Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 28, views: 31.680 •

Beveiligingsfirma Kaspersky heeft voor de eerste maal malware voor 64bit-Windows-systemen ontdekt die gebruik maakt van een geldig certificaat. De betreffende Trojan zou door een groep Chinese criminelen zijn ontwikkeld en gericht zijn op gamedevelopers.

Kaspersky Lab meldt op zijn site dat het in de herfst van 2011 een onderzoek begon naar een trojan nadat gamers waren besmet via een update van een populaire online game. Hoewel eerst de spelontwikkelaar werd verdacht van spionageactiviteiten bleek later dat de malware juist gericht was op de gamedeveloper en per ongeluk werd verspreid. De malware bleek te bestaan uit een dll-bibliotheek die geschikt is voor 64bit-Windows en bovendien voorzien is van een geldige handtekening. De trojan gaf een aanvaller toegang tot een besmet systeem via een remote administration tool.

Volgens Kaspersky was de betreffende dll de eerste malware voor 64bit-Windows die van een geldige handtekening is voorzien. Het certificaat zou afkomstig zijn van de Zuid-Koreaanse gamedeveloper KOG. Op verzoek van het beveiligingsbedrijf trok VeriSign het betreffende certificaat snel in.

Uit een analyse van de malware bleek volgens Kaspersky dat een Chinese criminele hackersgroepering achter de malware zat. De groep, die Winnti werd genoemd, bleek bovendien meerdere malen geldige certificaten gebruikt te hebben bij aanvallen. Deze waren vrijwel altijd gericht op softwarebedrijven en dan met name spelontwikkelaars. Volgens Kaspersky zouden de criminelen met de malware bijvoorbeeld virtueel geld in games hebben kunnen manipuleren maar ook gepoogd hebben om broncode van games in handen te krijgen. Daarnaast denkt het beveiligingsbedrijf dat Winnti nog steeds actief is op internet en actief kennis en code uitwisselt met andere Chinese hackersgroepen.

Ongeldige certificaten

Reacties (28)

Kan iemand uitleggen waarom het bijzonder is dat dit voor 64 bit systeem is gebeurd (blijkbaar in tegenstelling tot een 32 bit systeem)?

edit: typo

[Reactie gewijzigd door unglaublich op 11 april 2013 17:18]

Op een 32-bit systeem kun je makkelijker "unsigned" spul draaien, op een 64-bit systeem moeten zaken als drivers e.d. "signed" zijn, oftewel voorzien van een certificaat om de echtheid/maker als het ware te garanderen.
Meer leesvoer.
Daarnaast beschikt de 64-bit versie van Windows over Patchguard, wat het knoeien met de Windows kernel een stuk lastiger maakt. De meeste computers waar standaard Windows 7 op staat, draaien de 64-bit versie.
Oh kijk aan, dat is een interessant verschil. Ik wist helemaal niet dat er werkelijk grote verschillen tussen deze twee Windows versies waren behalve dat er meer geheugen geadresseerd kon worden.
@return _invoice: in dat artikel gaat het om drivers, ik kan in het stuk hierboven niet vinden dat het om een driver gaat maar zo te zien om een normale library. (en die hoeft helemaal niet per se gesigned te worden)
De 64 API is cleaner met meer restricties waardoor het moeilijk moet zijn voor malware, terwijl in de 32-bit API nog een aantal legacy zaken zitten.

Overigens is malware met een geldig certificaat altijd lastig tegen te houden.
Op een 64bit windows systeem dienen drivers die ingrijpen op het systeem getekend worden met een geldig SSL certificaat. Je kan zo een certificaat wel kopen, maar dan is de malware ook naar U terug te herleiden. Hier zal dus gebruik gemaakt zijn van een gestolen certificaat, en als er meer zulke certificaten in het wild beginnen voorkomen kan dat een echt probleem worden voor de veiligheid van windows.
of een selfsigned certificaat toevoegen aan de certificate store van windows... ik heb nog 3rd party drivers dat zien (proberen) te doen om rond de signed driver requirement te raken...
Dan kun je toch dat certificaat intrekken en die wijziging via een gewone windows update uitrollen?
Het is een wilde gok, maar omdat 32 bits malware op zowel 32 als 64 bits versies werkt.
Terwijl deze 64bits versie alleen op 64 bits werkt.

Waardoor het normaalgesproken effectiever zou zijn om alles op 32 bits te bouwen.

[Reactie gewijzigd door MadMike261 op 11 april 2013 17:20]

Dat klinkt niet ongeloofwaardig. Wel vreemd dat het zo wordt aangehaald in de titel en iinleiding maar daarna niet meer wordt besproken.
64-bit maakt van betere beveiliging gebruik, zie bij bijvoorbeeld drivers zonder handtekening die je moeilijker op 64-bit geinstalleerd krijgt.
Helaas zijn er toch nog veel dreigingen waar Windows 64-bit mee te maken heeft. En van de features is de WOW64, wat staat voor Windows On Windows 64. Het emuleert een 32-bit Windows omgeving, om zo bepaalde software toch nog te kunnen draaien. Handig voor applicaties die niet met 64-bit compatibel zijn, maar het geeft ook kwaadaardige code de mogelijkheid om schade aan de computer aan te richten. De impact is echter beperkt, aangezien ze in een geemuleerde omgeving draaien en niet de 64-bit processen kunnen zien.
Ehm, ik kan met 32-bit programma's gewoon bij de gegevens van draaiende 64-bit processen (en er een kill op afvuren als ik dat wil).
tuurlijk kan je dat, maar je kan niet ingrijpen op de kernel, je kan geen 32bit drivers laden en dergelijke meer. Drivers moeten 64bit zijn en kernel mode drivers (die toegang willen tot de kernel) moeten ondertekend zijn.
Aha, dus daar komt al het Diablo 3 gold dus vandaan..

Het is overigens best slim om op die manier geld proberen te verdienen.

Bij het genereren van echt geld ligt fraude al snel voor de hand, maar door dit toe te passen op ingame currency en dat vervolgens te verkopen zit er toch nog die extra laag tussen waar je jezelf achter kunt verschuilen.
je haal diablo 3 aan, maar ik denk dus ook idd dat het gerust blizzard kan zijn die hier bedoeld word. ik kreeg nooit spam mail op mijn gmail account wat ik gebruikte voor wow. tot ik voor half jaar terug na 2 jaar mijn account weer upgrade en 2 maanden gespeeld heb. ik had in 1 week tijd denk 20 mailtjes op dat account.
Enigzins oftopic maar Ik vroeg mij dit ook al eens af waar al die spam mail wegkwam alleen maar Blizzard, WoW, Diablo en dergelijke gericht. Verder geen SPAM 8)7
De aanval zou gericht zijn op gamedevelopers.

Wat voor voordeel heeft de overheid bij zo'n actie?
Spionage in 't buitenland in het algemeen.

Het artikel noemt al 1 van de belangrijke zaken op: source code.
De vraag is hoe ze aan het certificaat zijn gekomen. Kunnen ze die zelf maken (is de code gebroken) of hebben ze een certificaat gestolen van een trusted CA?
Kunnen ze zelf maken. Certificaten zijn gebaseerd op 2048 bits RSA. Je mag veronderstellen dat de Chinese NSA equivalent dat zelf kan factoriseren. Idemdito Iran en alle andere wat grotere naties.

RSA valt onder public key encryptie.

Factorisatiesoftware die meer dan 512 bits kan factoriseren is op papier een weapon of mass destruction met dezelfde celstraffen als op WMD's staan. Dat is natuurlijk papier let wel.

Zie www.wassenaar.org voor de internationale afspraken daar. China heeft dat niet getekend overigens. Rusland wel.
Stelen is een stuk makkelijker dan kraken.
Snelheid is belangrijker dan wachten tot je het gejat hebt. Kijk dat factoriseren gaat vrij snel, want die factorisatiehardware/software (we weten niet hoe ze 't oplossen) staat wel klaar. Ze willen natuurlijk liefst al hacks in de release inbrengen bij dat bedrijf, zodat de releases van de games in kwestie deurtjes cq faciliteiten hebben die zij willen.

Dus snelheid is alles dan. Wachten tot 1 van je consultants daar als schoonmaker binnenkomt of als werknemer, dan ben je te laat mogelijk.

p.s. ze gaan soms heel ver daarmee. Bij het producen van een game kon ik gewoon bepaalde filesystem related datastructures die ik nodig had - ik hoefde richting India alleen de specs te geven. De code kreeg ik gratis als module aangeleverd (dus SOURCE CODE) en wel binnen 2 weken - het was ongelooflijk. Dit jaren voor de release...

Alle grote naties zijn hier actief in. Ze verzinnen wel een methode om binnen te komen in je spel. De grootste hacks zijn altijd via het filesysteem. Let ook eens op hoeveel Russen actief zijn in filesystems projecten. Er zit er altijd wel minimaal 1 in.

[Reactie gewijzigd door hardwareaddict op 12 april 2013 00:18]

Jaja internet criminaliteit gaat nog eens groter worden dan fysieke irl criminaliteit. Mark my words...
Wat de grootte van internet-criminaliteit betreft, vergeleken met IRL-criminaliteit:
Het zou best kunnen dat dat nu al zover is. Kijk alleen maar hoeveel verschillende soorten virussen , malware, telefoon-scams, enzovoorts, er al zijn.
Zo lang ze zo moeilijk te pakken zijn, zal het alleen maar erger worden.

Ik vraag me trouwens af wat de feitelijke gegevens van deze trojan zijn. En de naam van de administration-tool die besmet wordt. Lijkt me belangrijk te weten om besmetting te voorkomen.

[Reactie gewijzigd door Hanterp op 12 april 2013 13:25]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013