image

WikiLeaks onthult CIA-malware voor macOS, Linux en FreeBSD

vrijdag 28 juli 2017, 09:55 door Redactie, 18 reacties

WikiLeaks heeft opnieuw documenten over malware van de CIA vrijgegeven. Dit keer gaat het om malware die onderdeel van het Imperial-project van de CIA is. Het gaat om malware voor macOS en oudere op POSIX-gebaseerde systemen zoals Debian Linux 7, Solaris 11 en FreeBSD 8.

Achilles is een tool waarmee de CIA OS X disk image (.dmg) installers van een Trojan kan voorzien. Op deze manier kan een systeem besmet worden als een gebruiker het getrojaniseerde dmg-bestand opent. De Aeris-malware wordt omschreven als een "geautomatiseerd implantaat" voor het stelen van gegevens en command en control voor het besturen van systemen. De malware is ontwikkeld voor oudere versies van Linux, FreeBSD en CentOS. Een CIA-operator moet wel toegang tot het systeem hebben om de malware te installeren.

Als laatste is er een handleiding van SeaPea te downloaden. Dit is een rootkit voor macOS 10.6 en 10.7 waarmee een CIA-operator toegang tot besmette systemen heeft. De documenten zijn afkomstig uit Vault 7, de grote verzameling tools, exploits en documenten van de CIA die WikiLeaks in handen kreeg. De malware zelf is niet beschikbaar gemaakt.

Reacties (18)
28-07-2017, 10:06 door Anoniem
Kan niet volgens sommigen hier. Malware vind je enkel op Windows, en van malware voor linux/macosx of antivirus programma's voor die platformen, daar hebben ze nog nooit van gehoord ;))
28-07-2017, 10:15 door Anoniem
" Een CIA-operator moet wel toegang tot het systeem hebben om de malware te installeren. "

dat niet alleen, hij moet ook 'root' hebben en om SELlinux om kunnen gaan voordat deze code daadwerkelijk alles kan lezen. kortom de aeris malware is eigenlijk gewoon een speciale applicatie :). het grappige is dan daarbij dat deze applicatie erg specifiek is voor bepaalde distros en dat hij dus niet goed werkt klaarblijkelijk op andere. dat betekent dus weer dat de hetrogeniteit en de pluriteit in de verschillende distros het schrijven van algemene malware daadwerkelijk in de praktijk hinderd. mooi :).
28-07-2017, 10:30 door Anoniem
Voor OSX gebruikers: ze kunnen n.a.v. de documentatie de volgende acties ondernemen:

Ga naar je menubalk (bovenaan op je bureaublad)>Ga>Ga naar map> en typ het volgende adres in het pad in:


Persistence file:.... /System/Library/LaunchDaemons/com.apple.ptm.log.plist

Vind je niks, dan ben je niet besmet.
Zou dat wel het geval zijn dan is een clean install van het OS een goede optie om alles van je schijf te halen. Zorg er dan wel voor dat voordat je het OS opnieuw installeert, de schijf eerst gaat wissen.

Volgens de documentatie gaat de truc van de Rootkit alleen op bij oudere besturingssystemen, maar aangezien de informatie wat ouder kan zijn is dat ook niet zo verwonderlijk.

Voor high-profile targets lijkt het mij daarom verstandig dat zij Live-CD OSen gebruiken (zoals TAILS er een is). Dan is de methode van de NSA bij voorbaat een mislukking.
28-07-2017, 11:04 door meinonA
Door Anoniem: Kan niet volgens sommigen hier. Malware vind je enkel op Windows, en van malware voor linux/macosx of antivirus programma's voor die platformen, daar hebben ze nog nooit van gehoord ;))

Leuke troll!

$ packer -Ss anti virus
extra/clamav 0.99.2-7
Anti-virus toolkit for Unix
community/p3scan 2.3.2-12
Fully transparent POP3/SMTP proxy with Anti-Virus and SPAM protection
aur/yumi-bin 0.0.1-1 (20)
YUMI (Your Universal Multiboot Integrator), is the successor to our MultibootISOs. It can be used to create a Multiboot USB Flash Drive containing
multiple operating systems, antivirus utilities, disc cloning, diagnostic tools, and more.
aur/clamsmtp 1.10-4 (12)
SMTP filter that allows you to check for viruses using the ClamAV anti-virus software.
aur/comodo 1.1.268025-7 (11)
An antivirus suite with real-time protection
aur/bitdefender 7.7.1-44 (11)
BitDefender's Personal UNIX Workstation Antivirus
aur/spacefm-plugin-clamav 1-1 (9)
Scan the selected files/folders with ClamAV using spacefm, the open source (GPL) antivirus engine.
aur/clamfs 1.0.1-4 (9)
A user-space anti-virus protected file system
aur/kvirustotal 0.30.0-3 (4)
Online antivirus and anti-phishing tool
aur/comodo-modules 20150307_4.7.2_1-1 (4)
Modules for Comodo Antivirus for providing realtime protection
aur/kav 0.2-1 (2)
Antivirus scanner from kaspersky rescue disk
aur/esets 4.5.5.0-1 (2)
ESET Mail Security provides comercial Antivirus and Antispam
aur/clamav-git 0.99.g1ab521a-1 (2)
Anti-virus toolkit for Unix

