image

Malware controleert temperatuur van computer

maandag 30 april 2018, 15:04 door Redactie, 4 reacties

Een malware-exemplaar dat bij gerichte aanvallen is ingezet controleert de temperatuur van de computer om te kijken of het wel om een echte machine gaat en geen virtueel systeem is. Dat laat Cisco in een analyse weten. Het gaat om de GravityRAT (Remote Access Tool) die informatie van systemen steelt.

De malware wordt verspreid via een Microsoft Office-document met een kwaadaardige macro. Volgens het document moet de gebruiker macro's inschakelen om te bewijzen dat hij geen robot is, net zoals bij captcha's wordt gevraagd. Zodra de gebruiker macro's inschakelt wordt de malware geïnstalleerd. De malware kijkt echter of het besmette systeem wel een echte computer is en geen virtual machine.

Veel anti-virusbedrijven en onderzoekers maken namelijk gebruik van virtual machines om verdachte bestanden te onderzoeken. Door een virtual machine tijdig te detecteren kan de malware detectie ontlopen. In het geval van de GravityRAT heeft de ontwikkelaar zeven technieken toegepast om te controleren dat het gecompromitteerde systeem geen virtual machine is.

Hiervoor kijkt de malware naar de bios-versie en processor-id van het systeem, alsmede geïnstalleerde tools en het MAC-adres. Ook controleert de malware de huidige processor-temperatuur. Sommige virtualisatiesoftware, zoals VMWare, VirtualBox en Hyper-V, ondersteunen geen temperatuurcontroles. Op deze manier kan de malware identificeren of het aangevallen systeem een echte machine is.

Volgens Cisco wordt de malware al sinds 2016 ingezet, maar is de ontwikkelaar lange tijd erin geslaagd om onder de radar te blijven. De malware is met name tegen Indiase doelen gebruikt. Het Computer Emergency Response Team van de Indiase overheid heeft vorig jaar al een waarschuwing voor een variant van de malware afgegeven (pdf).

Image

Reacties (4)
30-04-2018, 18:05 door Anoniem
Kan MS office nu nog steeds malware uitvoeren .... ?
30-04-2018, 19:18 door Anoniem
Door Anoniem: Kan MS office nu nog steeds malware uitvoeren .... ?
Waarom niet? Tijd van office blijft niet stil, er worden steeds nieuwe functies ingezet terwijl in de vorige functies nog veiligheidslekken zitten. Als ze blijven hangen aan de huidige functies blijft de tijd bij MS stil staan.
30-04-2018, 22:55 door [Account Verwijderd] - Bijgewerkt: 30-04-2018, 23:06
Door Anoniem:
Door Anoniem: Kan MS office nu nog steeds malware uitvoeren .... ?
Waarom niet? Tijd van office blijft niet stil, er worden steeds nieuwe functies ingezet terwijl in de vorige functies nog veiligheidslekken zitten. Als ze blijven hangen aan de huidige functies blijft de tijd bij MS stil staan.

Kwaadaardige code in macro's kan in feite door alle software die macro's (scripts) ondersteunen uitgevoerd worden.
In Libre Office bijvoorbeeld ook.

Hoe Macro's hierin uitvoeren qua beveiliging aanpassen:
Kies opties in het menu,
Kies links in het venster: Libre office > beveiliging
Klik op knop 'Macrobeveiliging' en kies de bovenste optie: Zeer hoog.

Macro's in bestanden van emailbijlagen worden dan niet meer uitgevoerd.
01-05-2018, 13:27 door Anoniem
Het wordt steeds interessanter om je os gevirtualiseerd te draaien. Alle malware haakt af omdat het denkt in een sanrbox van de anti-virus software te draaien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.