image

Met wachtwoord beveiligde 'cv' verspreidt ransomware

maandag 30 juli 2018, 10:50 door Redactie, 15 reacties

Aanvallers gebruiken zogenaamde met wachtwoord beveiligde cv's om ransomware te verspreiden, zo waarschuwt het Internet Storm Center (ISC). Het gebruik van een wachtwoord moet detectie door anti-virussoftware voorkomen. De doc-bestanden die de 'cv' bevatten worden via e-mail verspreid.

Om het document te kunnen openen moet er een wachtwoord worden opgegeven dat in de e-mail staat vermeld. Het doc-bestand bevat een kwaadaardige macro. In het document worden instructies gegeven om macro's in te schakelen. Als de gebruiker dit doet installeert de macro de Hermes-ransomware op het systeem.

Deze ransomware versleutelt bestanden en vraagt een geldbedrag voor het ontsleutelen ervan. "Kwaadaardige spam met wachtwoord beveiligde Word-bestanden blijven een probleem", zegt ISC-handler Brad Duncan. Het exemplaar dat hij ontdekte werd door geen enkele virusscanner op VirusTotal gedetecteerd.

Image

Reacties (15)
30-07-2018, 11:04 door Anoniem
Iemand enig idee hoe het zit met sandboxes en wachtwoord beveiligde (office) documenten? Normaalgesproken zal een sandbox een office bestand met macro openen en analyseren, ik neem aan dat een sandbox dat niet kan doen in het geval van zo'n beveiligd document? Zal zo'n sandbox zo'n mailtje doorsturen of tegenhouden, of is dat puur een configuratie vraagstuk?
30-07-2018, 11:53 door SecGuru_OTX - Bijgewerkt: 30-07-2018, 12:00
Door Anoniem: Iemand enig idee hoe het zit met sandboxes en wachtwoord beveiligde (office) documenten? Normaalgesproken zal een sandbox een office bestand met macro openen en analyseren, ik neem aan dat een sandbox dat niet kan doen in het geval van zo'n beveiligd document? Zal zo'n sandbox zo'n mailtje doorsturen of tegenhouden, of is dat puur een configuratie vraagstuk?

Er zijn (nog) geen oplossingen voor Email Sandboxes, binnen de Sandbox zal er iets moeten zijn die het correcte ww invoerd. Dit is tot nu toe nog niet mogelijk doordat alle Email sandboxen(die ik ken) alleen de attachments analyseren en niet de mail met het ww zelf.

Sandbox op OS niveau (bv Checkpoint SandBlast icm met agent) zal de payload wel analyseren. Let wel op: scripts en executables moeten dan default in blocking mode staan, totdat de Sandbox ze heeft geanalyseerd.

P.s. je kunt je Sandbox uiteraard altijd zo configureren dat het gene password protected is en/of niet geanalyseerd kan worden, default zal worden geblokkeerd, ik kom dat in de praktijk echter zeer weinig tegen(kan een enorme business impact hebben)
30-07-2018, 12:10 door SecGuru_OTX
Endpoints en eindgebruikers zullen altijd doelwit blijven van criminelen, ze verzinnen altijd wel nieuwe methodes om deze te benaderen. Onderschat nooit de echte waarde van Awareness training en maximale Endpoint beveiliging.

Advies voor een goede basis:
- Awareness
- Anti Virus product
- Tweede laag Anti Malware (bv Sophos Intercept X, CylanceProtect, SentinelOne, Malwarebytes)
- App en Script whitelisting (by far het meest effectief)
- Minimale gebruikersrechten (gebruik nooit, maar dan ook echt nooit admin rechten wanneer je toegang tot email of Internet hebt.
- System hardening
30-07-2018, 12:28 door Anoniem
Wat is de naam van deze??? staat er een sample op virus total of hybrid analyses
30-07-2018, 12:46 door Anoniem
Endpoints en eindgebruikers zullen altijd doelwit blijven van criminelen, ze verzinnen altijd wel nieuwe methodes om deze te benaderen. Onderschat nooit de echte waarde van Awareness training

Zeker. Al moet men bij HRM medewerkers wel denken aan zaken als dat advies ''open geen attachments van onbekenden'', niet erg goed zal werken. Immers is het reageren op emails van onbekenden bij HRM dagelijks werk.
30-07-2018, 12:59 door Anoniem
Ik zie veel sollicitatiemails die gerapporteerd worden als mogelijke malware. Meestal is er niets aan de hand. Gebruikers letten vaak op de verkeerde zaken, zoals buitenlanders die de taal niet volledig machtig zijn, links naar online cv's, wachtwoorden op de cv, etc.

Waar men op zou moeten letten is of er sprake is van een script in PDF's of macro's in Office documenten. Executables zijn als het goed is al eerder afgevangen door een mail scanner bij bedrijven en organisaties.

Een link is in principe niet gevaarlijker* dan het bezoeken van een willekeurige site met advertenties. Er wordt ten onrechte angst opgewekt. Dat krijg je met die belachelijke adviezen die men wel eens leest waarbij ontvangers zogenaamd het bericht z.s.m. moeten verwijderen. Alsof het anders ontploft. Degene die dat bedacht heeft beseft niet dat je voor het verwijderen eerst het bericht opent in een preview, waardoor het niet minder "gevaarlijk" is. Niets doen en wachten totdat er beheerder naar komt kijken is een beter advies.

* Uitgezonderd organisaties die het doelwit zijn van "statelijke hackers". Daar gaat het vaak om zerodays, patchen en configureren helpt daarbij niet altijd.
30-07-2018, 13:16 door Anoniem
Door SecGuru_OTX: Endpoints en eindgebruikers zullen altijd doelwit blijven van criminelen, ze verzinnen altijd wel nieuwe methodes om deze te benaderen. Onderschat nooit de echte waarde van Awareness training en maximale Endpoint beveiliging.

Advies voor een goede basis:
- Awareness
- Anti Virus product
- Tweede laag Anti Malware (bv Sophos Intercept X, CylanceProtect, SentinelOne, Malwarebytes)
- App en Script whitelisting (by far het meest effectief)
- Minimale gebruikersrechten (gebruik nooit, maar dan ook echt nooit admin rechten wanneer je toegang tot email of Internet hebt.
- System hardening

overal mee eens. Ik loop alleen vreselijk stuk op whitelistning van apps.
Ik ben het er mee eens dat het een effectieve manier is om potentiële malware zaken terug te dringen, maar het is ook een vreselijk aan resource (fte) onderhevig proces. Hoe dan ook ik ga dat niet redden.

Eminus
30-07-2018, 14:06 door Anoniem
Zo'n mail zou nooit geopend moeten worden. Want wat voor zin heeft het om een CV te beveiligen en dan het wachtwoord mee te sturen in de mail. Criminelen rekenen op de domheid van hun slachtoffers?
30-07-2018, 14:27 door SecGuru_OTX
@Eminus,

Klopt, dit valt ook niet mee en kun je het beste gefaseerd aanpakken(steeds strikter).

Begin bv eerst met alleen alles onder het gebruikersprofiel en op basis van digital signature(ja is ook te omzeilen maar maakt het al vele malen veiliger).

Signeer al je eigen scripts en sta alleen deze digitale gesigneerde scripts toe. (Dmv bv Applocker of Cylance).

Blokkeer powershell console access voor niet admins.
30-07-2018, 19:51 door -karma4
Of vraag gewoon een (al dan niet beveiligd) PDF bestand.
31-07-2018, 00:47 door Anoniem
Google waarschuwt steeds om nooit wachtwoorden te versturen via webformulieren, die je opent vanuit een mail-link.
Een wachtwoord bemachtigen is dan een fluitje van een cent voor kwaadwillenden.
31-07-2018, 09:19 door Anoniem
Een link is in principe niet gevaarlijker* dan het bezoeken van een willekeurige site met advertenties.

Tenzij er een exploit kit wordt gehost op de website, die m.b.v. een mogelijke 0day (of ander niet gepatched lek) malware op je computer wordt gedropped. De link kan tot gevolg hebben dat je computer een minuut later gelocked is door ransomware.

Er wordt ten onrechte angst opgewekt

Tips voor inbraak preventie komen zeker neer op onterechte angst voor inbrekers. Niemand zegt immers dat er iemand bij je gaat inbreken.
31-07-2018, 09:38 door Anoniem
Het heeft inderdaad niet zo veel zin om HRM medewerkers te leren geen verdachte bestanden te openen omdat deze
een zeer brede collectie aan troep binnen krijgen van goedwillende sollicitanten die a-digibeet zijn.
Het is werkelijk ongelofelijk wat sommige mensen produceren als CV of sollicitatiebrief.
Je zit niet alleen met het verkeerd gebruik van programma's, maar ook met de verschillen in systemen en de manier
waarop ze documenttypen aanduiden. Dat gaat bij Apple bijvoorbeeld heel anders dan bij Microsoft. Als een appelaar
een documentje gewoon CV noemt en dan mailt, dan weet een Windows computer niet wat ie er mee moet.
(zou in theorie goed moeten gaan als je het juiste MIME type bij het attachment hebt maar in de praktijk werkt dat niet)

Gevolg is dat HRM medewerkers die niet iedere 5 minuten bij de IT helpdesk langs willen gaan zelf de nodige truukjes
leren en daarmee zichzelf kwetsbaarder maken voor dit soort dingen. En wat doe je eraan?

Je zou kunnen denken het mailprogramma moet in een aparte omgeving draaien waarin het filesysteem niet te benaderen
is (zodat malware in een mail niet de voor die gebruiker toegankelijke andere bestanden kan infecteren) maar hoe ga
je dan attachments opslaan en toevoegen in mails zonder weer een extra hoepel te creeren waar ze doorheen moeten
springen en die ze na een tijdje als truukje kennen en niet meer kritisch bekijken?

Standaard maatregelen zoals Applocker/Software policies gebruiken om executables te verbieden in het user profiel
pas je uiteraard wel toe, maar of dat afdoende is? het is in ieder geval een 1e horde die veel malware (nog) niet
weet te nemen.
31-07-2018, 19:02 door SecGuru_OTX
Hier een hele mooie analyse.

https://www.proofpoint.com/us/threat-insight/post/new-version-azorult-stealer-improves-loading-features-spreads-alongside
01-08-2018, 06:08 door Anoniem
Door Anoniem:
Een link is in principe niet gevaarlijker* dan het bezoeken van een willekeurige site met advertenties.

Tenzij er een exploit kit wordt gehost op de website, die m.b.v. een mogelijke 0day (of ander niet gepatched lek) malware op je computer wordt gedropped. De link kan tot gevolg hebben dat je computer een minuut later gelocked is door ransomware.

Mijn uitspraak klopt 100%.

Wat jij zegt is niet van toepassing, maar ik wil wel happen. In werkelijkheid gebeurt besmetting via een zero day lek hoogst zelden en dan nog met name bij bepaalde APT doelen, zoals ik al aangaf.

Overigens, de term een zero day gebruik je in dit verband vooral bij vulnerabilities en toepasselijke exploits.

Er wordt ten onrechte angst opgewekt

Tips voor inbraak preventie komen zeker neer op onterechte angst voor inbrekers. Niemand zegt immers dat er iemand bij je gaat inbreken.

Dat is een onjuiste vergelijking. Bijna ieder pand staat bloot aan inbraak. Het is een kwestie van tijd (slechts 1-10 minuten in 99% van de gevallen) voordat iemand binnen staat bij jouw woning. Dat is niet zo als je gewoon beveiligingupdates installeert. Nog steeds onstaan veel besmettingen door gebruikers en niet door exploits voor beveiligingslekken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.