Al die tools zijn er alleen op gericht om Windows clients niet te besmetten vanaf een Samba share, of mailserver ;)

De malware is ontwikkeld voor oudere versies van Linux, FreeBSD en CentOS.

Zoals altijd geldt dus weer: updaten.
28-07-2017, 11:22 door Anoniem
Zoals altijd geldt dus weer: updaten.
Het lijkt me sterk dat een statelijke actor, zoals de NSA, niet in de tussentijd voor een oplossing heeft gezorgd: uiteindelijk is de info al een tijdje verouderd en kunnen er nieuwe malware exemplaren worden gefabriceerd voor de huidige besturingssystemen.
28-07-2017, 12:14 door Anoniem
Door Anoniem: " Een CIA-operator moet wel toegang tot het systeem hebben om de malware te installeren. "

dat niet alleen, hij moet ook 'root' hebben en om SELlinux om kunnen gaan voordat deze code daadwerkelijk alles kan lezen. kortom de aeris malware is eigenlijk gewoon een speciale applicatie :).
Is dat niet de definitie van iedere applicatie?

het grappige is dan daarbij dat deze applicatie erg specifiek is voor bepaalde distros en dat hij dus niet goed werkt klaarblijkelijk op andere. dat betekent dus weer dat de hetrogeniteit en de pluriteit in de verschillende distros het schrijven van algemene malware daadwerkelijk in de praktijk hinderd. mooi :).
Grappige is dus ook, dat als je een applicatie ontwikkeld, je dus in eens heel veel variaties van je applicatie moet gaan ondersteunen volgens jou conclusie.

Door Anoniem:
Zou dat wel het geval zijn dan is een clean install van het OS een goede optie om alles van je schijf te halen. Zorg er dan wel voor dat voordat je het OS opnieuw installeert, de schijf eerst gaat wissen.
Ik denk als je wel iets vind, dat je eerst eens in de straat moet gaan kijken, of daar geen witte busjes staan. Je telefoon meteen weg moet gooien, alle PIN codes van je bankpasjes opnieuw moet aanvragen. Al je wachtwoorden resetten. Sloten op je huis vervangen. En zo kan ik nog wel even door gaan.....

En je zelf een af gaan vragen, waarom JIJ een verdachte bent.

Voor high-profile targets lijkt het mij daarom verstandig dat zij Live-CD OSen gebruiken (zoals TAILS er een is). Dan is de methode van de NSA bij voorbaat een mislukking.
Hij is volgens mij van de CIA.... En als je werkelijk dit soort software moet gaan gebruiken.....
Dan heb je ook nog veel meer voorzorgsmaatregelen nodig. Maar normale gebruikers hoeven dit gelukkig allemaal niet te doen
28-07-2017, 13:06 door Anoniem
Door Anoniem:
Door Anoniem: " Een CIA-operator moet wel toegang tot het systeem hebben om de malware te installeren. "

dat niet alleen, hij moet ook 'root' hebben en om SELlinux om kunnen gaan voordat deze code daadwerkelijk alles kan lezen. kortom de aeris malware is eigenlijk gewoon een speciale applicatie :).
Is dat niet de definitie van iedere applicatie?

het grappige is dan daarbij dat deze applicatie erg specifiek is voor bepaalde distros en dat hij dus niet goed werkt klaarblijkelijk op andere. dat betekent dus weer dat de hetrogeniteit en de pluriteit in de verschillende distros het schrijven van algemene malware daadwerkelijk in de praktijk hinderd. mooi :).
Grappige is dus ook, dat als je een applicatie ontwikkeld, je dus in eens heel veel variaties van je applicatie moet gaan ondersteunen volgens jou conclusie.

Door Anoniem:
Zou dat wel het geval zijn dan is een clean install van het OS een goede optie om alles van je schijf te halen. Zorg er dan wel voor dat voordat je het OS opnieuw installeert, de schijf eerst gaat wissen.
Ik denk als je wel iets vind, dat je eerst eens in de straat moet gaan kijken, of daar geen witte busjes staan. Je telefoon meteen weg moet gooien, alle PIN codes van je bankpasjes opnieuw moet aanvragen. Al je wachtwoorden resetten. Sloten op je huis vervangen. En zo kan ik nog wel even door gaan.....

En je zelf een af gaan vragen, waarom JIJ een verdachte bent.

Voor high-profile targets lijkt het mij daarom verstandig dat zij Live-CD OSen gebruiken (zoals TAILS er een is). Dan is de methode van de NSA bij voorbaat een mislukking.
Hij is volgens mij van de CIA.... En als je werkelijk dit soort software moet gaan gebruiken.....
Dan heb je ook nog veel meer voorzorgsmaatregelen nodig. Maar normale gebruikers hoeven dit gelukkig allemaal niet te doen
Klopt als een zwerende vinger.
Het zal wel door mijn tunnelvisie komen.

Bedankt voor je bijdrage!
28-07-2017, 18:43 door Anoniem
Door Anoniem: Voor OSX gebruikers: ze kunnen n.a.v. de documentatie de volgende acties ondernemen:

Ga naar je menubalk (bovenaan op je bureaublad)>Ga>Ga naar map> en typ het volgende adres in het pad in:


Persistence file:.... /System/Library/LaunchDaemons/com.apple.ptm.log.plist

Dit adres klopt niet, of het is niet compleet. Ik krijg alleen de boodschap: "De map is onvindbaar".
28-07-2017, 19:57 door Anoniem
@Vandaag, 10:30 door Anoniem
Vind je niks, dan ben je niet besmet.

Je bedoelt niet besmet met specifieke malware.

@Vandaag, 12:14 door Anoniem
En je zelf een af gaan vragen, waarom JIJ een verdachte bent.

De CIA verzamelt informatie, dus je hoeft geen verdachte te zijn. Ze gaan er wel van uit dat er interessante informatie te halen is.
28-07-2017, 20:16 door [Account Verwijderd]
[Verwijderd]
29-07-2017, 10:55 door Anoniem
"Grappige is dus ook, dat als je een applicatie ontwikkeld, je dus in eens heel veel variaties van je applicatie moet gaan ondersteunen volgens jou conclusie. "

dat is niet juist, deze (en vele) malware is statisch gecompileerd en wordt gepatched om te configureren en is daarom slechts werkbaar op een paar distros en versies van die distros. elke verschillende distro kan (en doet dat dus ook) de code hercompileren en eigen pakketjes uitbrengen. je conlusie dat dus elke applicatie bij distros een probleem zou zijn en dus dat daarom de redenering waarop je dat als tegenargument gebruikt is niet van toepassing.
29-07-2017, 11:07 door Joep Lunaar
Door Anoniem: ...
Grappige is dus ook, dat als je een applicatie ontwikkeld, je dus in eens heel veel variaties van je applicatie moet gaan ondersteunen volgens jou conclusie.

Hier komt een interessant aspect van open source programmatuur om de hoek kijken: op source niveau min of meer één maar bij compilatie/installatie wordt onderscheiden naar platform en versie daarvan zodat het product runtime op dat specifieke platform werkt. Tools als autoconf. automake, cmake enz ondersteunen deze werkwijze. Kortom: een source, runtime per platform(versie) verschillende programma's.
29-07-2017, 17:19 door Anoniem
Door Anoniem: " Een CIA-operator moet wel toegang tot het systeem hebben om de malware te installeren. "

dat niet alleen, hij moet ook 'root' hebben en om SELlinux om kunnen gaan voordat deze code daadwerkelijk alles kan lezen. kortom de aeris malware is eigenlijk gewoon een speciale applicatie :). het grappige is dan daarbij dat deze applicatie erg specifiek is voor bepaalde distros en dat hij dus niet goed werkt klaarblijkelijk op andere. dat betekent dus weer dat de hetrogeniteit en de pluriteit in de verschillende distros het schrijven van algemene malware daadwerkelijk in de praktijk hinderd. mooi :).

Grapje zeker, of ben je ff vergeten door wie S(py) E(nhanced) linux is gemaakt?
29-07-2017, 22:11 door Anoniem
"Grapje zeker, of ben je ff vergeten door wie S(py) E(nhanced) linux is gemaakt?"

verdiep je eens in die materie voordat je iets stoms meld.

het leeuwendeel van de implementatie is niet door NSA gedaan

https://en.wikipedia.org/wiki/Linux_Security_Modules

en de policies worden ook niet door NSA geschreven

https://github.com/TresysTechnology/refpolicy/wiki

daarnaast is SELinux een extra laag MAC bovenopde kernel standaard AC.

een backdoor hier zou mijnsinziens vrijwel niet kunnen.
30-07-2017, 12:05 door Anoniem
there you go:

LSM:

http://www.kroah.com/linux/talks/ols_2002_lsm_paper/lsm.pdf
https://www.kernel.org/doc/htmldocs/lsm/framework.html
https://www.kernel.org/doc/Documentation/security/LSM.txt

and how SELinux is implemented against that:

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.178.6001&rep=rep1&type=pdf

Code can be checked at:

https://github.com/torvalds/linux/tree/master/security

https://github.com/torvalds/linux/tree/master/security/selinux

https://github.com/torvalds/linux/blob/master/include/linux/lsm_hooks.h
30-07-2017, 16:50 door GerBNL
Door Neb Poorten:
Door Anoniem:
Door Anoniem: Voor OSX gebruikers: ze kunnen n.a.v. de documentatie de volgende acties ondernemen:

Ga naar je menubalk (bovenaan op je bureaublad)>Ga>Ga naar map> en typ het volgende adres in het pad in:


Persistence file:.... /System/Library/LaunchDaemons/com.apple.ptm.log.plist

Vind je niks, dan ben je niet besmet

Dit adres klopt niet, of het is niet compleet. Ik krijg alleen de boodschap: "De map is onvindbaar".

Je hebt de met bold gemarkeerde tekst die ook in de oorspronkelijke Anoniem instructies stond voor het gemak niet gelezen? Mijn advies aan jou is: blijf overal af!

Anoniem heeft gelijk. De originele post klopt niet. Als je met "menubalk => Ga => Ga naar map..." wilt werken, moet je een mapnaam invoeren, geen bestandsnaam.

Je moet dus /System/Library/LaunchDaemons invoeren om naar de juiste map te gaan, en vervolgens kijken of je daarin het bestand com.apple.ptm.log.plist kunt vinden.

advies aan Neb Poorten: geeft liever geen advies dan fout advies. Anoniem heeft de instructie prima uitgevoerd, maar de instructie zelf was niet goed.
31-07-2017, 11:43 door [Account Verwijderd] - Bijgewerkt: 31-07-2017, 11:44
[Verwijderd]
02-08-2017, 15:38 door Anoniem
Door Anoniem: Kan niet volgens sommigen hier. Malware vind je enkel op Windows, en van malware voor linux/macosx of antivirus programma's voor die platformen, daar hebben ze nog nooit van gehoord ;))

Als je goed nadenkt weet je goed wat deze mensen bedoelen.
Windows heeft de meeste gebruikers, dus voor malware schrijvers het meest voor de hand liggende O.S. om malware voor te schrijven. Dan ligt het aan de gebruiker of hij een minder kwestbaar O.S. wil, en daar heb ik ook voor gekozen.
Zelf was ik ooit Windows verslaafd, en het heeft me ook een aantal gekost om toch niet terug te gaan. Veel mensen zijn Windows gewend, en als iemand er bijv. Linux op zou installeren dan willen ze geen moeite doen om een eventueel probleem op te lossen. Dan is bijv. Linux een k*t systeem, maar vergeten wel jaren en ook problemen onder hun Windows te hebben opgelost. Dus mensen willen geen moeite meer doen, met een aantal gebuikers die het wel doen, of ermee zijn opgegroeid. Nu wil ik nooit meer terug, want pas na verloop van tijd zie je de voordelen van bijv. Linux.
Veel makkelijker en overzichtelijker, en ook nog eens open-source, en geen verdienmodel.

Dan is er inderdaad geen systeem 100% veilig, tenzij men een Live CD/DVD/USB stick gebruikt waar men geen schrijfrechten op hebt. Dan zijn er best systemen die heel moeilijk zijn binnen te dringen, alles ligt aan de kennis van de gebruiker(s). Maar vaak zijn die systemen heel erg dicht getimmerd dus voor de meeste mensen niet bruikbaar.
Zelf ben ik ook ver gegaan, maar nu ik ouder word denk ik soms waar doe je het allemaal voor?
Ik ben ja geen terrorist, dus eigenlijk zou ik gewoon moeten computeren zoals Oma en Opa met wat aanpassingen
wel te verstaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.