Beveiligingsbedrijf ontdekt vermoedelijk tien jaar oude malwarefamilie

Palo Alto Networks heeft bekendgemaakt dat het een nieuw soort malware heeft ontdekt die vermoedelijk al tien jaar actief is. De malware, die 'Infy' is genoemd, is waarschijnlijk afkomstig uit Iran en wordt verspreid via e-mails met een Word- of PowerPoint-document.

De Word- of PowerPoint-documenten kunnen bepaalde mediabestanden bevatten. Als een slachtoffer een filmpje of link in het betreffende bestand aanklikt, zullen er sfx of self extracting executable archives uitgevoerd worden waarmee de malware wordt geïnstalleerd. Volgens Palo Alto Networks verzamelt de malware in eerste instantie vooral omgevingsdata, zoals wachtwoorden die via de browser worden ingevoerd, en gebruikt deze data om toegang te krijgen tot beveiligde omgevingen. Palo Alto Networks zegt dat er tot nu toe meer dan 40 varianten binnen de malwarefamilie zijn geïdentificeerd.

De malware laat bijvoorbeeld in een PowerPoint-presentatie een afbeelding zien die op een gepauzeerd filmpje lijkt. Wanneer de gebruiker erop klikt, wordt het ingesloten sfx-bestand uitgevoerd. Een van de sfx-lagen is versleuteld met de sleutel '1qaz2wsx3edc'. Ook zit er een valse readme-file in de package en in sommige gevallen zitten er ook nog andere plaatjes of video's in.

De executable is een standaard exe-bestand en de kwaadaardige code zit in een dll-bestand. Na het installeren van de dll wordt een automatisch startscript aangemaakt, maar dat wordt niet actief voordat er opnieuw gestart is. Na een reboot checkt het programma of er een virusscanner aanwezig is, waarna het verbinding maakt met een command-and-control- of C2-server.

Enkele van de C2-servers blijken al activiteit te vertonen sinds begin 2010. De data die naar de servers wordt gestuurd, is ook gecodeerd. Aan de hand van de coderingstechnieken konden de onderzoekers bepalen dat sommige van de Infy-voorbeelden al uit medio 2007 moeten komen. Registratie van een van de C2-servers, fastupdate.net, laat zelfs zien dat de eerste activiteit al uit december 2004 komt.

Ondertussen is de malware onderhouden, inclusief het toevoegen van ondersteuning voor de Microsoft Edge-browser in versie 30. Een groot deel van de malwarevoorbeelden van de afgelopen vijf jaar zijn uiteindelijk door virusprogramma's opgepikt, maar slechts met een generieke handtekening zonder dat er een verband werd opgemerkt.

Infy werd ontdekt in mei 2015 doordat Palo Alto Networks twee e-mails onder ogen kreeg met kwaadaardige documenten die van een Israëlisch Gmail-account kwamen. De documenten werden gestuurd naar een Israëlische organisatie. Eén e-mail had een bestand 'thanks.pps' bij zich, de andere 'request.docx'. Het is de inschatting van het beveiligingsbedrijf dat de malware gericht werd ingezet op doelwitten als overheden en bedrijven.

Reacties (34)

Rettsu 3 mei 2016 13:26

Sinds December 2004 actief, maar 12 jaar later pas gevonden. Is het uberhaupt wel verspreid geweest? Het lijkt erop dat het nog niet bij enige grote bedrijven is gekomen.

COW_Koetje @Rettsu • 3 mei 2016 14:22

Individuele virusscanners konden de onafhankelijke versies al tegenhouden.
Paulo Alto heeft nu ontdekt dat er een verband bestaat tussen deze verschillende (ogenschijnlijke) virussen.
Het is dus niet na 12 jaar pas gevonden maar gegroepeerd tot 1 source/familie.
Daarbij is er een verschil tussen de virusscanners die lokaal op pc's en servers draaien en de firewall functionaliteit die paulo alto levert. Zij zullen niet het virus zien op de server of pc maar de communicatie die het heeft met de C2 Server.

kimborntobewild @COW_Koetje • 3 mei 2016 15:52

Kan zo'n firewall het ook tegenhouden als het van proces system komt? Je kan niet simpelweg de communicatie van dat proces blocken; dan werkt internet niet meer.

