image

Aanvallers CCleaner wisten logbestanden wegens ruimtegebrek

vrijdag 22 september 2017, 09:58 door Redactie, 9 reacties

De aanvallers die softwarebedrijf Piriform hackten en een backdoor aan de populaire tool CCleaner toevoegden hebben wegens ruimtegebrek op de command en controleserver allerlei logbestanden gewist, waardoor de volledige omvang van de aanval niet zichtbaar is.

Dat meldt anti-virusbedrijf Avast, dat eigenaar van CCleaner is, in een nieuwe technische analyse van het incident. Gisteren maakten Cisco en Avast bekend dat de aanval tegen grote tech- en internetbedrijven was gericht. Dit bleek uit logbestanden op de server waarmee de backdoor in CCleaner communiceerde. De logbestanden bevatten slechts data van vier dagen, terwijl de besmette versie van CCleaner een maand lang werd aangeboden.

Uit onderzoek van de server blijkt dat die op 31 juli werd geïnstalleerd en op 11 augustus met het verzamelen van data begon. De database op de server bevatte geen data van voor 12 september. Onderzoekers van Avast dachten dan ook dat iemand de logbestanden had verwijderd om geen sporen achter te laten. Uit een ander logbestand blijkt echter dat de database, die data van de backdoor opsloeg, niet voldoende schijfruimte had.

De aanvallers besloten dan ook logbestanden te verwijderen om zo ruimte vrij te maken. De logbestanden laten ook zien dat de database tijdens deze periode gecorrumpeerd was geraakt en de aanvallers besloten om die opnieuw te installeren. "Het is jammer dat de server zo'n low-end machine was met beperkte schijfcapaciteit. Als dit namelijk niet het geval was geweest, hadden we waarschijnlijk een veel duidelijker beeld van wie er door de aanval is getroffen, aangezien dan de hele database sinds de initiële startdatum intact zou zijn geweest", aldus de onderzoekers van Avast.

Doelwit

Gisteren werden al verschillende bedrijven genoemd die het doelwit van de aanvallers waren. Vier domeinen van twee bedrijven zijn echter nog niet openbaar gemaakt, aldus de onderzoekers. Deze domeinen waren in de scripts inactief gemaakt, wat erop kan duiden dat de lijst met aangevallen bedrijven in de loop van de tijd veranderde. Dit wordt verder ondersteund door het feit dat sommige van de 20 computers die aanvullende malware ontvingen zich in domeinen bevonden die niet in de originele lijst waren opgenomen.

Ook lijkt het erop dat de aanvallers een fout hebben gemaakt met de domeinnaam van één bedrijf. Het domein eindigt op .sk, maar volgens de onderzoekers hadden de aanvallers het waarschijnlijk op gebruikers in het Zuid-Koreaanse hoofdkantoor voorzien. Het .sk-domein is echter van de Slowaakse tak van het bedrijf. Wie er achter de aanvallen zit kunnen de onderzoekers niet zeggen. "Het is op dit moment onmogelijk om te zeggen vanuit welk land de aanval kwam, omdat alle datapunten eenvoudig te vervalsen zijn om de werkelijke locatie van de aanvallers te verbergen."

Reacties (9)
22-09-2017, 10:54 door Anoniem
hebben wegens ruimtegebrek op de command en controleserver allerlei logbestanden gewist

Huh, dat is gewoon standaard praktijk bij een aanval. Je wilt niet dat de aangevallen partij achteraf kan achterhalen wat er is gebeurd. Tekent dit nu het kennisniveau van Avast? Is dit zand in de ogen van de aangevallenen strooien om eigen falen te verbergen?
22-09-2017, 10:57 door Anoniem
De aanvallers besloten dan ook logbestanden te verwijderen om zo ruimte vrij te maken. De logbestanden laten ook zien dat de database tijdens deze periode gecorrumpeerd was geraakt en de aanvallers besloten om die opnieuw te installeren. "Het is jammer dat de server zo'n low-end machine was met beperkte schijfcapaciteit.

Wat een inzicht ineens in de handelswijze van de aanvallers... En dat met gewiste logbestanden... En weten waarom ze gweist zijn... En weten dat de database gecorrumpeerd was geraakt... Het lijkt wel of ze de aanvallers kennen ==> Inside Job maar wordt stil gehouden?

Lijkt me dat er een hoop mis is bij Avast!
22-09-2017, 11:21 door bollie
In het begin was de reactie vanuit Avast: "Niemand heeft schade opgelopen". Nu wordt langzaam de ware omvang van de aanval en schade duidelijk door gedegen onderzoek van Cisco. Het is dus véél ernstiger. Maar het blijft gissen naar wie er getroffen zijn en wat er allemaal is buitgemaakt. Ik denk er serieus over al mijn inloggegevens aan te gaan passen. Alle computers inmiddels geheel opnieuw geïnstalleerd. Tjonge wat een enorme aantasting van vertrouwen....
22-09-2017, 11:42 door Anoniem
Dit is toch wel zorgelijk. Daar was duidelijk beheer niet op orde:
- Men had geen inzicht in het (niet standaard) netwerkverkeer
- Geen alarm/opvolging dat de server low on diskspace was
- Geen alarm/opvolging dat logging verwijderd werd / men had hier permissie voor (RCE/EoP?)
- Geen log backup naar een extern systeem
- Geen alarm/opvolging dat de database corrupt was
- Geen alarm/opvolging dat er een herinstallatie van de database had plaatsgevonden

Ik hoop dat Avast zijn eigen AV omgeving beter in beheer heeft, anders hebben we daar straks ook updates met "extra functionaliteit".
22-09-2017, 12:01 door Anoniem
Door bollie: In het begin was de reactie vanuit Avast: "Niemand heeft schade opgelopen". Nu wordt langzaam de ware omvang van de aanval en schade duidelijk door gedegen onderzoek van Cisco. Het is dus véél ernstiger. Maar het blijft gissen naar wie er getroffen zijn en wat er allemaal is buitgemaakt. Ik denk er serieus over al mijn inloggegevens aan te gaan passen. Alle computers inmiddels geheel opnieuw geïnstalleerd. Tjonge wat een enorme aantasting van vertrouwen....

Het is duidelijk dat Avast niet meer te vertrouwen is. Damage control is een ding, maar over de impact liegen om het eigen hachje te redden...

Voorspelling: In https://www.security.nl/posting/532047/ESET%3A+Providers+voorzien+downloads+van+overheidsspyware wordt Avast ook genoemd... Dit kan alleen maar als er ook lekken in Avast software zit. Aangezien er Avast staat en niet Piriform, is het het meest waarschijnlijk dat het hier om de Avast anti-virus software gaat. Dat is natuurlijk handig om iets niet te detecteren.

Voor mij geen Avast meer... Avast Free staat bij mij nu voor Free Entry (voor hackers en overheden)
22-09-2017, 12:33 door Anoniem
Gelukkig ben ik al lang geleden gestaakt met alle LOKALE antivirusprodukten: nooit ergens last van gehad, grijns
22-09-2017, 17:35 door Anoniem
Door Anoniem: Dit is toch wel zorgelijk. Daar was duidelijk beheer niet op orde:
- Men had geen inzicht in het (niet standaard) netwerkverkeer
- Geen alarm/opvolging dat de server low on diskspace was
- Geen alarm/opvolging dat logging verwijderd werd / men had hier permissie voor (RCE/EoP?)
- Geen log backup naar een extern systeem
- Geen alarm/opvolging dat de database corrupt was
- Geen alarm/opvolging dat er een herinstallatie van de database had plaatsgevonden
Je hebt het artikel ook gelezen? Want dit waren de eigenschappen van de CC server van de malware en niet het geval is/was op Avast of Piriform.

Ik hoop dat Avast zijn eigen AV omgeving beter in beheer heeft, anders hebben we daar straks ook updates met "extra functionaliteit".
Ik denk dat we aan kunnen nemen dat deze punten bij Avast gewoon actief zijn. Of jij moet ander sterk bewijs hebben dat dit anders in elkaar zit?
22-09-2017, 23:20 door Anoniem
Door Anoniem:
Ik hoop dat Avast zijn eigen AV omgeving beter in beheer heeft, anders hebben we daar straks ook updates met "extra functionaliteit".
Ik denk dat we aan kunnen nemen dat deze punten bij Avast gewoon actief zijn. Of jij moet ander sterk bewijs hebben dat dit anders in elkaar zit?
Bewijs begint te komen. Avast wordt niet voor niets genoemd in https://www.security.nl/posting/532047/ESET%3A+Providers+voorzien+downloads+van+overheidsspyware. Als dat klopt, betekent het dat Avast geen checks/checksums doet op eigen code, ed., anders kan dit soort aanvallen niet lukken.
23-09-2017, 10:25 door Anoniem
Door bollie: In het begin was de reactie vanuit Avast: "Niemand heeft schade opgelopen". Nu wordt langzaam de ware omvang van de aanval en schade duidelijk door gedegen onderzoek van Cisco. Het is dus véél ernstiger. Maar het blijft gissen naar wie er getroffen zijn en wat er allemaal is buitgemaakt. Ik denk er serieus over al mijn inloggegevens aan te gaan passen. Alle computers inmiddels geheel opnieuw geïnstalleerd. Tjonge wat een enorme aantasting van vertrouwen....

Nee, niemand heeft schade opgelopen... Ze kunnen me nog meer vertellen, maar hier werkt het een na het ander niet meer, zelfs mijn security cams connecten sinds gisteravond niet meer met de weergave client.

Dat word dus de PC opnieuw installen wat ruim een dag gaat duren met alle andere software PPPPPFFFFFFF!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.