Bestandsloze backdoor verspreidt zich via usb-sticks
Begin deze maand werd er gewaarschuwd voor een backdoor die op aangevallen systemen geen bestanden naar de harde schijf wegschrijft, wat het lastiger maakt om de malware te detecteren en analyseren. Het was echter onbekend hoe de malware zich precies verspreidde. In eerste instantie werd gedacht aan een download door de gebruiker of installatie via andere malware.
Voor de verspreiding worden echter usb-sticks gebruikt, zo laat anti-virusbedrijf Trend Micro weten. De usb-sticks bevatten snelkoppelingen die dezelfde naam als de usb-stick kunnen hebben. Zodra gebruikers de snelkoppeling openen wordt er kwaadaardige code in het geheugen uitgevoerd en een waarde aan het register toegevoegd die de Powmet Trojan downloadt. Deze malware downloadt weer een Powershell-script dat de uiteindelijke backdoor op het systeem downloadt.
In de gehele infectieketen worden er geen bestanden naar de harde schijf weggeschreven. Volgens Trend Micro komen aanvallen waarbij alleen bestandsloze malware wordt gebruikt zeer zelden voor. Bij welke organisaties de usb-sticks werden aangetroffen en hoe die daar precies terechtkwamen laat de virusbestrijder niet weten. De backdoor zou voornamelijk in Azië en de Pacific zijn waargenomen.
Titel lijkt me dus wellicht iets misleidend?
.... en dat heeft te maken het feit dat er maar weinig Anti-Malware oplossing zijn die dit soort aanvallen preventief kunnen blokkeren. Hoewel ze allemaal zeggen dat ze aan memory scanning doen, gaat het over het algemeen om het scannen van bekende kwaadaardige code in het geheugen.
Titel lijkt me dus wellicht iets misleidend?
Ja, wordt een stuk spannender gemaakt op deze manier. Beter titel zou kunnen zijn, "backdoor verspreidt zich via snelkoppelingen op USB sticks"
Maar vast niet catchy genoeg..
.... en dat heeft te maken het feit dat er maar weinig Anti-Malware oplossing zijn die dit soort aanvallen preventief kunnen blokkeren. Hoewel ze allemaal zeggen dat ze aan memory scanning doen, gaat het over het algemeen om het scannen van bekende kwaadaardige code in het geheugen.
Dit heeft wel invloed op het idee van de stateless laptop van Rutkowska: https://blog.invisiblethings.org/2015/12/23/state_harmful.html
Titel lijkt me dus wellicht iets misleidend?
De "malicious code in memory" lijkt me een programma.
Nee, zeker niet maar ik ben het een beetje moe om te lezen dat product a,b,c lek is terwijl dat vaak maar voor een bepaald OS geldt. En of dat nu Windows (xp,nt,me,7 of 10), macOS of Linux (smaak x,y,x) maakt me geen reet uit maar een header dient de lading te dekken en die suggestieve Televaag koppen om lezers te trekken ben ik zat.
Dus voegt alles toe.
Dus voegt alles toe.
Je wordt een beetje moet van dat kontstante gespring over de details.
Neem het plaatje en eerste figuurtje. titel "betandsloze backdoor" eerste malicious files (bestanden) op de USB.
Een USB heeft een plug en play als basis ontwerp. Firmware loading https://wiki.debian.org/Firmware .
Het concept en de achilleshiel is algemeen. Je moet niet zomaar wat rond gaan pluggen omdat het zo makkelijk lijkt.
Zodra je het in de huidige tijd/markt een AV boer als bron van het artikel ziet weet je dat ze zichzelf aan het verkopen zijn en welke markt ze op het oog hebben.
goeie tovoeging van secguru_OTX. De maatregelen van het vanzelf isntalleren kun je enkel op een zeer laag niveau (hoge rechten) afvangen. https://docs.microsoft.com/en-us/windows/device-security/device-guard/device-guard-deployment-guide
Enterprise edition met whitelisting. Zie ook even de "Fixed-workload devices" "fully/light managed devices" je krijgt een hele waslijst van stacks/invullingen.
Titel lijkt me dus wellicht iets misleidend?
Nee. In de eerste zin staat de passage: "geen bestanden naar de harde schijf wegschrijft". Daarmee wordt impliciet gesteld dat, ook in de definitie van de redactie, bestanden niet perse dingen zijn die op de harde schijf staan. Voordat de verzameling bitjes uit het geheugen weggeschreven wordt, heet het al bestand.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.