COW_Koetje @kimborntobewild • 3 mei 2016 16:34

Kort antwoord: Ja

Uitleg:
Afhankelijk van de implementatie van je PA (Paulo Alto) kan deze de signature zien in de packages die langskomen en deze blokkeren
System is een local account op je windows server/client. De PA ziet alleen de tcp/ip stream van het process naar de buitenwereld. In die stream kunnen ze herkennen dat het van dit/een virus afkomt en blokkeren.

Natuurlijk kan de stream encrypted zijn maar daarom moet je dus je PA als "men in the middle" inzetten. De server/client accepteerd dan de PA als een CA authorized endpoint. Alle data zal dan worden verstuurd naar de PA, deze kent de keys en zal dan alles decoderen, controlleren en met de juiste keys doorsturen naar de server waar het heen moet op het internet.
Omdat deze de mogelijkheid heeft om in de datastream te kijken op die manier, en de client/server niet meer direct kan connecten naar het internet, dit vaak detecteren.
Bij PA implementaties vaak gezien hoe systeembeheerders zich rot schrokken hoeveel botnets er aanwezig waren in hun netwerk die niet werden opgemerkt door hun 'oude' generatie firewalls.

Meer info op youtube:

https://www.youtube.com/watch?v=BL-qk2p1Wvc

Dysmael @COW_Koetje • 3 mei 2016 19:00

Niet alleen bij PALO Alto maar bij elke enterprise firewall gaat dat laatste verhaal op.
L7 firewalls zijn wat dat betreft allemaal één pot nat.
Zelfde heb ik vaak gezien na implementatie van Watchguard firewalls die fatsoenlijk ingericht werden. Soms zie ik terwijl ik nog bezig ben al dat werkstations geinfecteerd zijn en achterlopen qua updates (exploits)

CMD-Snake @Rettsu • 3 mei 2016 13:41

Sinds December 2004 actief, maar 12 jaar later pas gevonden. Is het uberhaupt wel verspreid geweest? Het lijkt erop dat het nog niet bij enige grote bedrijven is gekomen.

Het is waarschijnlijk heel selectief ingezet waardoor de malware niet in beeld komt bij beveiligingsbedrijven. Zolang je niet opvalt wordt er niet gericht onderzoek gedaan. Het is nu dus door toeval dat sommige AV pakketten deze malware vinden middels heuristiek.

Verwijderd @Rettsu • 3 mei 2016 14:35

Gevalletje TL;DR?? "Een groot deel van de malwarevoorbeelden van de afgelopen vijf jaar zijn uiteindelijk door virusprogramma's opgepikt, maar slechts met een generieke handtekening zonder dat er een verband werd opgemerkt."

Perkele @Rettsu • 4 mei 2016 01:15

10,5 jaar.

Infy werd ontdekt in mei 2015

flossed 3 mei 2016 13:24

Hoezo Iran? Stuxnet was eerst ook vermoedelijk uit Iran, en later bleek het waarschijnlijker Israel of VS te zijn.

Verwijderd @flossed • 3 mei 2016 13:42

Stuxnet was een Amerikaans virus die ervoor zorgde dat de kerncentrales niet meer functioneerde. Hier had Iran weinig mee te maken, het virus was zo geavanceerd en alleen gericht op kerncentrales dat het redelijk makkelijk terug te koppelen was. Het virus werd ook wel omschreven als ticket science, dus zeer waarschijnlijk de NSA.

Qaatloz @Verwijderd • 3 mei 2016 15:26

Om preciezer te zijn de verrijkingsfabrieken van uranium (staan nog los van centrales). De worm liet de ultra-centrifuges buiten spec lopen waardoor ze beschadigd werden terwijl de afwijkende toerentallen werden afgevangen en niet getoond aan de engineers.

Verwijderd @Verwijderd • 3 mei 2016 14:40

Nee, het ging om een z.g. Opwerkingsfabriek, ook wel een Ultracentrifuge-fabriek. En dat is niet het zelfde als een kerncentrale.

moozzuzz @flossed • 3 mei 2016 13:26

Stuxnet werd vastgesteld in Iran, maar kwam wellicht van de tandem VS-Israel.

Tribits @flossed • 3 mei 2016 14:21

Hoezo Iran? Stuxnet was eerst ook vermoedelijk uit Iran, en later bleek het waarschijnlijker Israel of VS te zijn.

Je zal het wel nooit met 100 procent zekerheid vast kunnen stellen, maar er zijn doorgaans wel een aantal aanwijzingen die je een aardige indicatie kunnen geven. Misschien de C2 servers, misschien de partij die de betreffende server heeft geregistreerd, misschien zijn de C2 servers in beslag genomen of gemonitord en weten ze nu wie er op in loggen. Daarnaast geven bij dergelijke specifieke malware de targets ook wel een indicatie.

Ook de executables van de malware kunnen bepaalde sporen bevatten. Soms is het mogelijk te achterhalen wat de taal van het workstation was waarop ze gecompileerd werden, soms zit er nog wat tekst in zoals padnamen waarin woorden in een bepaalde taal voorkomen. Het artikel geeft bovendien aan dat deze malware voortborduurt op oude technieken, mogelijk waren die bij een bepaalde groep malware schrijvers populair. Het is allemaal niet direct sluitend bewijs, maar in combinatie wel voldoende om een sterk vermoeden uit te kunnen spreken.

Verwijderd 3 mei 2016 13:37

Bijzonder verhaal, waarom zou juist deze malware niet ontdekt worden ?
het lijkt me dat deze malware niet bijzonder geavanceerd is( temiste niet voor nu) , maar toch zeker niet simpel, het voert veel activiteiten uit, check voor een virus scanner, plaatst zichzelf in de startup map, verzameld inlog gegevens en staat in verbinding met een server met welke hij via encryptie communiseert.
Hoe kan het dat dit nooit is opgevallen, security bedrijven doen toch heel veel ondezoek naar malware, dan moet dit toch wel eens langs gekomen zijn.

mae-t.net

Malware

@Verwijderd • 3 mei 2016 14:10

Die activiteiten zijn wel degelijk opgevallen, en dan gedetecteerd als generieke malwareactiviteit. Het is nu pas opgevallen dat de betreffende malware geen opzichzelfstaande voorkomens zijn.

Tribits @Verwijderd • 3 mei 2016 14:15

Hoe kan het dat dit nooit is opgevallen, security bedrijven doen toch heel veel ondezoek naar malware, dan moet dit toch wel eens langs gekomen zijn.

Kan me eigenlijk alleen indenken dat deze malware zeer beperkt in is gezet en zichzelf niet verspreid. Ik heb zelf als systeembeheerder ook wel eens wat malware onderschept die nog niet gedetecteerd werd en die gaat dan gelijk naar de virus onderzoekers. Maar goed, die zijn dus ook afhankelijk van wat ze opgestuurd krijgen en wat er eventueel door heuristics uitgepikt wordt en door wordt gestuurd.

Zou verder kunnen dat dit gewoon een nieuwe variant van oudere malware is die helemaal nooit in is gezet. Sommige malware wordt puur als studieproject of proof-of-concept ontwikkeld. Laatste en minst waarschijnlijk optie is dat deze malware al die jaren actief is geweest zonder gedetecteerd te worden. Daar geloof ik nooit zo in, er zijn genoeg manieren om malware activiteit te detecteren en genoeg organisaties die zich daar mee bezig houden.

moozzuzz 3 mei 2016 13:24

Het is me niet meteen duidelijk of het nieuws nu de "familie-band" is die werd ontdekt en voorheen niet bekend was of dat het een nieuwe techniek betreft die voorheen door de mazen vh net glipte.

o_f_course 3 mei 2016 13:31

De term familie heb ik nog niet eerder gehoord in dit verband. Blijkbaar wordt de terminologie uit de biologie steeds verder naar de technologie getrokken.
De hashcodes\handtekening waarmee bepaalde virussen worden herkend->dna profiel?

mae-t.net

Malware

@o_f_course • 3 mei 2016 14:08

Familie is een technische term voor verwante apparaten of software en wordt al minstens tientallen jaren gebruikt. Van de biologische analogieën is het een van de meer voordehandliggende en oppervlakkiger voorbeelden.

kdekker 3 mei 2016 14:41

Een auteur of ontvanger van een Word/PPT weet toch wel of er een filmpje in het document thuis hoort?
Je opent geen documenten waarvan de ontvanger onbekend is. En een verzender zal toch wel bewust iets met film toevoegen (en dat melden bij de ontvanger: hier heb je m'n laatste filmpje)?

En juist self-extractors in combinatie met word/ppt zal doorgaan GEEN executable code bevatten. Lijkt me. Of in ieder geval niet draaien met zoveel rechten dat de executable ook maar iets mag. Dit kan toch alleen maar werken i.c.m. andere veiligheidslekken? Je mag niet zomaar een autostart script maken.

Ik vind het verhaal maar een beetje vaag. Tenzij je nog op een stokoude Windows versie zit, of UAC helemaal uitgezet is, hoor je gewoon niet als administrator Word of PPT te bekijken. Degene die dat doet is echt niet normaal bezig.

Kalief 3 mei 2016 16:28

Een groot deel van de malwarevoorbeelden van de afgelopen vijf jaar zijn uiteindelijk door virusprogramma's opgepikt

Dat valt anders nog behoorlijk tegen:
https://www.virustotal.co...8a12b066c162906/analysis/

Microsoft, Panda, Malwarebytes, Eset e.v.a. merkten de trojan niet op.
Vooral van Microsoft vind ik dat kwalijk omdat zij het hun eigen documenttypen betreft.

[Reactie gewijzigd door Kalief op 25 juli 2024 21:51]

Domino @Ryan_ • 3 mei 2016 13:50

Lijkt me wel:

Ondertussen is de malware onderhouden, inclusief het toevoegen van ondersteuning voor de Microsoft Edge-browser in versie 30

pven @Soldaatje • 3 mei 2016 13:36

Volgens mij heb jij het niet begrepen

nullbyte @Soldaatje • 3 mei 2016 16:26

Russsst. Google heeft hier niks mee te maken.

mae-t.net

Malware

@nullbyte • 3 mei 2016 17:54

Het is per gmail ontvangen, dus Google heeft er wel degelijk mee te maken! Aan de andere kant is natuurlijk wel de vraag of je van een """gratis""" dienst moet verwachten dat ze een goed werkende malwarescan in huis hebben, zelfs al wekken ze soms de indruk van wel.

[Reactie gewijzigd door mae-t.net op 25 juli 2024 21:51]

Sharky @Soldaatje • 3 mei 2016 13:40

Waarom zou Google verantwoordelijk zijn voor de detectie van deze malware?

Verwijderd @Sharky • 3 mei 2016 13:44

Google is toch god en verantwoordelijk voor alles?

Kortom, zal gewoon stukje google bashing zijn gezien er nergens in het artikel ook maar het woord google genoemd wordt.

Dont feed the trolls

Johan9711 @Sharky • 3 mei 2016 13:52

Uit het artikel:

nfy werd ontdekt in mei 2015 doordat Palo Alto Networks twee e-mails met kwaadaardige documenten van een Israëlisch Gmail-account kwamen die werden gestuurd naar een Israëlische organisatie.

BitJager @Soldaatje • 3 mei 2016 13:43

Kan aan mij liggen soldaat, maar ik begrijp eigenlijk niet wat je wil zeggen. Kan je aub verduidelijken.

Op dit item kan niet meer gereageerd worden.

Beveiligingsbedrijf ontdekt vermoedelijk tien jaar oude malwarefamilie

Lees meer

Reacties (34)

Sorteer op:

Weergave: