'Angler-exploitkit is de meest geavanceerde en zal dat nog een tijd blijven'

Op de Hack in the Box-conferentie sprak Nick Biasini over zijn onderzoek naar verschillende exploitkits, zoals Rig, Nuclear en Angler. Die laatste is veruit de grootste en meest geavanceerde exploitkit tot nu toe en zal niet snel verdwijnen.

Biasini, verbonden aan beveiligingsbedrijf Talos, legde in zijn presentatie uit hoe hij zelf de sporen van exploitkits onderzoekt. In zijn onderzoek valt hem op dat exploitkits in de afgelopen tien jaar een sterke ontwikkeling hebben meegemaakt. Zo waren de eerste kits te vergelijken met eenvoudig werk aan de lopende band: men koos een domein, enkele exploits om een systeem binnen te komen en een payload, die de malware bevat. Tegenwoordig is het meer te vergelijken met een moderne assemblagefabriek. Zo zijn er mogelijkheden voor aangepaste versleutelde payloads en tijdelijke 302 redirects.

"Vroeger verschilden de payloads nog enigszins, tegenwoordig is het bijna allemaal ransomware", legt Biasini uit. Uit zijn cijfers is op te maken dat in bijna drie kwart van de gevallen ransomware wordt ingezet. De onderzoeker stelt dat dit niet verwonderlijk is, aangezien deze vorm van malware eenvoudig via de kits te verspreiden is, de betalingen via bitcoin verlopen, en via Tor voor anonimiteit kan worden gezorgd. Zo is het erg moeilijk om een dergelijke operatie op te rollen. Ook wordt er veel geld mee verdiend. Biasini verklaart dat er ongeveer 90.000 ip-adressen per dag met ransomware in contact komen. Hiervan betaalt maar 3 procent het losgeld, maar dan nog wordt er met Angler naar schatting 2,8 miljoen dollar per maand binnengehaald.

De infrastructuur van Angler zit professioneel in elkaar, aldus de onderzoekers. Hij kwam erachter dat de gerelateerde ip-adressen steeds in hetzelfde blok zaten, waarbij steeds het laatste drietal cijfers werd verhoogd. Daardoor bleef de ip-range steeds een beetje verschuiven. De domeinen waren met valse identiteiten en gestolen creditcardgegevens gekocht, zo bleek uit samenwerking met de hostingproviders. Deze waren vaak bereid tot coöperatie met de onderzoeker, omdat zij veel geld verloren door onjuiste gegevens. De servers zelf waren voorzien van uitgebreide proxy's, met statusberichten en remote logging. Ook draaien zij allemaal op nginx, echter om onbekende reden.

Een normale besmetting door een exploitkit kan al plaatsvinden door een geïnfecteerde site te bezoeken, zo legt Biasini verder uit. Daarvoor is alleen een kwaadaardige advertentie nodig, die een gebruiker doorverwijst naar een gate. Die checkt of de gebruiker een potentieel doelwit is en stuurt deze vervolgens door naar de landingspagina van de exploitkit, waar infectie plaatsvindt aan de hand van lekken in bijvoorbeeld Flash of tegenwoordig Silverlight. Dit gebeurt doorgaans zonder dat dit voor de gebruiker merkbaar is. De ontwikkelaars van Angler zijn zeer snel in het verwerken van nieuwe lekken in hun software, zo zijn vaak twee dagen na het uitkomen van een patch de nodige exploits aanwezig. Vaak voordat de meeste gebruikers een update hebben uitgevoerd.

Biasini vielen onlangs een aantal opvallende veranderingen in de Angler-kit op. Zo ontdekte hij een spam-e-mail, die een link naar een Angler-landingspagina bevatte. Daar kreeg de gebruiker een kwaadaardig iframe te zien in de vorm van een 'even geduld'-boodschap met een draaiend wieltje. Ondertussen vindt dan de infectie plaats. In de meeste gevallen krijgt een gebruiker de landingspagina van een exploitkit nooit te zien. De onderzoeker merkt echter op dat voor het geval dat wel gebeurt, Angler de tekst van het boek 'Sense and Sensibility' van Jane Austen weergeeft. Waarschijnlijk om geen argwaan te wekken.

Een tweede opvallende verandering was het feit dat er onlangs een zeer grote Angler-campagne werd gehouden, die te herkennen was aan javascript-bestanden aan het einde van de url's. Deze campagne vertoonde hevige activiteit in zeer korte tijd, en dan weer een tijd helemaal niet. Sommige landingspagina's hadden tot wel zestien verschillende kwaadaardige iframes, wat de schaal van de campagne illustreert. Op de vraag waarom veel kwaadaardige sites in Nederland worden gehost, antwoordde Biasini dat dit in zijn ogen te maken heeft met de strenge privacywetgeving, waar de kwaadwillenden zich achter kunnen verschuilen. Meer uitleg gaf hij echter niet.

IT-banen

Reacties (73)

Megalodon86 27 mei 2016 08:51

De zoveelste keer dat ik over de Angler-exploitkit lees, maar wat doe je er tegen?

Anoniem: 415698 @Megalodon86 • 27 mei 2016 13:33

Ik denk dat het beste wat je kan doen is 'een good practice aannemen'. Want daar begint het: Hoe ga jij om met je computer. Als je niet de persoon bent die achteloos download uit onbetrouwbare bron is een directe infectie al vrijwel onmogelijk. Ga ook niet zomaar in op links in e-mails, plaats de mail in context als die toch van een betrouwbare bron komt (bv. je buur die Engels tegen je spreekt in de vorm: Check this out: http://xxx.xx/xxxx'), wees kritisch met de popups die je pc toont (zijn ze wel echt van windows of een programma dat ik 'had'). Denk hierbij bijvoorbeeld aan PcTune Up, Monitor HWX enz.

Daarnaast is het iets wat adverteerder niets graag horen: maar blok de volledige advertentie zooi er gewoon maar uit je browser. Ik snap dat content nu eenmaal niet gratis hoeft te zijn, en dat jullie deze serveren uit winstbejag en overlevingsdrang. Toch vind ik persoonlijk dat als je zelf de ads niet serveert, je toch nog verantwoordelijk bent voor wat er op je site komt en van welke bron. Dit is momenteel niet altijd het geval. Als de ads ook schade kunnen berokken aan mijn persoonlijke spullen, dan neem ik mijn voorzorgen en het verlies is dan maar voor jullie.

Om dit te bereiken voor de leek in de browser kan je Adblock Pro installen als plugin in je browser, en persoonlijk doe ik het ook in combinatie met Privacy Badger. Dat laatste omdat je zo kan zien wie wat trackt en waarop(bv: fb cookies en tracking gone). Je kan dan ook bepaalde partijen accepteren en andere weer niet. Zo zijn cross-site cookies van derde partijen automatisch geblokkeerd indien dit opgemerkt wordt. Voor bepaalde sites kan je dit wel enablen indien je dit wenst.

Voor de extra bezorgden onder ons, en ik kan ze geen ongelijk geven: No Script plugin erbij, zodat .js geblokkeerd wordt.

De beste oplossing persoonlijk die ik gebruik is pi-hole (je hoeft het niet op een rpi te installen). Het is gratis, iets technischer maar een perfecte oplossing. Zo zorgt het ook voor een oplossing voor ads weg te krijgen op je smartphone op netwerkbasis (zoals in-app ads en youtube), zonder tussenkomst op het device zelf. Je hoeft dan wel te verbinden met het wifinetwerk uiteraard. Meer info op https://pi-hole.net/

Gebruik daarnaast zinnig een Firewall, date regelmatig je pc op, en klik niet zomaar door op volgende. Kijk of je wat kan uitvinken wat je niet wilt, en trap niet zomaar in een sluw geplaatste knop die je wilt aanklikken omdat je daar die knop verwacht en links het andere. Dat helpt je in de meeste gevallen een heel eind vooruit. (Zelfs Windows 10 popups voor up te graden gebruiken deze sluwe truc tegenwoordig).

Ben je iemand die toch graag risico's neemt: gebruik een vm om de bestanden te onderzoeken die je download of bepaalde sites die je schuwt. Screen ze, geef ze thumbs up of down en breng ze pas dan al dan niet naar je gewone werkomgeving.

[Reactie gewijzigd door Anoniem: 415698 op 24 juli 2024 04:12]

Cerberus_tm

@Anoniem: 415698 • 27 mei 2016 18:26

Belangrijke tips:

- Zet Flash en eventuele andere plug-ins in je browser op "click to play" of gewoon helemaal uit. De meeste malware komt volgens mij binnen browser-plug-ins, zoals Flash, Silverlight, en Java. Dat is dus iets heel anders dan Browser extensions/add-ons: die hoef je niet te blokkeren.

- Zorg dat je Android root heeft en installeer Adaware. Dat blokkeert automatisch heel veel slechte domeinen op je telefoon, voor alle apps en browsers. Zonder root kan dit niet en heb je minder mogelijkheden om je telefoon te berschermen. Het is een mythe te denken dat root gevaarlijk is, als je maar niet apps root-toegang geeft tenzij die apps 100% betrouwbaar zijn. Daarom moet je ook SuperSU o.i.d. installeeren op een geroote telefoon, om te regelen welke app root-toegang mag krijgen.

(Maar sowieso is Android betrekkelijk veilig tegen malware: het bestaat, maar de meeste mensen installeren sowieso alleen via de Play Store. En ik heb nog nooit iemand ontmoet die daadwerkelijk zelf besmet is geraakt door b.v. Stagefright, dat je in theorie ook via de browser zou kunnen besmetten. Het komt voor, maar het is zeer zeldzaam. Sowieso denk ik dat je met Xprivacy (root nodig) redelijk beschermd bent tegen Stagefright, omdat je daarmee het uitvoeren van libraries kunt verbieden aan apps.)

Jerie

@Cerberus_tm • 29 mei 2016 15:50

Er komt ook malafide software in de Play Store voor. Misschien niet veel en ik ken nu even niet zo snel een voorbeeld, maar het is er. Net zoals je oplichters tegen kunt komen op Google (zoek op Google naar Daz Loader, of naar een slotenmaker en de eerste of tweede hit is op dit moment een scam).

Telefoon rooten is geen goede tip voor leken. Je moet goed weten wat je doet.

Cerberus_tm

@Jerie • 29 mei 2016 19:26

Het bestaat inderdaad. Maar het is veel zeldzamer dan voor Windows. Soms denken mensen dat je net zo'n kans op een virus hebt op Android als op Windows, maar dat is dus niet zo. Desondanks is het altijd goed een beetje op veiligheid te letten, als je maar nuchter blijft en alles in proportie blijft.

Je moet inderdaad de instructies voor jouw telefoon nauwkeurig volgen om te rooten. Maar ik ga ervan uit dat een Tweaker er wel uitkomt, ook bij het rooten van de telefoon van zijn moeder. Zorg alleen er alleen wel voor dat root-toegang standaard uit staat voor nieuwe apps op je moeders telefoon.

Megalodon86 @Anoniem: 415698 • 27 mei 2016 13:54

Duidelijk. Het grootste probleem ben ik ook niet zelf, maar mijn relaties. Alleen komen zij dan weer naar mij toe met het probleem (de infectie, zoals bijv. cryptXXX).

Anoniem: 415698 @Megalodon86 • 27 mei 2016 13:59

Ja ik zit vaak ook in dezelfde situatie. Maar als ik dan kan terug traceren hoe de infectie verlopen is of ze vertellen zelf wat er gebeurt is, dan merk ik op dat in 90% van de gevallen je kan zeggen dat wat ik hierboven heb geplaatst, de persoon in kwestie zou geholpen en beveiligd hebben.

Achja, het komt op het einde neer op hetzelfde verhaal: iedereen kan met een computer werken, maar daarom niet goed.

Mustii_93 @Anoniem: 415698 • 28 mei 2016 15:38

..
Gebruik daarnaast zinnig een Firewall, date regelmatig je pc op, en klik niet zomaar door op volgende. Kijk of je wat kan uitvinken wat je niet wilt, en trap niet zomaar in een sluw geplaatste knop die je wilt aanklikken omdat je daar die knop verwacht en links het andere. Dat helpt je in de meeste gevallen een heel eind vooruit. (Zelfs Windows 10 popups voor up te graden gebruiken deze sluwe truc tegenwoordig).
..

Hiervoor zou je Unchecky kunnen gebruiken, die haalt (tot nu toe bij mij) alle vinkjes etc. weg tijdens het installeren.

Draait op de achtergrond, je merkt er niks van en doet wat ie moet doen.

Anoniem: 415698 @Mustii_93 • 29 mei 2016 17:33

Ah leuk! Die kende ik nog niet. Ik zal hem best wel eens testen. Ik moet wel zeggen, het is naar mijn mening nog altijd best dat je weet wat iets doet (zoals unchecky) en het zelf ook kunt indien nodig. Het punt van mijn hele post was 'bewust wording'. Maar thanks voor de aanvulling, handige tip voor anderen onder ons.

Bor Coördinator Frontpage Admins / FP Powermod

Malware
Security

@Megalodon86 • 27 mei 2016 09:00

Het probleem is dat je er op zich niet heel erg veel tegen kunt doen behalve zorgen dat je systeem (en andere software / plugins etc) up2date zijn. Dit soort exploit toolkits worden geupdate met de nieuwste exploits (die vaak nog niet publiek bekend zijn) waardoor het continu vooraan loopt. Daar zit het grootste risico.

Een andere maatregel die je kunt nemen is het werken met een account met zo min mogelijk permissies en rechten, het zorgen voor goed en up2date antimalware pakket en het gebruiken van gezond verstand wanneer je iets verdachts opvalt.

InflatableMouse

@Bor • 27 mei 2016 09:16

Negen van de tien keer gaat het via een advertentie. Dit is reden nummer 1 om een goeie adblocker te gebruiken. Dat is dus iets wat je er tegen kunt doen.

Een beperkt account werkt volgens mij dus niet omdat die exploits juist administrator permissies verkrijgen die ze nodig hebben via die betreffende exploit, dat is de exploit ...

[Reactie gewijzigd door InflatableMouse op 24 juli 2024 04:12]

xleeuwx @InflatableMouse • 27 mei 2016 09:27

Dat zijn de ongerichte aanvallen, zullen we het nu eens over de gerichte aanvallen hebben die in 80% van de gevallen dus wel lukt met de dingen die hierboven genoemd zijn. Zoals @Bor al terecht aangeeft is er vrij weinig tegen te doen, maar je kan wel zorgen dat jouw account niets kan installeren en dus ook niet direct wat kapot kan maken. Of de internet kabel er uit trekken en wifi uit....

Anoniem: 373239 @xleeuwx • 27 mei 2016 13:17

Ik ben een redelijke leek op dit gebied, maar als een adblocker/advertentie ongericht is wat valt dan precies onder een gerichte aanval?
Als dit een phising e-mail is, dan is 80% toch mensen goed opvoeden/common sense?

xleeuwx @Anoniem: 373239 • 27 mei 2016 14:07

De aanvaller heeft geen specifiek doelwit voor ogen en elke slachtoffer is mooi mee genomen. Bij een gerichte aanval zal de aanvaller niet via de massa zijn tools gebruiken (bijv advertenties) en dus is een adblocker niet meer waardevol.

leuk_he @xleeuwx • 27 mei 2016 16:46

Ik ben het met je eens dat de adblokcer de gerichte aanval niet zal blokkeren. Maar Het helpt de gebruiker wel, doordat hij nu zijn aandachte niet meer hoeft te richten op ongerichtte aanvallen, en hij eerder de gerichte aanval zal herkennen.

xleeuwx @leuk_he • 27 mei 2016 16:56

Dus jij denkt dat jan modaal het door heeft wanneer hij op een website zit die doormiddel van DNS spoofing wordt omgeleid en een exploit op de gebruiker los laat?

En zo heb ik nog een tal van voorbeelden die mogelijk zijn. Gericht hacken op bijv. Jan Modaal is niet heel moeilijk als je de juiste kennis en tools hebt zoals in dit artikel

[Reactie gewijzigd door xleeuwx op 24 juli 2024 04:12]

leuk_he @xleeuwx • 27 mei 2016 17:03

Als gerichtte methoden zo effectief zijn, dan zouden de ongerichtte methoden er ook gebruik van maken. Ze zullen vaak van dezelfde methoden gebruik maken. De adblocker houdt ze niet tegen, maar er is wel kans dat de gebruiker het afwijkende gedrag van de exploit herkent en/of tijd neemt hier actie op te ondernemen ipv van wegwuift als de zoveelste malware/spam aanval.

Bor Coördinator Frontpage Admins / FP Powermod

Malware
Security

@InflatableMouse • 27 mei 2016 09:26

Niet alle exploits krijgen direct admin rechten hoor. Wanneer dat niet lukt tracht men via privilege escalation toch admin rechten te verkrijgen. Net als het niet draaien van plugins waarmen zich vaak op richt helpt het werken onder beperkte rechten ook. Geen enkele oplossing is helaas waterdicht. Je moet het zien als risico beperkende maatregelen ipv een silver bullet.

bogy @Bor • 27 mei 2016 16:18

een extra laagje beveiliging is bv gebruik maken van opendns.

daarin kn je aangeven wat voor sites je geblokkeerd wil hebben; zo heb ik bv spam sites mee in m'n lijstje geblokkeerde sites staan en als er dus zo'n site probeert te openen zal opendns mij zo'n leuke custom 404 error geven met m'n eigen foto.

je kan op een heel aantal onderwerpen blokkeren (en zelf ook nog sites toevoegen die je niet wil zien). Het is natuurlijk geen waterdichte oplossing, maar draagt wel weer een steentje bij aan de totaaloplossing.

wauwwie @InflatableMouse • 27 mei 2016 09:30

Ransomware hoeft juist niet als admin uitgevoerd te worden. Alle interessante data (lees jouw documenten en foto's), zowel lokaal als op je NAS zijn volledig toegankelijk onder jouw rechten. Er is "alleen" een exploit nodig om de ransomware installatie te starten.

Het is gewoon nare software en zal de roep tot stevige regelgeving, controle, etc alleen maar laten toenemen.

DKSCC @InflatableMouse • 27 mei 2016 17:12

Dat kan kloppen, maar elk exploit is weer anders.

'Anger-exploitkit' bevat alleen exploits voor browser-plugins(java,flash etc.) en pdf.

Zodra een bezoeker de webpagina bezoekt, zal een malware of cryptolocker (of enige executable bestand) uitgevoerd worden op het systeem van het slachtoffer.

Dit is waar een malware of dergelijke hoopt op admin rechten.

Sommigen hebben ingebouwde local exploits om een privilage-escalation uit te voeren, meestal lukt dit niet en installeert de malware zich op een gelimiteerde manier.

Een cryptolocker zal ook gewoon zijn werk doen met of zonder admin rechten hetzelfde geld voor malware.

PS. natuurlijk hangt het ook vanaf wie het malware,cryptolocker heeft gecodeerd, veel daarvan op het internet is copy+paste en bad code.

DRaakje @Megalodon86 • 27 mei 2016 09:11

Altijd up to date draaien. Java en Flash zoveel mogelijk blokkeren icm adblocker, en Firefox/Chrome gebruiken.

Daarnaast aannemen dat het een keer mis gaat en een goede backup strategie hebben. Liefst met een soort van Versioning.

Zelf draai ik dagelijk een mirror naar mjin de NAS van mijn ouders en vice versa.
Daarnaast maak ik gebruik van Crashplan voor de versioning.

Zackito @DRaakje • 27 mei 2016 09:14

Kan jij je NAS op share niveau benaderen? Als jij een crypto krijgt kan je fluiten naar je back-up.

Zorg ervoor dat je back-up niet bereikt kan worden door mogelijke ransomware.

xleeuwx @Zackito • 27 mei 2016 09:28

Daarom mag je PC ook geen schrijfrechten op je NAS hebben maar alleen leesrechten. Dan haal je met je NAS een backup op vanaf je PC en als het nodig is kan je altijd nog je backup netjes terugzetten omdat de PC wel leesrechten heeft.

Zackito @xleeuwx • 27 mei 2016 09:42

De doorsnee gebruiker maakt gewoon gebruik van het admin account voor zijn back-up.
Ligt er ook nog even aan hoe de back-up gemaakt word.

maratropa @Zackito • 27 mei 2016 10:23

Ik backup nu naar een share op m'n Syno met credentials die ik verder nergens anders voor gebruik, volgens mij kan een crypto daar niet bij vanaf mijn workstation, toch? De share wordt ook bij de backup gemount en daarna weer unmount.

DRaakje @Zackito • 27 mei 2016 10:14

Jemig, +3 voor een reactie die niet eens goed heeft gelezen. Het gaat over de NAS bij mijn ouders, volledig offsite en gebeurt via FTP snachts om 3 uur.

Daarnaast is crashplan er ook nog.

[Reactie gewijzigd door DRaakje op 24 juli 2024 04:12]

GeroldM @DRaakje • 27 mei 2016 17:07

En daarvoor gebruik je syncronisatie software? Dan ga je dus ge-ransomeerde bestanden uitwisselen met de NAS van je ouders. Het boeit niet waar deze NAS staat of hoe je deze bestanden transporteert.

Vandaar dat eerdere posters terecht opmerken dat een soort van versioning systeem je wel zal helpen. Want dan kun je werkelijk terugvallen op een eerder gemaakt bestand en je niets of bijna geen data verliest als je de ge-ransomeerder bestanden overschrijft.

De NAS zou in dit scenario de computer moeten zijn die de synchronisatie start, niet je eigen PC. Deze mag alleen data lezen van de NAS. Dat is de meest veilige manier om data off-site te bewaren.

Een off-line backup off-site bewaren, dat is de meest veilige methode. Maar is ook het meest arbeids-intensief en zeker niet gebruikersvriendelijk. Zonder electriciteit kan geen enkel virus/malware/ransomware kan deze off-line data infecteren.

Het enige wat je data ontoegankeleijk kan maken zijn de 4 basis-elementen, extreme temperaturen en magnetisme. En (on-)gerichte onwil, al dan niet gefinancieerd.

Shares zijn gemakkelijk, echter door hun gebruiksgemak zijn ze inherent onveilig.

Het beste is om je een ouderwetse balansweegschaal voor te stellen, waarin in het ene schaaltje alleen beveiliging kan worden geplaatst en in het andere schaaltje alleen gebruiksgemak.

Is dat ding in balans, dan heb je geen van beide. Slaat de balans door naar gebruikersgemak, dan kun je beveiliging wel vergeten. EN slaat de balans door naar beveiliging, dan is er niks meer over van gebruikersgemak.

Alle software die je belooft de balans tussen beveiliging en gebruiksgemak te hebben gevonden...liegt je voor. Meestal met de beste bedoelingen, daar niet van.
Persoonlijk slaat mijn balans dus door naar beveiliging. De gemoedsrust die ik daarvan krijg voldoet voor mij als gebruiksgemak. Als dat voor jou van geen of minder belang is, dan wens ik je veel succes met het betalen voor ge-ransomeerde bestanden op je computer/cloud/NAS oplossing of het re-creëeren van deze bestanden.

DRaakje @GeroldM • 27 mei 2016 21:15

Daarnaast aannemen dat het een keer mis gaat en een goede backup strategie hebben. Liefst met een soort van Versioning.

Zelf draai ik dagelijk een mirror naar mjin de NAS van mijn ouders en vice versa.
Daarnaast maak ik gebruik van Crashplan voor de versioning.

Daarnaast gebruik ik voor de NAS naar de ouders ook gebruik van versioning mbv SyncbackSE. Misschien 2 minuten meer tijd besteden aan lezen?

Anoniem: 114278 @Megalodon86 • 27 mei 2016 09:06

zorgen dat je regelmatig een systeem backup maakt die niet locaal is opgeslagen.

Bor Coördinator Frontpage Admins / FP Powermod

Malware
Security

@Anoniem: 114278 • 27 mei 2016 09:28

Het maken van een backup is nuttig en nodig maar dit helpt bij het voorkomen helemaal niets. Je hebt de backup pas nodig wanneer het te laat is. Prima aanvullende maatregel maar niet preventief tegen de exploits zelf.

Anoniem: 114278 @Bor • 27 mei 2016 09:34

De hele HD kan overschreven worden met de alghele backup en alle data is gewoon weer daar waar het moet wezen, ik zou met dat exploit geen enkel probleem hebben daar het me een 20 minuten kost om 3 HD te restoren.

Bor Coördinator Frontpage Admins / FP Powermod

Malware
Security

@Anoniem: 114278 • 27 mei 2016 09:39

Dan begrijp je niet helemaal wat het doel van dit soort exploit kits en de te droppen malware is. De meeste malware blijft namelijk een aardige tijd onopgemerkt (of doet hier zijn best voor) voordat het zijn kwaadaardige bedoelingen duidelijk maakt. Sommige malware (bijvoorbeeld om jouw pc onderdeel te maken van een zombienetwerk voor DDOS) zal zich nooit vrijwillig openbaren.

Een ander soort malware wat graag onopgemerkt blijft en waartegen een backup niet helpt is malware welke credentials verzameld en verstuurd. Zo zijn er legio meer voorbeelden te noemen.

Een backup is nuttig en handig maar meer dan brandjes blussen kun je daar niet mee. Je bent per definitie al te laat wanneer je een backup terug moet zetten. Een backup is een maatregel tegen data verlies maar niet tegen datalekken of andere compromise.

lapps @Bor • 27 mei 2016 13:49

Nieuwste trend in ransonware is idd een tijdje onopgemerkt te blijven. Tegen de tijd dat die actief wordt zal bij veel gebruikers de backup(s) ook geïnfecteerd zijn.

Anoniem: 114278 @lapps • 27 mei 2016 18:53

Je leest niet goed backups staan offline.

lapps @Anoniem: 114278 • 28 mei 2016 10:26

Ik dacht van wel ;-)

Anoniem: 114278 @Bor • 27 mei 2016 09:49

ik begrijp het prima en hou mijn lopende processen gewoon goed in de gaten, vreemde eenden in de bijt pik ik er zo uit, mocht ik in slaap gevallen zijn dan kan ik altijd nog even terug naar de backups

Bankieren en andere belangrijke zaken doe ik op een aparte PC met een knoppix DVD: knappe software die de DVD romlezer in een DVD RW kan veranderen en mijn afgesloten DVD weer schrijfbaar kan maken ben ik nog niet tegen gekomen.

Bor Coördinator Frontpage Admins / FP Powermod

Malware
Security

@Anoniem: 114278 • 27 mei 2016 10:03

Goede malware zul je waarschijnlijk niet herkennen wanneer je alleen de lopende processen in de gaten houdt. Vaak verschuild het zich in bijvoorbeeld in het "svchost" proces. Herken je het wel dan ben je wederom te laat en is het al actief. Als je denkt dat zelf herkennen ten alle tijde voldoende is ben je niet op de hoogte van de huidige stand van zaken rond malware.

Anoniem: 114278 @Bor • 27 mei 2016 10:08

Ik zal er geen probleem mee hebben gezien mijn werkwijze met knoppix DVD systeem dat is zeker, voor de rest is er op mijn werksysteem voor de ransomware niets te halen.

Bor Coördinator Frontpage Admins / FP Powermod

Malware
Security

@Anoniem: 114278 • 27 mei 2016 10:10

Dit gaat totaal niet alleen om ransomware. Dat is slechts een van de vormen van malware die via exploit kits wordt "verspreid". In mijn vorige reacties staan een aantal andere voorbeelden waar je direct last van kunt krijgen of waarmee je, eenmaal geïnfecteerd, overlast veroorzaakt bij anderen (bv DDOS zombie netwerk).

Anoniem: 114278 @Bor • 28 mei 2016 01:09

Geen enkele last van, ik gebruik de nodige tools en mijn hersens

Ik verwijder wel vaak malware voor minder ervaren gebruikers.

[Reactie gewijzigd door Anoniem: 114278 op 24 juli 2024 04:12]

Anoniem: 114278 @Bor • 28 mei 2016 11:43

blijft meestal een waarschijnlijk zijn erg vage begrippen, onopgemerkt door een onervaren computer gebruiker zal je bedoelen..

Een beetje ervaren gebruiker weet hoe zijn computer reageert, malware en andere ongewenst zaken vertragen ten alle tijden een systeem.

datalekken of andere compromis komen niet voor op een aparte PC die knoppix draait vanaf en niet beschrijfbare dvd in een dvd rom lezer simpelweg omdat erg geen mogelijkheid tot schrijven naar een medium.

Bor Coördinator Frontpage Admins / FP Powermod

Malware
Security

@Anoniem: 114278 • 28 mei 2016 12:05

Een beetje ervaren gebruiker weet hoe zijn computer reageert, malware en andere ongewenst zaken vertragen ten alle tijden een systeem.

Dat is echt compleet onzin. Vroeger ging die vlieger wellicht nog op maar met moderne malware merk je vaak helemaal niets totdat het te laat is. Denken dat je malware altijd direct opmerkt, ook al ben je een ervaren computer gebruiker, is naief en getuigd niet van kennis op dit gebied. Juist in bijvoorbeeld het geval van ransomware zul je de aanwezigheid hiervan niet direct opmerken. Dit soort malware is gemaakt om min of meer onopgemerkt zijn gang te gaan om op een bepaald tijdstip de kwade bedoelingen te laten merken.

datalekken of andere compromis komen niet voor op een aparte PC die knoppix draait vanaf en niet beschrijfbare dvd in een dvd rom lezer simpelweg omdat erg geen mogelijkheid tot schrijven naar een medium.

Ook niet waar. Je kunt op een readonly systeem niet schrijven maar je kunt nog steeds datalekken vanuit bijvoorbeeld memory.

[Reactie gewijzigd door Bor op 24 juli 2024 04:12]

Anoniem: 114278 @Bor • 28 mei 2016 12:31

Ik vertel geen onzin, jij echter wel op basis van ongefundeerde aannames.

Moderne mailware merk je wel degelijk op op een oud systeem, dat jij er zonder na te denken maar van uitgaat dat ik voor een knoppix DVD geen oud traag systeem zou gebruiken om even te internetbankieren of een PayPal betaling en aanverwante belangrijke zaken die ik uiteraard niet op mijn snelle alledaagse PC ga doen.

Bor Coördinator Frontpage Admins / FP Powermod

Malware
Security

@Anoniem: 114278 • 28 mei 2016 12:38

Dan mag je even uitleggen waar ik onzin vertel.

Als jij alle malware denkt te herkennen simpelweg door performance in de gaten te houden begrijp je niet veel van de huidige stand van zaken op dit gebied.

Ook op oudere systemen merk je malware vaak helemaal niet (of niet snel) op. Een voorbeeld hiervan is een DDOS zombie, een credential harvester en zelf een cryptolocker hoef je ook niet direct op te merken. Bovendien zijn (zoals al vaker aangegeven) dergelijke zaken vaak ontwikkeld om ongemerkt aanwezig te blijven door zich bijvoorbeeld te verstoppen in legitiem ogende processen. Op een Windows systeem zie je vaak dat svchost hiervoor misbruikt is.

Juist door onopgemerkt te blijven kun je veel langer je gang gaan.

[Reactie gewijzigd door Bor op 24 juli 2024 04:12]

FlyEragon @Megalodon86 • 27 mei 2016 08:55

Flash silverlight weggooien en adblockers gebruiken aangevuld met ghostery achtige dingen.

Goldwing1973 @Megalodon86 • 27 mei 2016 09:08

Goeie backups hebben als je op Windows blijft, veiliger zou zijn om Linux te draaien of in het extreme geval, je internet ontkoppelen.
Zoals je in het artikel leest zijn ze heel snel met het doorvoeren van nieuwe exploits, vaak voordat de betreffende update geïnstalleerd wordt.
Zelf draai ik alles op een VMWare ESXi virtual machine, 1x per week maak ik een copie van die virtual machine en alle data staat op een Synology NAS waarvan ook nog eens incremental backups gemaakt worden op de Synology NAS bij m'n ouders en visa-versa.

himlims_ @Megalodon86 • 27 mei 2016 09:45

normaal zou ik zeggen; run linux

maar dat gaat niet op omdat ook het linux platform target is van Angler, lullen wat je wilt; maar is complex stukje code. Vervelend, maar wel bewondering voor hoe zij dit zo maken en onderhouden. Vooral die laatste versie is gewoon

met de data - niets meer aan te doen

XiniX88 @Megalodon86 • 27 mei 2016 08:59

1. Geen flash/java/silverlight draaien chrome://plugins of about://plugins
2. Software (Chrome/Firefox/Opera/Edge) up to date houden.
3. Adblocker draaien
4. Je (belangrijke) bestanden off-site backuppen
5. Overstappen naar MacOS, of een Linux distro (kleinere doelgroep, meestal dus minder kans)
6. Internet abonnement opzeggen

Laatste 2 alleen als je paranoide bent

[Reactie gewijzigd door XiniX88 op 24 juli 2024 04:12]

telenut @XiniX88 • 27 mei 2016 09:14

Punt 5 is tegenwoordig zeker geen slechte keuze. Ik heb al verschillende mensen overgezet op een linux distro, en die komen zelden klagen (of het is omdat hun tomtom gps geen update kan krijgen op hun toestel)

Flagg @XiniX88 • 27 mei 2016 16:14

Ik heb prive alleen nog maar android devices, problem (tijelijk ws) solved.

GameNympho 27 mei 2016 10:24

Als de beveiligingsdiensten hier nu iets aan deden ipv iedereen te monitoren, kwamen we verder en t helpt dat ook nog eens t vertrouwen weer op te bouwen.
Als zelfs virus/malware scanners het niet zien, dan is er ergens iets goed fout, want 90% van de mensen zijn niet goed opgeleid om dit te zien en hier iets aan te doen, de 10% die t wel doet, is toch ook heel voorzichtig ermee, want staat t ergens, krijg t dan maar weer weg, zonder format.
Ze kunnen wel de normale gebruiker voor de rechter halen als men films/muziek etc. download/upload, maar tegen dit soort exploit kits iets doen? Men ziet eigenlijk dat de mensen die dit doen, er verstand van hebben en dik vies geld aan verdienen, geld stromen zijn toch te controleren, ook zelfs de bitcoins?
Wake up veiligheidsdiensten, bouw t vertrouwen weer en pak dit soort gajes en zet ze voor 20 jaar in de bak in Siberië.

TDeK @GameNympho • 27 mei 2016 10:36

Als jij 100 miljoen hebt verdiend met crypto malware campagnes, dan ga jij niet meer de bak in. Eerst koop je elke agent om of je betaalt om hem te laten corrumperen (make you an offer...). Als dat niet lukt verhuis je en/of koop je een andere identiteit. En mocht dat niet lukken dan laat je jezelf in dienst nemen bij een meerletterige dienst, aangezien jouw kennis en kunde veel waard zijn. En rechtzaken koop je met goede advocaten af.
Daarom is het ook zo'n probleem als criminele organisaties extreem veel geld hebben - zie de Mexicaanse drugskartels, de Mafia enz - aangezien hen dat vrijwel onaantastbaar maakt.
Edit: vergeet ook niet dat de top van dergelijke organisaties vaak niet eens bekend zijn; vaak weet de criminele groep zelf niet een wie 'the boss' is, of is die baas in het echt pas 'niveau 3' in de hiërarchie. Iemand die je niet kent kun je ook niet vervolgen.

[Reactie gewijzigd door TDeK op 24 juli 2024 04:12]

GameNympho @TDeK • 27 mei 2016 10:41

En dus eigenlijk beloont worden met hun criminele gedrag, het wordt ind tijd dat men t consumenten vertrouwen weer opbouwt, laat die AIVD maar s wat doen, ze krijgen genoeg

maar wij, de consumenten, vertrouwen in hun hebben?
Als zelfs de adblockers, sommige sites whitelisten door betalingen, dan wat is t nut van de adblocker, weg vertrouwen ook.
Vergis je niet, ook ik gebruik ze en hou alles up te date, maar t is te gek voor worden dat ik me pc bijna een kluis moet gaan maken om dit soort zaken.

TDeK @GameNympho • 27 mei 2016 10:55

Het eigenlijke probleem is dat wij veel teveel zijn gaan leunen op technologie. Als ik mijn telefoon niet meer heb, of deze is 'gegijzeld', dan heb ik een serieus probleem. Mijn agenda, mijn e-mails, contacten, navigatie enz zijn me dan ontnomen. Daarom komt malware ook zo hard aan; het raakt onze dagelijkse workflow en ook tast het zaken aan die normaliter onder het kopje 'onbetaalbaar' vallen (foto's enz). Maar ook bedrijven zijn hier schuldig aan: als een bedrijf een onveilige slimme meter uitgeeft waardoor criminelen de hele landelijke grid kunnen manipuleren, wiens schuld is dat dan? De crimineel of degene die een slecht product heeft geleverd of in gebruik heeft genomen?

Anoniem: 464807 27 mei 2016 12:39

Misschien een beetje een Geert opmerking, maar ze moeten op Europees niveau een hoge straf zetten op het gebruik van een exploitkit wanneer deze voor criminele doeleinden gebruikt wordt (wat volgens mij meestal wel het geval is).
Geef iemand 30 jaar celstraf wanneer hij/zij gepakt wordt ongeacht het land waarin ze wonen binnen Europa. Wellicht is dat afschrikwekkend genoeg voor een grote groep internetcriminelen zodat de baten niet meer tegen de kosten opwegen.
Of zoals bij Al Capone, 5 jaar cel voor ieder vergrijp... 100 mensen afgeperst = 100x5 jaar de bak in.
Helaas zou dit niet opgaan voor aanvallen van buiten Europa die gericht zijn op Europeanen.

Remenic @Anoniem: 464807 • 27 mei 2016 14:11

Het wordt pas afschrikkend wanneer de pakkans te groot wordt. Als in: tegen de 100%. Al zet je er de doodstraf tegenover, zolang de pakkans te klein is, blijven er gasten bestaan die het de moeite wel waard vinden.

lentheman1 27 mei 2016 15:47

Misschien mis ik iets in het geheel hoor maar waarom geen gebruik maken van een software restrictie policy (srp) of applocker op je lokale pc in combinatie met een gewoon gebruikersaccount en alleen iets installeren als admin als je zeker weet dat het veilig is? Met een srp kan je simpelweg dat alleen executables, scripts etc. uitgevoerd mogen worden als ze op de whitelist staan.
Deze manier heeft me al meer dan eens geholpen toen een familielid per abuis was geklikt op een dubieuze link. In de eventvwr stond duidelijk dat een bepaald script geblocked was omdat het niet voldeed aan de policy.

En natuurlijk blijven patchen.

mmjjb @lentheman1 • 27 mei 2016 19:34

Misschien mis ik iets in het geheel hoor maar waarom geen gebruik maken van een software restrictie policy (srp) of applocker op je lokale pc in combinatie met een gewoon gebruikersaccount en alleen iets installeren als admin als je zeker weet dat het veilig is? Met een srp kan je simpelweg dat alleen executables, scripts etc. uitgevoerd mogen worden als ze op de whitelist staan.
Deze manier heeft me al meer dan eens geholpen toen een familielid per abuis was geklikt op een dubieuze link. In de eventvwr stond duidelijk dat een bepaald script geblocked was omdat het niet voldeed aan de policy.

En natuurlijk blijven patchen.

Exact

!! Ik wou het net schrijven en zag dat je me voor was
Tuurlijk kloppen veel van de bovengenoemde oplossingen, maar waarom bijna niemand SRP / app locker aanhaalt is mij onduidelijk. Werkt perfect. Geen gedonder dat de eindklant toolbars of andere meuk installeert. Alleen draaien wat op de whitelist staat is een perfecte oplossing.

En inderdaad blijven patchen

[Reactie gewijzigd door mmjjb op 24 juli 2024 04:12]

biglia 27 mei 2016 09:20

Elke maand 2.8 miljoen $ omzetten naar echt geld en witwassen is nog het moeilijkste.
De FBI heeft al lang een onderzoek geopend. Het is gewoon een kwestie van tijd tot ze opgerold worden. Iedereen maakt fouten waardoor ze sporen achterlaten. Enkel op die manier kan het gestopt worden.

Bor Coördinator Frontpage Admins / FP Powermod

Malware
Security

@biglia • 27 mei 2016 10:13

Dat klinkt als "follow the money". In de praktijk blijkt die veel lastiger dan veel mensen vermoeden. De geldstromen gaan door verschillende landen heen, de valuta wordt soms meerdere malen omgezet naar iets anders (bv naar bitcoins en weer terug) en er wordt gebruik gemaakt van money mules en katvangers. Wanneer de personen achter een exploit kit zijn gepakt (wat je overigens niet bijzonder vaak hoort) staan de volgende weer op. Simpelweg omdat dit een erg lucratieve business is. Vergis je niet in de bedragen die hier in omgaan en de "skills" van de ontwikkelaars.

SBTweaker @Bor • 27 mei 2016 13:53

Waarom skills tussen dubbele quotes, ze hebben zeker wel skills. Met basis kennis snap je niet direct hoe je een patch kan uitbuiten.

PolarBear 27 mei 2016 09:02

Op de vraag waarom veel kwaadaardige sites in Nederland worden gehost, antwoordde Biasini dat dit in zijn ogen te maken heeft met de strenge privacywetgeving, waar de kwaadwillenden zich achter kunnen verschuilen. Meer uitleg gaf hij echter niet.

Nou ja als je met valse gegevens zaken besteld en ook toch best wel technisch onderlegd bent lijkt mij niet dat je rekent op de bescherming van je privacy door wetgeving. Daarbij Nederland heeft ook gewoon (zeker op hosting gebied) een verdomd goede infrastructuur.

Rexus @PolarBear • 27 mei 2016 09:32

Hoewel je wellicht je recht verlies op de bescherming van je privacy door wetgeving moet dit in Nederland eerst onbetwisbaar worden aangetoond. Zeker wanneer er meerdere instanties betrokken zijn kan ik mij voorstellen dat dit een slepend proces is waarin fouten gemakkelijk worden gevonden gedurende de rechtzaak.

Daarnaast zijn de straffen redelijk zacht, als ik een crimineel zou zijn zou ik ook kiezen voor Nederland

TDeK 27 mei 2016 10:04

Wat ik mis in het lijstje is het optreden tegen aanbieders van 'bullet proof hosting', oftewel hosters die niet reageren op abuse meldingen. Daar zijn er best een aantal van, waarbij er zelfs enkele in ons land opereren (Ecatel, Cyberbunker). Maar ook van Amazon AWS is het een publiek geheim dat die niet reageren op abuse meldingen, wat één van de redenen is dat malware steeds vaker in hun cloud wordt gehost en dat aanvallen daarvandaan worden uitgevoerd.
Ik snap niet dat het Team HighTech Crime of het NCSC deze providers nog niet hebben laten afsluiten bij hun uplink providers, of het in ieder geval aanhangig hebben gemaakt.

[Reactie gewijzigd door TDeK op 24 juli 2024 04:12]

RoestVrijStaal 27 mei 2016 10:23

Op de vraag waarom veel kwaadaardige sites in Nederland worden gehost, antwoordde Biasini dat dit in zijn ogen te maken heeft met de strenge privacywetgeving, waar de kwaadwillenden zich achter kunnen verschuilen. Meer uitleg gaf hij echter niet.

Zou het echt enkel om de privacywetgeving gaan? Me dunkt dat er landen zijn waar er -naar bedrijven toe strengere- privacyregels zijn. Of hosters in Nederland houden zich beter aan de privacywetgeving van het land waarin ze zitten.

Me dunkt dat prijs eerder de motivatie is. Voor een prikkie heb je zo een VPS of Dedi bij een aantal Nederlandse hosters.

Of heeft Biasini een fout in z'n statistieken gemaakt door de brievenbus/hoofdkantoor van de bedrijven als vestigingsplaats te nemen?

bbc 27 mei 2016 12:25

Ik had laatst prijs. Geen idee met wat, maar in ieder geval door mijn eigen stommiteit als admin van het systeem. Direct de windows pc uitgezet via de powerknop. Een nieuwe disk erin gestoken en een Windows 10 upgrade uiteindelijk toch maar uitgevoerd.

De oude windows 7 systeem disk via usb aan een linux laptop gehangen om de data eraf te halen waarvan ik nog geen backup zou hebben. Vervolgens de disk gewist. Zelfde verhaal voor de tweede data disk. Ik heb eigenlijk op zich niet zoveel super belangrijke data buiten wat foto's, maar daarvoor bewaar ik wel alle compact flash kaartjes, zodat ik toch nog altijd een aparte backup heb.

Nu ben ik toch uiteindelijk overgeschakeld op een non-admin account voor het surfen, terwijl ik het al jaren aan iedereen zeg, stupid me. Enfin, het was tijd voor een kuis actie en ik ben er op zich een avondje mee kwijt geraakt.

De volgende stappen gaan misschien toch nog zijn om het surfen te sandboxen. Het vervelende is dat elke site een potentieel gevaar is en dat het niet echt praktisch is om bijvoorbeeld te switchen naargelang het belang van de toepassing. PC banking moet misschien ook maar eens op een andere account gebeuren op mijn pc, maar anderzijds is gmail ook heel belangrijk voor me.

Wat backups betreft ben ik aan het twijfelen om google apps for work te nemen. 8 euro per maand is op zich niet weinig, maar je hebt wel een backup, alhoewel gmail me nooit in de steek gelaten heeft tot nu. Daarbij zou ik ook nog een vpsje ergens moeten nemen, maar die moet ik dan wel zelf beheren.

Het zou me dus ergens tussen de 10 en de 20 euro per maand kosten om me te beschermen tegen de gevolgen van zulke exploitkits, maar in ieder geval beter dan geld te geven aan ransomware of gegevens te verliezen wegens geen off-site backup.

Die exploitkits zijn dus een pest.

ro4sho 27 mei 2016 13:25

Wauw, wat een goed artikel! Ik krijg het idee tweakers gevoel weer terug.

Op dit item kan niet meer gereageerd worden.

'Angler-exploitkit is de meest geavanceerde en zal dat nog een tijd blijven'

Lees meer

IT-banen

Reacties (73)

Sorteer op:

Weergave: