Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

Onderzoek van Juan Andrés Guerrero-Saade, een werknemer bij Kaspersky, heeft een mogelijk verband blootgelegd tussen de Sony-hack van december 2014 en andere aanvallen op een Zuid-Koreaanse kerncentrale en op Samsung, dat ook in dat land gevestigd is.

Het nieuws blijkt uit een uitgebreid verslag van de Kaspersky Security Analyst Summit van 7 februari, geschreven door Wired. Volgens Guerrero-Saade zijn er bij de aanvallen op de Zuid-Koreaanse kerncentrale en Samsung in respectievelijk december 2014 en oktober 2015 sporen ontdekt die overeenkomsten tonen met de sporen die gevonden zijn bij Sony nadat dat gehackt was. De onderzoeker spreekt ervan dat de hackers dezelfde code, wachtwoorden, user agent list en zelfs dezelfde typefouten vertoonden. Ook is hun code in het Koreaans.

De onderzoekers wisten met hun zoekwerk meerdere malware-families in kaart te brengen, maar hadden daarmee geen verband met de Sony-hackers gevonden. Pas op het moment dat Kaspersky ontdekte dat exact dezelfde dropper gebruikt werd voor verschillende malware-families, konden ze verbanden gaan leggen tussen de aanvallen op onder andere Sony, Samsung en de Zuid-Koreaanse kerncentrale. De gemeenschappelijke dropper bleek namelijk in alle gevallen beveiligd te zijn met hetzelfde wachtwoord.

Naast de gemeenschappelijke dropper blijken de hackers ook meermaals dezelfde technieken te gebruiken om hun sporen achter zich uit te wissen. Zo gebruiken de hackers een .bat-bestand dat alle bestanden die bij de hack gebruikt worden, uitwist. Daaropvolgend verwijdert dit bestand ook zichzelf om het uitwissen van de sporen af te ronden. Hoewel de bestanden zelf wellicht definitief weg zijn, blijft het bewijs van het bestaan van het .bat-bestand genoteerd in de logboeken van de geïnfecteerde machines. Hier konden de onderzoekers zich ook op richten.

Guerrero-Saade overweegt een paper te publiceren met zijn bevindingen over het onderwerp, maar zegt terughoudend te zijn omdat hij niet te veel over zijn ontwikkelde methodes wil prijsgeven. Hoe meer de hackers weten van de kennis van Kaspersky, hoe meer ze zich geroepen zullen voelen om hun methodes te veranderen. Guerrero-Saade noemt de hackers 'The Interviewers', wat een verwijzing is naar de door Sony uitgegeven film The Interview, die zich in Noord-Korea afspeelt. Desalniettemin weigert de onderzoeker om definitief Noord-Korea als verantwoordelijke aan te wijzen, ook al is Noord-Korea de grootste vijand van Zuid-Korea. Op dit moment houdt hij zich alleen bezig met het onderzoeken van de methodiek van de hackers en niet wie ze zijn en waar ze vandaan komen. Hij sluit niet uit dat verder onderzoek verbanden zal onthullen met hacks die niet gericht zijn op Zuid-Korea. De Amerikaanse FBI was bijna direct al overtuigd van de betrokkenheid van Noord-Korea bij de Sony-hack.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (31)

Typisch gevalletje van een boze noord koreaan die opdracht gaf om nav de film zuid korea en sony aan te pakken. Mocht het een andere club zijn die zich alleen als zodanig voordoet dan is dat een zeer gesophisticeerde actie geweest ,wat we (voor zover ik weet) nog nooit eerder hebben gezien.

Alle MS-Dos command reacties hierboven => off topic. :F
oldscool bat bestanden, damn dat is nog uit mijn jeugd.
ik weet nog goed dat in je autoexec.bat beter geen zin kon staan als
deltree c:\
Y
Als je taken wil automatiseren is bat nog altijd een veelgebruikt formaat. Het is snel, eenvoudig en leesbaar. Dus als je gewoon wat commandos wil uitvoeren, zonder inputs, condities,... En er anderzijds geen stringente beveiliging noodzakelijk is, is bat imho nog steeds een te rechtvaardigen keuze.
Wat betreft dit onderzoek, vind ik het een beetje vreemd (of onduidelijk) hoe men wel achter het bestaan en zelfs de inhoud van het batch bestand konden komen, maar niet van de andere bestanden. Uiteindelijk wordt noch het bestaan noch het uitvoeren van een bestand default gelogd. Dus was er wel wat van auditing of logging geconfigureerd maar niet voor alle folders, of de verwijderde bestanden werden extreem goed beschermd tegen forensische methodes.
Zijn er niet altijd nog wel wat sporen van de fysieke harde schijf af te vissen? Toen ik het artikel las dacht ik: het .bat-bestand verwijdert al hun andere bestanden en overschrijft deze wellicht vaak genoeg om niet meer te achterhalen te zijn, en kan dat misschien niet met zichzelf doen, zodoende dat het .bat-bestand net iets makkelijker terug te halen is?
Dat is mogelijk. Al is het veilig verwijderen van enkele bestanden ondoenbaar met enkel bat. Het veilig verwijderen van zo'n verwijdertool is even (weinig) complex als van het bat bestand.

Ook is disklevel recovery van verwijderde bestanden niet gemakkelijker op disk arrays en spreekt het artikel over sporen in de logboeken. Security logs, antiviurus logs of zelfs fim en transactie logs zijn dus waarschijnlijker ;)

[Reactie gewijzigd door the_stickie op 14 februari 2016 12:25]

. Uiteindelijk wordt noch het bestaan noch het uitvoeren van een bestand default gelogd. Dus was er wel wat van auditing of logging geconfigureerd
Process Auditing op 2008R2 en hoger logt ook de command line van het gestarte process.
Klopt. Maar 'audit process creation' staat default niet aan. En als het aanstond, moet er meer info te vinden zijn dan alleen over dat bat bestand. Immers wordt dan elk proces dat start gelogd.
Anyway, zonde meer info zijn dat soort dingen alleen maar open voor speculatie.

[Reactie gewijzigd door the_stickie op 13 februari 2016 16:58]

Wie weet stond er gewoon nog een verwijzing in het Recent Files register
Simpel maar goed. Niets mis mee. Beter dan een console applicatie in .NET waarbij je eerst het .NET Framework moet installeren op de gehackte server.
Dan wel eerst even
@echo off
attrib -H -S -R c:\*.* /S /D
doen hé :z

@daan.timmer:

Was als reactie op sprikkel25, attrib (afgekort voor attributes), verwijderd (of voegt toe) attributen in dos, zoals Hidden (-H), System (-S) of Read-Only (-R).
"c:\*.*" doet dat voor alle (wildcard *.*) bestanden op schijf c:\.
/S voor alle bestanden in Subdirectories, en /D ook de Directories zelf
Zodat je daarna alle rechten op alles op c:\ hebt om ook echt álles te kunnen deleten.

Toegegeven:
@echo off
Format c:\ /q /u /x (format c:\ /q (quick) /u (unconditional) /x (dont ask permission)
werkt beter en sneller
;)

[Reactie gewijzigd door zion op 13 februari 2016 12:48]

Ik heb werkelijk geen idee wat dat doet, echter als ik daar op zoek dan krijg ik wel beetje vreemde resultaten:

https://www.google.nl/sea...+-R+c:%5C*.*+%2FS+%2FD%22
[/quote]attrib -H -S -R[/quote]
-H Maakte bestanden die verborgen waren weer zichtbaar.
-S Haalde de system flag van opstart bestanden e.d. weg.
-R Haalde de readonly flag weg.

/S en /D waren dacht ik ook op subdirectry's en onderliggende directory's (recursive).

Als je daarna even deltree /Y c::\ deed was het al vaak te laat om met CTRL-C het verwijderen te onderbreken, systeembestanden waren dan veelal al verwijderd :)


Damn.... goeie ouwe tijd ! :D
Wat is het nou? Wat is nou de goeie code om uit te voeren?
Voorzover ik mij kan herinneren is de werking anno 2016 (in Windows 7, 8 en 10) niet anders dan in het dos tijdperk. Ook in Windows kun je het commando nog altijd gebruiken, met /? krijg je dan:
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I]
[drive:][path][filename] [/S [/D] [/L]]

+ Sets an attribute.
- Clears an attribute.
R Read-only file attribute.
A Archive file attribute.
S System file attribute.
H Hidden file attribute.
I Not content indexed file attribute.
X No scrub file attribute.
V Integrity attribute.
[drive:][path][filename]
Specifies a file or files for attrib to process.
/S Processes matching files in the current folder
and all subfolders.
/D Processes folders as well.
/L Work on the attributes of the Symbolic Link versus
the target of the Symbolic Link
Dus de opbouw en uitleg eerder, kloppen :)
attrib laat je de read/write setting veranderen.

-H verwijderd de Hidden-attribute. Alle bestanden worden zichtbaar
-S maakt ook de System files zichtbaar
-R verwijderd Read-Only en maak bestanden toegangkelijk

c:\*.*betekend dat je bovenstaande attributes wilt toepassen op alles op de C:\ schijf

/S Doet datzelfde ook in alle subfolders van C:\

Dit komt van een Google actie, ymmv. /D heb ik niet kunnen opduiken....?

[Reactie gewijzigd door Ducksy88 op 13 februari 2016 12:48]

Daarom is het goed om niet onnodig met beheersrechten te werken. Dan lukt dit niet.
format c: /autotest werkte echt prima in het Windows 9x tijdperk in de autoexec.bat
BAT-bestanden worden nog steeds gebruikt, niks mis mee.
Daar is inderdaad niks mis mee. De laatste tijd gebruik ze weer dagelijks. Liep vandaag echter tegen een probleempje aan dat aangeroepen executables via een batchfile uit 1991 niet meer goed werken in 64 bit win8.1. Nou ja, onder 32 bit XP wel dus we kunnen door.. ;)
Want om een command prompt script uit te voeren heb je per definitie DOS nodig? Het is niets meer dan een lijst met commando's die je over het algemeen ook rechtstreeks kunt intypen. Waarschijnlijk werkt het niet eens onder het oude DOS omdat de shell zelf gewoon is doorgeëvalueerd. Volgens mij waren dingen als for-lussen niet mogelijk.

[Reactie gewijzigd door .oisyn op 13 februari 2016 11:21]

Oh zeker wel. Bv voor alle files met masker blabla doe zusenzo waarbij je de file van het moment als parameter kan meegeven. Ook wel eens gedaan om bv alle batch files in een dir uit te voeren. Of om alle files met copy en het + teken (yup kan ech) in één file te concateneren.

Edit: voorbeeldje
for %%a in (..\eendir\mask*.sql) do call ..\anderedir\execsql %%a

Dit heb ik trouwens laatst ff snel op een Win 2012 server in een .cmd geklond. Heb mijzelf nooit verdiept in powershell.

[Reactie gewijzigd door mindcrimemike op 13 februari 2016 13:02]

Ik heb rijkelijke ervaring met windows batch scripts ;). Mijn punt was juist dat die constructies in het oude DOS niet werkten, omdat de shell in de loop de tijd gewoon extra features heeft gekregen. En het niet zo is dat "DOS nog steeds draait in 2015".
Die for heb ik voor het eerst rond 1990 gebruikt. Wellicht iets eerder. DOS 6.x? Geloof niet dat dat toen echt een nieuwe feature was. Laatst weer eens uit de kast getrokken dus.
Je kon met goto een loop maken.
Even uit mijn hoofd, het is alweer een lange tijd geleden:
GoHere:
<< Commando >> %1
<< Commando >> %2
goto GoHere.
Windows komt vandaag met 2 command interpreters: cmd.exe en powershell. cmd.exe is gebasseerd op het oude command.com en kent vele van dezelfde basis commando's. Powershell kan ook overweg met die commandos (voert ze waarschijnlijk gewoon uit met cmd) en kent een hele hoop nieuwe commandlets.
Nee. PowerShell heeft aliassen van de oude command prompt commando's. Dir, ls (unix equivalent) en get-childitem (of gci) doen allemaal hetzelfde.
Op de achtergrond / onderste laag wel idd. Het is wel zo dat get-childitem een ander resultaat in het script teruggeeft. Naar mijn idee beter te gebruiken ook.
DOS = Disk Operating System
MS-DOS toch?? dat was de main stream versie, samen met OS/2 en win 1.0

Op dit item kan niet meer gereageerd worden.



Samsung Galaxy S7 edge Athom Homey Apple iPhone SE Raspberry Pi 3 Apple iPad Pro Wi-Fi (2016) HTC 10 Hitman (2016) LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True