats en zijn met name energiebedrijven en vitale infrastructuur in Europa en de Verenigde Staten doelwit. De aanvallers versturen Word-documenten die zich voordoen als milieurapportages of sollicitaties. In tegenstelling tot andere aanvallen met Word-documenten, waarbij bijvoorbeeld macro's, exploits of andere kwaadaardige embedded code wordt gebruikt, bevatten deze documenten geen kwaadaardige code.

Zodra het slachtoffer het document opent wordt er geprobeerd om verbinding met een kwaadaardige SMB-server te maken om daar een template te downloaden. Door de gebruiker nietsvermoedend verbinding met de SMB-server te laten maken kunnen inloggegevens van zijn eigen systeem worden onderschept. Soortgelijke aanvallen zijn in verleden vaker gedemonstreerd. Volgens Cisco kan het templatebestand daarnaast worden gebruikt om andere kwaadaardige code te downloaden. De kwaadaardige SMB-server bood het templatebestand echter niet meer aan, waardoor de aard van de aanval onbekend blijft.

Wel stellen de onderzoekers dat er via de Word-documenten succesvol inloggegevens van aangevallen bedrijven zijn gestolen. Ze concluderen ook dat de aanval aantoont dat organisaties uitgaand verkeer over tcp-poort 445 naar publieke hosts nog steeds niet blokkeren. Cisco adviseert dan ook om netwerkverkeer streng te controleren en uitgaande protocollen zoals SMB niet toe te staan, tenzij nadrukkelijk vereist. De aanval op de energiebedrijven kwam al twee keer eerder in het nieuws, maar technische details ontbraken toen. Wel lieten ook deze berichten weten dat de aanvallers succesvol waren.

Image

Kwaadaardige apps in Google Play dreigen met lekken privégegevens
OCIAC waarschuwt voor gebruik e-mailfilters door cybercriminelen
Reacties (20)
09-07-2017, 10:46 door karma4
Het hebben open staan van niet nodige poorten het draaien van niet nodige services processen is iets wat niet nodig is.
Sinds jaar en dag is er het advies om dat niet te doen (bs7799)
09-07-2017, 11:31 door Anoniem
Het is een open deur, op een firewall moet alles eerst dicht en daarna poorten open zetten die nodig zijn. Waar mogelijk met beperking op IP's en richting.

Deze aanval toont aan dat beveiliging bij deze bedrijven niet of niet goed geimplementeerd is.

Er is kennelijk ineens belangstelling voor nepsollicitatie aanvallen, een goede zaak. Dit voorbeeld laat goed zien wat voor foutjes de aanvallers maken in de tekst/opmaak van de email en ze doen ook niet veel moeite een rationele tekst te tonen in het Word document. Helaas zie je slecht taalgebruik en rare inhoud ook bij echte sollicitaties uit Azie, dus je kunt niet concluderen dat een bericht een aanval is alleen op die gronden.

Wat de researchers niet laten zien is hoe het bericht eruit ziet (als raw RFC2822 file, niet een MUA rendering). Daar kun je waarschijnlijk wel het een en ander uit afleiden.

Het is voor targets verstandig alle inkomende email op te slaan zodat kan worden nagegaan of er een aanval is geweest. Die kunnen dan retrospectief worden gescand. Sommige aanvallen zijn zo slim dat ze IP's uit hetzelfde land gebruiken, maar vaak kun geo-ip filters gebruiken om verdachte berichten op te sporen.
09-07-2017, 12:26 door [Account Verwijderd]
[Verwijderd]
09-07-2017, 14:57 door Anoniem
Met dit soort virussen vraag ik me altijd af of het uitmaakt met welk programma je het Word document opent.
Als je met Libre- of Open Office een word document opent ben je dan net zo kwetsbaar als met MS Office?
09-07-2017, 15:30 door Anoniem
Naar aanleiding van het Cisco-onderzoek nieuwe uploads naar VT gemaakt. De malware is gedownload vanaf hybrid-analysis[.]com. Dit is het resultaat nu:

https://virustotal.com/en/file/5f6848d442fa5badd1f6d5f3b67267c6e236d0cfae8ab5ebfdb3e3f5da95899d/analysis/
https://virustotal.com/en/file/d4104ee49c695fc8373e630d3c67446621d52f272e598ee9598e0dd0c84db7ae/analysis/
https://virustotal.com/en/file/7c027fe5930077e24ff4af446bfed3431d29844d82777b6678830e5972effb6e/analysis/
09-07-2017, 15:53 door Anoniem
Erug weinig kans van slagen.. Zou ook niet best zijn de standaard SMB pporten naar buiten horen gesloten te zijn.
09-07-2017, 16:34 door [Account Verwijderd]
[Verwijderd]
09-07-2017, 18:33 door Anoniem
Door Anoniem: Met dit soort virussen vraag ik me altijd af of het uitmaakt met welk programma je het Word document opent.
Als je met Libre- of Open Office een word document opent ben je dan net zo kwetsbaar als met MS Office?

Als de code compatible is en de code in het document zit, dan is het antwoord ja. Met een paar mitsen en maren.

Obscuriteit is de belangrijkste "bescherming" van Libre- of Open Office. Het is in het algemeen intrinsiek niet veel veiliger dan Microsoft Office. Niettemin kan het effectief zijn omdat aanvallers zich veelal richten op Microsoft Office.
09-07-2017, 21:27 door [Account Verwijderd]
Door Anoniem:
Het is voor targets verstandig alle inkomende email op te slaan zodat kan worden nagegaan of er een aanval is geweest. Die kunnen dan retrospectief worden gescand. Sommige aanvallen zijn zo slim dat ze IP's uit hetzelfde land gebruiken, maar vaak kun geo-ip filters gebruiken om verdachte berichten op te sporen.

Dit is zeker niet "zomaar" toegestaan. Dit omdat werk email ook onder privacy regels valt. Daar mag je dus niet zomaar kopietjes van trekken.
10-07-2017, 10:08 door Anoniem
Door Anoniem: Erug weinig kans van slagen.. Zou ook niet best zijn de standaard SMB pporten naar buiten horen gesloten te zijn.

Hangt er vanaf... Veel bedrijven zitten achter een standaard NAT router. En daarop staan dit soort porten gewoon open.
10-07-2017, 10:21 door Anoniem
Ik begrijp niet waarom Belangrijke Installaties a.o. Kerncentrales, Ziekenhuizen, Energiecentrales etc. een internet verbinding nodig hebben.. Zet al die dingen op een closed circuit netwerk.. Waarom moet een Kerncentrale Internet hebben (zodat je van thuis dat ding kan bedienen.).. Gewoon geen internet toegang in dat soort gebouwen.. Maar vooral ook geen Email.. Zo onnodig..
10-07-2017, 11:02 door Anoniem
Door Anoniem: Ik begrijp niet waarom Belangrijke Installaties a.o. Kerncentrales, Ziekenhuizen, Energiecentrales etc. een internet verbinding nodig hebben.. Zet al die dingen op een closed circuit netwerk.. Waarom moet een Kerncentrale Internet hebben (zodat je van thuis dat ding kan bedienen.).. Gewoon geen internet toegang in dat soort gebouwen.. Maar vooral ook geen Email.. Zo onnodig..
Omdat in vele gevallen snelle communicatie essentieel is. Ziekenhuizen bijvoorbeeld, hebben vaak meerdere locaties. Postduiven gaat dan niet werken.
10-07-2017, 11:19 door Anoniem
Door Anoniem:
Door Anoniem: Ik begrijp niet waarom Belangrijke Installaties a.o. Kerncentrales, Ziekenhuizen, Energiecentrales etc. een internet verbinding nodig hebben.. Zet al die dingen op een closed circuit netwerk.. Waarom moet een Kerncentrale Internet hebben (zodat je van thuis dat ding kan bedienen.).. Gewoon geen internet toegang in dat soort gebouwen.. Maar vooral ook geen Email.. Zo onnodig..
Omdat in vele gevallen snelle communicatie essentieel is. Ziekenhuizen bijvoorbeeld, hebben vaak meerdere locaties. Postduiven gaat dan niet werken.
Nog steeds geen enkele reden om dan het hele (interne) netwerk te verbinden aan Internet. Bij bepaalde rubricering is segregatie (meer dan compartimentering) van je netwerk de beste maatregel. Dus communicatie vanaf een eigen server aan de 'buitenkant' van je netwerk.
10-07-2017, 11:21 door Anoniem
Door Anoniem: Ik begrijp niet waarom Belangrijke Installaties a.o. Kerncentrales, Ziekenhuizen, Energiecentrales etc. een internet verbinding nodig hebben.. Zet al die dingen op een closed circuit netwerk.. Waarom moet een Kerncentrale Internet hebben (zodat je van thuis dat ding kan bedienen.).. Gewoon geen internet toegang in dat soort gebouwen.. Maar vooral ook geen Email.. Zo onnodig..

Duidelijk opmerkingen van iemand die totaal geen idee heeft hoe de wereld momenteel werkt. Email is juist een heel goed medium om snel informatie over te brengen zowel Intern als Extern. Internet heeft veel informatie bronnen welke ook gebruikt worden binnen deze instellingen.
Je moet dingen wel goed afschermen, maar dat is weer heel iets anders.
10-07-2017, 13:04 door Anoniem
Door Anoniem:
Door Anoniem: Erug weinig kans van slagen.. Zou ook niet best zijn de standaard SMB pporten naar buiten horen gesloten te zijn.

Hangt er vanaf... Veel bedrijven zitten achter een standaard NAT router. En daarop staan dit soort porten gewoon open.

Ok laten we het anders formuleren; het zou niet open moeten zijn.

Overigens is de exploit recent in het nieuws geweest (Ik geloof zelfs dat er een HAK5 sessie aan gewijdt is) Er is een (phython) server nodig die logt welke hash waardes iemand gebruikt om te connecteren. Via "pass the hash" kan je dan weer verder komen.
10-07-2017, 13:22 door cjkos
'Automatisch'?

De VBA dient toch eerst geactiveerd te worden door op de knop 'enable editing' of 'bewerken toestaan' te klikken?

Is dat niet genoeg om een soll brief meteen af te sluiten?
10-07-2017, 13:42 door Anoniem
Door cjkos: 'Automatisch'?

De VBA dient toch eerst geactiveerd te worden door op de knop 'enable editing' of 'bewerken toestaan' te klikken?

Is dat niet genoeg om een soll brief meteen af te sluiten?

Nee, je hoeft niets te activeren. Openen is genoeg voor de SMB connection (tenzij dat op het netwerk/firewall dichtstaat).
10-07-2017, 14:21 door karma4
Door Anoniem:
Door Anoniem: Ik begrijp niet waarom Belangrijke Installaties a.o. Kerncentrales, Ziekenhuizen, Energiecentrales etc. een internet verbinding nodig hebben.. Zet al die dingen op een closed circuit netwerk.. Waarom moet een Kerncentrale Internet hebben (zodat je van thuis dat ding kan bedienen.).. Gewoon geen internet toegang in dat soort gebouwen.. Maar vooral ook geen Email.. Zo onnodig..

Duidelijk opmerkingen van iemand die totaal geen idee heeft hoe de wereld momenteel werkt. Email is juist een heel goed medium om snel informatie over te brengen zowel Intern als Extern. Internet heeft veel informatie bronnen welke ook gebruikt worden binnen deze instellingen.
Je moet dingen wel goed afschermen, maar dat is weer heel iets anders.
Email is goed voor menselijke interactie. Niet relevant bij embedded systemen. Embedded systemen kunnen prima uit dd voeten zonder externe connecties.
Het is dd manager die gelooft dat de operator voor die systemen het ook wel thuis af kan doen en Internet alles mogelijk maakt. Dat alles mogelijk maken ook een andere kant heeft daar worst gemakshalve aan voorbij gegaan. Het werkt toch....
10-07-2017, 16:28 door Anoniem
Door Anoniem:
Door cjkos: 'Automatisch'?

De VBA dient toch eerst geactiveerd te worden door op de knop 'enable editing' of 'bewerken toestaan' te klikken?

Is dat niet genoeg om een soll brief meteen af te sluiten?

Nee, je hoeft niets te activeren. Openen is genoeg voor de SMB connection (tenzij dat op het netwerk/firewall dichtstaat).

Hele probleem met MS Office (en de andere generieke pakketten LibreOffice e.d.) is dat het toesnijden op een individuele situatie door middel van scripttalen (VBA bijvoorbeeld) veiligheidsrisico's met zich mee brengt waar niet goed over nagedacht wordt in het traject van het toesnijden.

De aloude metafoor van Unix werkte zo gek nog niet.
10-07-2017, 16:51 door Anoniem
Dit is zeker niet "zomaar" toegestaan. Dit omdat werk email ook onder privacy regels valt. Daar mag je dus niet zomaar kopietjes van trekken.

Je hebt informatieplicht als werkgever jegens de werknemer. Je mag doen wat redelijkerwijs noodzakelijk is voor de veiligheid van de organisatie. Het gaat hier niet over alle email, maar over binnenkomende Internet mail. Het onderzoek is niet gericht op personen, maar op security en het is grotendeels geautomatiseerd.

Er is overigens ook iets voor te zeggen om interne en uitgaande email op te slaan. Interne email is voor security research niet zo interessant, maar uitgaande mail wel omdat een lek kan zijn. Interne mail systemen herschrijven emails vaak, waardoor forensische security details verloren gaan.

Sommige bedrijven slaan alle email op voor andere redenen, zoals bedrijfscontinuiteit en aansprakelijkheid. Als dat gebeurt moeten werknemers ook over worden geinformeerd en je het is geen vrijbrief om zonder geldige reden emails te gaan lezen. Daarvoor kunnen het beste procedures worden gemaakt, bijvoorbeeld bij uittreden en overdracht en in gevallen van serieus vermoeden van fraude e.d.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Technisch Security Specialist

De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!

Lees meer

Welke messaging-app gebruik jij?

33 reacties
Aantal stemmen: 1150
Vacature
Vacature

Engineer IT-operations

Nationaal Cyber Security Centrum

Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.

Lees meer
Vacature
Vacature

(Senior) Solutions-engineer

Nationaal Cyber Security Centrum

Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.

Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter