Verdachte .dll-bestanden Nexus Mods wijzen op mogelijke databasehack

De database van Nexus Mods, een populaire website met modificaties voor spellen als Fallout 4 en Skyrim, is mogelijk gehackt. Een beveiligingsbedrijf maakt die claim en aan drie mods is een onbekend .dll-bestand toegevoegd, maar de auteurs van die mods zeggen van niets te weten.

Nexus Mods-beheerder Dark0ne zegt dat hij niet volledig zeker is of een hacker heeft weten binnen te dringen in de database van de website, die meer dan tien miljoen gebruikers telt. Hij zegt op de hoogte gesteld te zijn door een Redditgebruiker die hem een e-mail toonde van IT-securitybedrijf Ren-Isac. Dat meldt aan enkele universiteiten, die klant zijn van het bedrijf, dat de beveiliging bij Nexus Mods ontoereikend is. Ook staat in de e-mail dat 'de e-mails en een wachtwoord [sic] staan op het internet in het criminele circuit'.

Nexus Mods logo

De beheerder van Nexus Mods stelt dat de e-mail weinig concreet is, maar dat tegelijk in de afgelopen dagen een verdacht .dll-bestand aan enkele Fallout 4-mods is toegevoegd. Het gaat om de Fallout 4-mods 'BetterBuild', 'Rename Dogmeat' en 'Higher Settlement Budget'. Het verdachte bestand, dsound.dll, is aan de mods toegevoegd op respectievelijk 29 november, 4 december en 5 december. De auteurs van de betreffende mods ontkennen echter dat zij het bestand hebben toegevoegd. Hoewel VirusTotaal geen melding van een virus geeft bij het bestand, blijft de aanwezigheid van een vreemd .dll-bestand zeer verdacht.

Hoewel het dus niet volledig vaststaat dat een hacker een kopie van de database van Nexus Mods in handen heeft, neemt Dark0ne het zekere voor het onzekere. Gebruikers worden aanbevolen om hun wachtwoorden te veranderen en om deze complex genoeg te maken. Bovendien waarschuwt hij dat als er een hacker is die de database in handen heeft, het lek dat hij heeft weten uit te buiten ook nog niet dicht is. De wachtwoorden worden salted en hashed opgeslagen op de Nexus Mods-servers. De betalingsgegevens voor premium-accounts worden apart afgehandeld door PayPal, dus die zijn niet in gevaar. Dark0ne meldt ook dat aangescherpte eisen voor wachtwoorden en tweetrapsauthenticatie eraan komen.

Vorig jaar wist een hacker een trojan toe te voegen aan een populaire mod voor The Elder Scrolls V: Skyrim. Op die manier wist hij meerdere gebruikersaccounts en mods te infecteren. Dat ging toen echter om een inbraak bij een individuele gebruiker en niet de server van de website. Hoewel de site 14 jaar oud is, hebben ongeveer de helft van de tien miljoen gebruikers in de afgelopen drie jaar een account aangemaakt. De release van Fallout 4 heeft volgens Dark0ne flink bijgedragen aan de explosieve groei van de website.

Reacties (41)

GravityDX 7 december 2015 10:15

Ik heb op google een beetje rond zitten zoeken, en het schijnt dat meer spellen 'dsound.dll' hebben o.i.d.
Als ik op google 'dsound.dll' intyp, komen er spellen als GTA4, GTA5, Witcher 3 er achter aan.

edit: zo ver ik zie zijn het mods die dsound.dll nodig hebben, voor GTA 4 is het een loader.

[Reactie gewijzigd door GravityDX op 24 juli 2024 23:52]

Anoniem: 647586 @GravityDX • 7 december 2015 10:32

Je kan beter de hash, bestandgrootte of iets dergelijks nakijken dan enkel de naam.
Het gebeurt vaak dat men een trojan de naam geeft van een legitieme driver of programma.

HerrPino @GravityDX • 7 december 2015 10:25

Aals iemand een virus of trojan zou schrijven dan zou deze persoon natuurlijk geen .dll met de naam virus.dll of trojan.dll neerzetten maar deze .dll een naam geven welke niet direct op zou vallen. Zelfs de namen van de functies binnen die dll zou je hier voor aanpassen, voor het geval dat iemand de .dll iets beter zou bekijken.

GravityDX @HerrPino • 7 december 2015 10:27

Dat is dan ook wel weer een punt. Tis dan alleen apart dat VirusTotal niets er over zegt, of ik mis iets, mocht dat zo zijn, mijn excuus.

nst6ldr @GravityDX • 7 december 2015 11:13

Over het algemeen wil je inderdaad je payload aanpassen (lees: met nieuwe parameters compileren, of versleutelen) zodat de resulterende signature niet bekend is bij virusscanners. Helemaal als je een aanval uitvoert wil je niet dat deze in de beginfases al mislukt omdat je verouderd spul gebruikt.

mad_max234 @GravityDX • 7 december 2015 11:53

VirusTotal moet zelf eerst de virus toevoegen aan hun database voordat deze herkend word, virusscanners herkennen alleen virussen die reeds bekend zijn, ze herkennen of gedrag van virussen of domweg het bestand zelf.

Marcelloz @GravityDX • 7 december 2015 10:20

dsound.dll is een bestand van DirectX, en als je deze in de map plaats bij je executable van je game, dan wordt deze geladen ipv de dsound.dll in je windows/system32 map. Zo worden vaak de directx shaders van oudere versies 'geupgraded' door de desbetreffende render dll te overriden.

En ja, op deze manier kan je wel een trojan binnenhalen. Speel je een geluid af, wordt direct je bankrekening leeggehaald "WOOSHHHH"

[Reactie gewijzigd door Marcelloz op 24 juli 2024 23:52]

Anoniem: 714367 @Marcelloz • 7 december 2015 13:28

hoewel een onwaarschijnlijke toepassing, althans in directe zin
dat kan wel

Anoniem: 714367 in 'nieuws: Verdachte .dll-bestanden Nexus Mods wijzen op mogelijke databasehack'

[Reactie gewijzigd door Anoniem: 714367 op 24 juli 2024 23:52]

himlims_ @Marcelloz • 7 december 2015 10:26

Aaaand it's gone

[Reactie gewijzigd door himlims_ op 24 juli 2024 23:52]

reckik @himlims_ • 7 december 2015 11:40

hihi alleen de titel en ik wist dat het southpark was

Tadango @GravityDX • 7 december 2015 10:27

En slimme hacker gebruikt juist bestandsnamen die logisch zijn en vaker aanwezig zijn. Zo vallen ze vaak niet direct op als je als mens in de bestandslijst kijkt. De inhoud kan compleet iets anders zijn......

GravityDX @Tadango • 7 december 2015 10:37

Ik kan helaas niet meer de dsound.dll nakijken die in de mods zat, aangezien die 3 mods tijdelijk zijn weggehaald.

"This file is currently under review by a moderator and is not open for public access. Please do not contact the staff or the owner of the file regarding this issue unless you are the file owner or you might be penalised by the staff of the site."

CriticalHit_NL @GravityDX • 7 december 2015 10:16

Bij GTA IV in ieder geval is het zo dat deze gebruikt wordt om modificaties (scripts) in het spel te laden, de zogeheten ASI loader. (eigenlijk zijn .asi bestanden gewoon .dll)

[Reactie gewijzigd door CriticalHit_NL op 24 juli 2024 23:52]

omgwtfbbq @GravityDX • 7 december 2015 10:20

Dat betekent niet automatisch dat dit geen malafide .dll zou kunnen zijn die alsnog kwaardaardige code bevat.

Lanithro @GravityDX • 7 december 2015 10:25

ja dat zal vast wel, maar het feit dat deze DLL bestanden niet zijn aangemaakt door de makers van de mods maakt het ronduit verdacht.

434365 @GravityDX • 7 december 2015 12:00

dsound.dll is een bestand wat automatisch opgepakt word door DirectX, en dus een 'handige' plek is om code in bijvoorbeeld games te injecteren.

Of, in dit geval, misschien dan, dsound.dll is een plek om een trojan/virus te injecteren wat zich vervolgens op het OS zal richten ipv op de game.

Xeneonic 7 december 2015 10:37

De mods die in dit artikel worden genoemd zijn momenteel niet toegankelijk op de website van Nexusmods. De moderators hebben de toegang geblokkeerd.

Ik vraag mij af of de dll wordt gemaakt of toegevoegd door een tool die zij gebruiken om de mod te creeren, zoals fo4edit.

dsound.dll is verder wel een heel bekende dll, voornamelijk onder gebruikers van FO:NV. Voor sommige wine gebruikers wordt zelfs aangeraden om deze te vervangen omdat het geluid erdoor kraakt en door "echo'd":

CTRL + F "stuttering":
https://appdb.winehq.org/...?sClass=version&iId=21692

Verder lijkt deze beredenering wel te kloppen. De nieuwere mod "True Storms" in Fallout 4, heeft ook een paar meldingen gekregen van mensen die plotseling krakend geluid hebben. Ik weet alleen niet of "True Storms" ook deze dsound.dll gebruikt:

"Getting a lot of stuttering with this mod. Didnt try it without the rolling fog, but it is the sound that is stuttering like hell and installing the lite version did not change the stuttering "

Verder meer meldingen van onder andere FO:NV over dsound.dll:
https://www.google.nl/web...lout+new+vegas+dsound.dll

[Reactie gewijzigd door Xeneonic op 24 juli 2024 23:52]

copywizard @Xeneonic • 7 december 2015 10:44

het is ook niet de boosdoener het is een file die is toegevoegd aan een paar veel gebruikte mods zonder medeweten van de maker van deze mods!

en waarom virustotal hem niet kan vinden kan twee dingen betekenen

1 hij is goed ge-packed (ge-encrypt)
2 het is een zero day die nog niet bekend is (kleine kans maar niet geheel onmogelijk)

ik gebruik zelf ook NMM maar deinstaller hem vanavond als ik thuis kom en heb me password al veranderd.

Anoniem: 714367 @copywizard • 7 december 2015 13:15

packers zijn over het algemeen juist de reden dat ze beginnen te schreeuwen
en niet alleen "zerodays" worden niet herkend
je kunt zoveel onzin uitvreten terwijl AV volledig oblivious is van wat je aanpast of uitvoerd en waarom
zeker wanneer je code ingeladen en uitgevoerd word dmv een schijnbaar onschuldige "proxy dll" en je vanuit een ander proces kunt beginnen met spelen

over het algemeen zijn ze het effectiefst in het herkennen van signatures van bestanden on-file, de rest is .... schattig

[Reactie gewijzigd door Anoniem: 714367 op 24 juli 2024 23:52]

houseparty @copywizard • 7 december 2015 14:30

Waarom zou je NMM uninstallen?

Als je NMM niet zo instelt dat het mods auto-update, dan hoef je je niet druk te maken imho.

Het is overigens ook altijd raadzaam te kijken wat een mod of mod-update inhoudt, voordat deze via NMM geïnstalleerd wordt. Dat terzijde.

Als een mod geen injector betreft zoals een script extender, enb, lumasharpen, etc, betreft, dan heeft een dll normaal gezien niets tussen de mod-bestanden te zoeken. Niet bij Bethesda's engine iig.

[Reactie gewijzigd door houseparty op 24 juli 2024 23:52]

Themperror @Xeneonic • 7 december 2015 10:55

Er is wel degelijk iets mis mee, Nee het is niet de oorzaak van de hack, Maar als je willekeurige dlls waarvan niemand de oorsprong afweet gaat inladen dan is het vragen voor virussen.

Anoniem: 714367 7 december 2015 13:03

dsound en dinput benamingen worden gebruikt voor een type/techniek dll injection genaamd "proxy dll"
omdat deze automatisch geladen worden bij games en applicaties die er gebruik van maken
normaal gesproken zijn deze op een andere locatie beschikbaar maar wanneer ze aanwezig zijn in het zoekpad van de executable worden deze geladen

ze zijn over het algemeen bijna geldige vervangers voor een origineel functionele dsound/dinput library
met daarnaast eigen code wat word uitgevoerd

load it up in olly/ida/radare whatever strikes you fancy
het kan dus heel goed gaan om een hack van buitenaf of een sneaky dev of misschien zelfs nieuwe functionaliteit van mods zelf oid

en ja, dat kan vanalles zijn natuurlijk maar wat houd je tegen om te kijken

buiten dat kunnen het ook gewoon geldige andere versies zijn die de/een dev iig in plaats van de bestaande wilt laden

[Reactie gewijzigd door Anoniem: 714367 op 24 juli 2024 23:52]

Anoniem: 714427 @Anoniem: 714367 • 7 december 2015 14:35

Yep, je hebt helemaal gelijk.

Het is ook nog de vraag hoe deze aan "mod packages" toegevoegd zijn zonder het weten van de modmakers om.

houseparty @Anoniem: 714367 • 7 december 2015 14:39

Het ding is natuurlijk dat geen van de desbetreffende mod auteurs dsound.dll zelf zegt te hebben toegevoegd.

Tevens betreft het hier niet het type mods die dll injectie vereisen. Niet met Bethesda's engine iig.

Al met al kun je imho geen andere conclusie trekken dan dat iemand malafide bedoelingen had.

Anoniem: 714367 @houseparty • 7 december 2015 14:45

zoals ik al zei, debuggertime voor de personen die het interesseert

[Reactie gewijzigd door Anoniem: 714367 op 24 juli 2024 23:52]

Themperror 7 december 2015 10:52

Zoals iemand hier al zei, Dsound.dll is een onderdeel van DirectX (DirectSound), de higher settlement budget mod werkt via een bat bestand die 2 commands aanroept in game via de textfile die erbij komt, dsound.dll is hier helemaal niet nodig, en zat ook niet bij de originele verpakking om het zo te noemen.

Ik raak aan deze meteen te verwijderen na het downloaden en NIET bij de game te stoppen. Mensen kunnen deze file verpakt hebben met een virus (of iets dat een virus download) en je zo infecteren.

copywizard @Themperror • 7 december 2015 10:56

"de higher settlement budget mod werkt via een bat bestand die 2 commands aanroept in game"

dit zou er op kunnen duiden dat ze dat *.bat bestand hebben aangepast om nog een commando uit te voeren om deze DLL op zijn plaats te krijgen ?

JowieWolf @copywizard • 7 december 2015 11:16

Het werkt iets anders.
Je kan een .txt bestand maken met daarin console commands voor fallout.
Vervolgens kan je tijdens het spelen in de console typen "bat tekstbestand" zodat die console commands worden uitgevoerd.

Het enige wat je kan met deze tekstbestanden is het spel zelf manipuleren.

copywizard @JowieWolf • 7 december 2015 11:24

ok duidelijk dan word het lastig om deze commands uit te voeren in windows maar ik zou graag een versie van die dsound.dll zien te krijgen zodat ik dit eens in cuckoo kan proberen te draaien kijken wat er gebeurd

Lizard

7 december 2015 12:05

Als deze dsound.dll legitiem zou zijn, zou deze toch de signature van Microsoft moeten hebben?
Verder kan het een proof of concept zijn om te kijken of het mogelijk is om een (legitiem) bestand toe te voegen aan een download.

CriticalHit_NL @Lizard • 7 december 2015 12:59

Het is overigens wel opvallend dat het gaat om een veel gebruikt bestand die gestart word voor het laden van mods als je het spel gaat draaien, en dus veel mensen het argeloos erin zetten omdat ze denken dat het legitiem is.
Overigens zijn de dsound.dll's voor mods natuurlijk gemodificeerd voor extra mogelijkheden, anders zou je ze niet in de game map moeten zetten om de system32 dsound.dll te overrulen.
Er staat overigens ook niets in over Microsoft in de eigenschappen van de .dll die gebruikt wordt voor GTA IV.

Anoniem: 678173 7 december 2015 10:24

lekker dan.. ik gebruik nexusmods vrij vaak. Zeker nu met fallout 4 zit iedereen mods te downloaden..
Wel frapant want gister deed ineens mijn pipboy app het niet meer, moest daarvoor me firewall ineens uitzetten om het gaande te krijgen wat de nacht daarvoor nog niet eens het geval was.

Ik ga dalijk maar eens goed antibacteriele spray door me pc heen halen.

YellowOnline 7 december 2015 10:32

Hmz, ik ben nogal een mod-gebruiker en ben weinig op mijn hoede omdat ik verwacht dat Nexus geen geïnfecteerde files host - het is tenslotte dé modding centrale voor alle Bethesda (en andere) spellen.

Goed dat ik de mods in kwestie niet gebruik, maar het zijn wel populaire - zeker Higher Settlement Budget dat verschillende Tweakers gebruiken.

Hoe dan ook: Dark0ne post op de Nexus is wel heel transparant.

SuperDre 7 december 2015 10:46

Er wordt toch geregistreerd wie de bestanden er op zet dus zo moeilijk moet het dan toch niet zijn om de veroorzaker te achterhalen..

gwystyl 7 december 2015 10:50

Ik kreeg afgelopen week een mail van Nexusmods met de melding dat mijn wachtwoord veranderd was. Ik heb dus het vermoeden dat er wel wat aan de hand is, want ik heb mijn wachtwoord daar niet veranderd. Ik heb de laatste tijd geen mods gedownload, maar ik hoop dat die site niet gehackt is... zoals hierboven was dat voor mij de plek om naar toe te gaan voor mods voor o.a. Oblivion.

Enai 7 december 2015 13:27

Dit is niet de eerste keer dat Nexusmods gehacked is. In het verleden hebben ze zo eens een op de zoveel keer een .exe geserveerd. Over het feit dat ze toen de site niet offline gehaald hebben ben ik nog steeds niet te spreken.

Het goede nieuws is dat Apocalypse en Ordinator niet aangeraakt zijn.

Op dit item kan niet meer gereageerd worden.

Verdachte .dll-bestanden Nexus Mods wijzen op mogelijke databasehack

Lees meer

Reacties (41)

Sorteer op:

Weergave: