image

Microsoft detecteert usb-worm op computers van zo'n duizend bedrijven

vrijdag 28 oktober 2022, 10:10 door Redactie, 14 reacties

Microsoft heeft de afgelopen maand een usb-worm die tot ransomware-infecties kan leiden op drieduizend computers van zo'n duizend organisaties gedetecteerd. De usb-worm kan zich mede verspreiden omdat organisaties AutoRun inschakelen, een functie die vanwege beveiligingsredenen standaard in Windows voor usb-sticks staat uitgeschakeld. Dat laat Microsoft in een analyse weten.

De worm wordt Raspberry Robin genoemd en kan zich op twee manieren verspreiden. De eerste manier is het gebruik van malafide lnk-bestanden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick of hebben de naam van een usb-stickfabrikant. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd.

De tweede gebruikte methode is het gebruik van AutoRun. Via deze functionaliteit kan software op bijvoorbeeld usb-sticks automatisch worden gestart zodra het apparaat wordt aangesloten. Jaren geleden werd AutoRun op grote schaal gebruikt voor de verspreiding van malware via usb-sticks. Microsoft besloot daarop de functionaliteit te beperken, zodat die standaard niet voor usb-sticks werkt. Veel bedrijven schakelen AutoRun echter in voor usb-sticks, zo claimt Microsoft.

Eenmaal actief voegt Raspberry Robin een registersleutel toe zodat de malware bij elke start van het systeem wordt geladen. Vervolgens kan de usb-worm aanvullende malware installeren. Ook gebruiken ransomwaregroepen de toegang die Raspberry Robin biedt om vervolgens binnen de getroffen organisatie ransomware uit te rollen. Zo hebben verschillende infecties met de usb-worm geleid tot besmettingen met de beruchte Clop-ransomware. Om de dreiging tegen te gaan adviseert Microsoft om AutoRun niet voor usb-sticks en andere schijven in te schakelen en onvertrouwde en ongesigneerde processen vanaf usb-sticks te blokkeren.

Reacties (14)
28-10-2022, 11:26 door Anoniem
Bedrijven die niet hun AppLocker geconfigureerd hebben om executables buiten de C:\Windows en C:\Program Files* directories te blokkeren die roepen de ellende ook wel over zichzelf af!
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.
28-10-2022, 14:45 door Anoniem
Door Anoniem: Bedrijven die niet hun AppLocker geconfigureerd hebben om executables buiten de C:\Windows en C:\Program Files* directories te blokkeren die roepen de ellende ook wel over zichzelf af!
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.

Je roept een hoop werk op je af door het op die manier te doen. Een combinatie van developers die veel van binaries zullen wisselen en applicaties die in de userprofile neergezet worden (om Teams maar gewoon te noemen) maken het een draak om te beheren.
28-10-2022, 15:46 door Anoniem
Door Anoniem: Bedrijven die niet hun AppLocker geconfigureerd hebben om executables buiten de C:\Windows en C:\Program Files* directories te blokkeren die roepen de ellende ook wel over zichzelf af!
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.

Hoe werkt die applocker dan met network drives? Daar staat toch het belangrijkste niet op je werkstation. Als je die app store rommel blokkeert doet niet eens je foto viewer het meer. Een en al rommel dat microsoft.
28-10-2022, 15:57 door Anoniem
Teams kun je ook gewoon in Program FIles installeren hoor...
En tegenover het werk wat je op je af roept staat een onnoemelijke hoeveelheid werk (en ellende) die je bespaart!
28-10-2022, 17:50 door Anoniem
Door Anoniem:
Hoe werkt die applocker dan met network drives? Daar staat toch het belangrijkste niet op je werkstation. Als je die app store rommel blokkeert doet niet eens je foto viewer het meer. Een en al rommel dat microsoft.
Applocker heeft een lijst van wel/niet toegestane paden van executables.
Als je het (in mijn idee niet zo slimme) beleid hebt om executables op een networkdrive te zetten, dan kun je het UNC
pad naar die drive opnemen in de allow lijst.
Echter meestal "installeer" je software op de werkstations, dwz in Program Files of Program Files (x86) en hoef je alleen
die paden (plus Windows) in de allow te zetten en de rest in de deny.
28-10-2022, 20:49 door Anoniem
Door Anoniem: Bedrijven die niet hun AppLocker geconfigureerd hebben om executables buiten de C:\Windows en C:\Program Files* directories te blokkeren die roepen de ellende ook wel over zichzelf af!
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.
Netwerk drivers, c:\oracle clients.... Misschien niet het beste advies?

Door Anoniem: Teams kun je ook gewoon in Program FIles installeren hoor...
En tegenover het werk wat je op je af roept staat een onnoemelijke hoeveelheid werk (en ellende) die je bespaart!
Drama in beheer....

Maar je kunt ook gewoon teams in de user directory toestaan, eventueel met certificaten whitelisting.
30-10-2022, 11:18 door Anoniem
Applocker wordt door Microsoft niet meer in geinvesteerd.
De nieuwe methode welke Microsoft nu adviseert is WDAC (Windows Defender Application Control)

Zie hier recente Ignite 2022 video met demo:
https://www.youtube.com/watch?v=gQ_mHkdriYQ

Hier Microsoft Docs:
https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/

Beheer:
Ja je moet dit beheren, maar ook monitoren, security kost inderdaad tijd en geld, maar kost mogelijk uiteindelijk meer als je niets doet.
30-10-2022, 19:25 door Anoniem
Door Anoniem:
Door Anoniem: Bedrijven die niet hun AppLocker geconfigureerd hebben om executables buiten de C:\Windows en C:\Program Files* directories te blokkeren die roepen de ellende ook wel over zichzelf af!
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.

Hoe werkt die applocker dan met network drives? Daar staat toch het belangrijkste niet op je werkstation. Als je die app store rommel blokkeert doet niet eens je foto viewer het meer. Een en al rommel dat microsoft.
Een netwerkdrive hoort alleen lezen en/of schrijven rechten te geven
31-10-2022, 10:16 door Anoniem
WTF gisteren heeft dus dat #$%#$% defender een batch file van het netwerk gedelete, en op geen enkele wijze terug te krijgen, een die domme command line tool genereerd een een of andere error, zodat je niet een lijst kunt genereren van wat er allemaal verwijdert is. Wat een !@#$!@#$!@#$ bedrijf.

De EU moet eisen gaan stellen aan waaraan een geleverd OS moet voldoen.
31-10-2022, 12:05 door Anoniem
Door Anoniem: WTF gisteren heeft dus dat #$%#$% defender een batch file van het netwerk gedelete, en op geen enkele wijze terug te krijgen, een die domme command line tool genereerd een een of andere error, zodat je niet een lijst kunt genereren van wat er allemaal verwijdert is. Wat een !@#$!@#$!@#$ bedrijf.

De EU moet eisen gaan stellen aan waaraan een geleverd OS moet voldoen.
Als jij de enige bent, wie dit overkomt, ligt het NIET aan het OS, maar aan de persoon achter het toetsenbord!
31-10-2022, 15:34 door Anoniem
Door Anoniem: Bedrijven die niet hun AppLocker geconfigureerd hebben om executables buiten de C:\Windows en C:\Program Files* directories te blokkeren die roepen de ellende ook wel over zichzelf af!
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.
Applocker werkt alleen nog op Windows Enterprise, iets wat veel MKB bedrijven en kleine zelfstandigen niet gebruiken.

Best wel vervelend om te zien dat Microsoft niets wil doen aan de fundamentele problemen in Windows en de lapmiddelen achter bepaalde licenties en abonnementen verstopt.
31-10-2022, 16:28 door Anoniem
Door Anoniem:
Door Anoniem: WTF gisteren heeft dus dat #$%#$% defender een batch file van het netwerk gedelete, en op geen enkele wijze terug te krijgen, een die domme command line tool genereerd een een of andere error, zodat je niet een lijst kunt genereren van wat er allemaal verwijdert is. Wat een !@#$!@#$!@#$ bedrijf.

De EU moet eisen gaan stellen aan waaraan een geleverd OS moet voldoen.
Als jij de enige bent, wie dit overkomt, ligt het NIET aan het OS, maar aan de persoon achter het toetsenbord!

Jij hebt duidelijk geen logica gestuurd. Dan bewijs je iets als in de n en n+1 situatie, als het dan 1 keer niet goed gaat klopt je bewijs niet. Maar buiten dat, wist je waarschijnlijk ook niet dat er microsoft forums bestaan, waar legio van dit soort situaties gerapporteerd worden.
31-10-2022, 18:43 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: WTF gisteren heeft dus dat #$%#$% defender een batch file van het netwerk gedelete, en op geen enkele wijze terug te krijgen, een die domme command line tool genereerd een een of andere error, zodat je niet een lijst kunt genereren van wat er allemaal verwijdert is. Wat een !@#$!@#$!@#$ bedrijf.

De EU moet eisen gaan stellen aan waaraan een geleverd OS moet voldoen.
Als jij de enige bent, wie dit overkomt, ligt het NIET aan het OS, maar aan de persoon achter het toetsenbord!

Jij hebt duidelijk geen logica gestuurd. Dan bewijs je iets als in de n en n+1 situatie, als het dan 1 keer niet goed gaat klopt je bewijs niet. Maar buiten dat, wist je waarschijnlijk ook niet dat er microsoft forums bestaan, waar legio van dit soort situaties gerapporteerd worden.
Wat een boel aannames!
01-11-2022, 15:46 door Anoniem
Microsoft kan dit patchen door autorun te verwijderen. Waarom doen ze dat niet?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.