Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties

Antivirus- en beveiligingsbedrijf Kaspersky Labs ontdekte in september 2015 een spionagegroep die zich ProjectSauron of Strider noemt. Het gaat volgens Kaspersky om zeer geavanceerde aanvallen, mede omdat ProjectSauron ook data van offline computers weet te stelen.

Kaspersky vermoedt dat het om een 'door een staat gesponsorde cybercampagne' gaat, schrijft het bedrijf in een nieuwsbericht op zijn site. De campagne valt volgens het beveiligingsbedrijf vooral overheidsorganisaties aan met 'voor elk slachtoffer een unieke set tools', waardoor standaard virusdetectie vrijwel onmogelijk is. ProjectSauron liep van juni 2011 tot mei 2016.

ProjectSauron lijkt vooral te zoeken naar hoe toegang te krijgen tot versleutelde communicatie, bijvoorbeeld encryptiesleutels, ip-adressen van communicatieservers en configuratiebestanden. In de tussentijd is de malware bij verschillende organisaties in een aantal landen ontdekt, zowel door Kaspersky als Symantec: Rusland, China, Zweden, Iran, Rwanda en België. Mogelijk zijn ook organisaties en landen die Italiaans spreken doel van de aanvallers geweest. Omdat de aanvallers of spionnen altijd gebruikmaken van andere patronen, kon de campagne lang verborgen blijven. Het laat volgens het antivirusbedrijf zien dat er veel kennis achter zit.

De besmetting van computers die niet met internet verbonden zijn, kon plaatsvinden door een stukje van een usb-stick te formatteren op een computer die online staat. Deze nieuwe partitie van een paar honderd megabyte is niet te zien via Windows. Als de stick vervolgens in een offline-computer gestopt wordt, wordt deze computer besmet. Daarna zal de onzichtbare partitie met bepaalde data gevuld worden. Bij het weer in een online-computer stoppen van de stick, wordt de verzamelde informatie verzonden naar de spionnen.

Welke zero-day-exploits gebruikt worden, is niet bekend. Op dit moment is in de bij de antivirusbedrijven bekende malware nog geen zero-day ontdekt die gebruikt is. ProjectSauron werkt op alle moderne Microsoft Windows-systemen. Er is nog geen niet-Windows-versie ontdekt.

Kaspersky stelt verder dat ProjectSauron zeer geavanceerd is en het heeft vermoedelijk miljoenen dollars gekost om te maken. De kwaliteit staat op de hoogte van Duqu, Flame, Equation en Regin.

ProjectSauron Strider

Moderatie-faq Wijzig weergave

Reacties (51)

Een mooie case om klanten met offline (beveiligde/geïsoleerde/industriële/sturing....) computers te overtuigen toch maar een systeem te implementeren om te patchen. Dat wordt nog altijd (te) vaak genegeerd vanwege "onnodig" of "geen risico". Dat terwijl zo'n systemen juist het hart van operations blijken te zijn!

[Reactie gewijzigd door the_stickie op 8 augustus 2016 20:45]

Als het om gewone usb sticks gaat is het voldoende om externe media niet zelf startend te maken, iets wat ik bij alle computers standaard doe.
Als het een usb stick met processor en slimme copy routines is dan helpt patchen ook niet.
Dat ligt er denk ik aan wat voor exploit ze gebruiken. Als je een stick in Windows inplugt wordt ie door het OS geinitialiseerd wat al genoeg kan zijn om iets binnen te krijgen wat niet de bedoeling is.
Jawel, maar bij dit soort gerichte attacks is ook patchen niet zaligmakend. Als een aanvaller echt miljoenen uittrekt om bij je offline servertjes te komen dan gaat hij er niet van uit dat hij een exploit kan toepassen die MS toevallig al gepatcht heeft, die komt dan met zijn eigen zero day aan. Waarmee niet gezegd is dat het niet kan helpen, natuurlijk... als je niet patched weet je in ieder geval zeker dat de aanvaller weinig meer moeite hoeft te doen dan bij het systeem komen.

Het is heel, heel moeilijk te beveiligen tegen dit soort zaken. Secondelijm in alle USB-poorten gieten en dan nog hopen dat er geen andere firmware in je machine zit die ze gaan misbruiken. 8)7
Het is heel, heel moeilijk te beveiligen tegen dit soort zaken. Secondelijm in alle USB-poorten gieten en dan nog hopen dat er geen andere firmware in je machine zit die ze gaan misbruiken. 8)7
Er zijn toch tools van oa Symantec die alleen bepaalde type USB sticks herkennen?
Een van de beveiligingsmethodes is dat de USB auto run functie echt afgesloten wordt.
Nu ken ik deze mall ware niet, maar een van de risico's van USB drivers is de auto run optie. Als je dit uitzet, kan niet zomaar elke app automatisch starten. Als je dit nu met een eenvoudige stick van ¤40 kan verhelpen, kan je nog wel bij je USB poorten (best handig bij offline systemen) maar alleen met gecontroleerde sticks.
Een van de beveiligingsmethodes is dat de USB auto run functie echt afgesloten wordt.
Die functie is het probleem niet, en ik mag hopen dat dat al op alle servers uit staat, anders vraag je erom. Het probleem is USB-sticks (of andere apparaten) met hacked firmware, die zich kunnen voordoen als toetsenborden om data in te kunnen voeren, of als een Ethernet-adapter die alle requests naar internet forward, of als een gewone USB-stick maar dan een die alle gekopieerde data automatisch voorziet van een virus, of als een hub met meerdere apparaten (waaronder ook een onschuldige stick). De mogelijkheden zijn eindeloos en virusscanners kunnen niet bij de firmware, dus tenzij je alle USB weigert (of andere specfieke maatregelen neemt om je hardwareconfiguratie te garanderen) is er weinig tegen te doen. Zeker wanneer de stick speciaal gebouwd is om specifiek een bepaalde configuratie aan te vallen. Zoek op "BadUSB" en huiver.
Project_Sauron
(of.Stridor) ;(


"WINDIR" && drive = "C:\\" ;

doen me altijd denken aan herfstbladeren,

mona-toetjes en 20 november 1985 8-)

[Reactie gewijzigd door phox10 op 8 augustus 2016 22:23]

Waarom is er eigenlijk geen automatische controle op partities op usb sticks?

Ik kan me niet voorstellen dat iemand bewust zijn usb stick verdeeld partitioneerd, maar het moet vanuit het OS toch relatief makkelijk zijn om, zodra een usb stick wordt aangesloten, te controleren of er meer als een partitie is en zo ja, een melding te geven dat de usb stick eventueel onveilig is?

[Reactie gewijzigd door Ronald1302 op 8 augustus 2016 22:10]

Misschien het label 'onveilig' eraf. Wat dacht je van een popup voor élk USB-apparaat wat wat diagnostische gegevens laat zien, zoals vendor / product, checksum van de partitietabel, type apparaat (waarmee de USB-stick die zich als toetsenbord voordoet zo door de mand valt).

Tja, daar is de mens weer de zwakke factor; te veel mensen zullen dat als vervelend ervaren omdat ze de kennis missen om de informatie te interpreteren en een valide oordeel te vellen, maar ja.

Ik zou het geen probleem vinden om élk (onbekend) USB-apparaat wat ik inplug is handmatig te moeten goedkeuren, en te herkeuren indien er iets ingrijpends gewijzigd is (zoals de partiitetabel van een mass storage device). Een virusscanner zou hier dan op in kunnen haken om de gegevens te verifiëren met een lijst van bekende malware op USB-sticks en dergelijke. Voordat goedkeurnig is verleend (handmatig of door een virusscanner) krijgt het apparaat niet de gelegenheid om ook maar wat voor interactie met de driver aan te gaan, natuurlijk. Voor zover mogelijk zou de driver niet eens geladene / gekoppeld moeten worden voor deze goedkeuring.
Werkt niet. "Voordat de USB driver geladen is moet de partitie-tabel goedgekeurd zijn" betekent dat je de data van de USB stick leest zonder een driver te gebruiken - waarvoor dacht je dat die driver was?!

En hoe wil je op OK klikken voordat je muisdriver goedgekeurd is?!
Kan prima werken. Windows slaat tijdens de setup de USB signatures op van het aangesloten toetsenbord en muis. Gaat je toetsenbord stuk dan boot je maar even in recovery modus om je standaard-toetsenbord te vervangen ofzo.

Je kunt éérst apparaat-type, product-ID en vendor opvragen en tonen zonder een driver te laden. Mocht het een Mass Storage Device is, kan je daarna de partitietabel opvragen en deze laten goedkeuren, voordat er wat voor andere code dan ook gebruik van de driver kan maken.
"USB signatures"? Ik heb daadwerkelijk aan USB hardware geprogrammeerd, en ik kan je vertellen dat het een uitzondering is als USB hardware unieke signatures heeft - juist muizen en keyboards missen die, want het moet allemaal goedkoop zijn. Je mobiele telefoon daarentegen heeft vrijwel zeker een correcte USB signature.

En nee, je kunt zelfs niet het apparaat-type opvragen zonder drivers. Je moet daarvoor USB bus-enumeratie doen, en dat gebeurt op driver-nivo. Voor alle duidelijkheid: elk USB device gebruikt een stack (stapel) van drivers, met onderop zaken als USB1/2/3 en E/U/O/xHCI en bovenop class drivers en device-specifieke drivers.
Ik bedoel met USB-Signature natuurlijk niet de GUID, die inderdaad lang niet altijd aanwezig is, maar dat had ik niet zo duidelijk verwoord.

Wat ik met USB-signature bedoel is meer iets als een hash / combinatie van vendor, product-ID en class. Daarmee wordt ook aangegeven welke driver er nodig is. Geen idee hoe dat precies zit op Windows maar op Linux is het een piece of cake om een USB-device aan te sluiten zonder dat daar direct een driver aan gekoppeld wordt.

Ok, dat laat wel een gat open als iemand een bestaand device heeft gemodificeerd, maar daarmee wordt de kans dat er iets fout gaat met een onbekende USB-stick al een stuk kleiner. Dat zou betekenen dat de aanvaller al specifiek moet weten welke hardware er gebruikt wordt om zijn geprepareerde USB-stick daarop in te stellen en is het dus lang zo generiek niet meer. Voor MSD-devices heb je daarna natuurlijk nog veel meer houvast om te bepalen of het een bekend of onbekend apparaat is: je kunt op basis van de partitietabel (of GPT GUIDs) een aanvullende hash bepalen.

Natuurlijk zal de bus-enumeratie moeten werken, anders kom je überhaupt niet bij het device. Dat brengt echter nog geen (extra) risico voor de PC met zich mee; als er daar iets fout kan gaan dan is dat een bug in het OS en niet zo zeer in het USB device. Maar de HID-driver voor een toetsenbord laden kan prima uitgesteld worden tot nadat aan de gebruiker is voorgelegd of hij inderdaad een toetsenbord heeft aangesloten. Hetzelfde geldt natuurlijk voor de MSD-driver, netwerk-driver of wat dan ook maar.

Feilloos is het niet, dat beweerde ik ook niet. Maar de huidige omgang met USB-devices is gewoon veel te gevaarlijk. Een dergelijke maatregel zal enorm helpen om een drempel op te werpen om succesvolle aanvallen met geprepareerde USB-sticks uit te voeren.
Ja, en dat is dus vaak niet voldoende. Stel dat je aanvaller heeft weten te achterhalen dat je bedrijf HP computers gebruikt, dan is vendor=HP, product-ID=keyboard, class=Human Input Devices (HID) een goede gok voor een keylogger.

Ik denk dat je ook iets te makkelijk over het probleem stapt dat de USB drivers erg vroeg tijdens het booten geladen worden. Sterker nog, omdat het BIOS c.q. UEFI ook al een keyboard nodig heeft zal de eesrte USB enumeratie al gebeurd zijn voordat je OS zelfs maar geladen is.

Realistisch gezien zijn de beveiligingen die je voorstelt dus geen groot struikelblok voor de state actors die achter dit soort serieuze aanvallen zitten, terwijl ze wel hinderlijk zijn voor normale gebruikers.
Ja, en dat is dus vaak niet voldoende. Stel dat je aanvaller heeft weten te achterhalen dat je bedrijf HP computers gebruikt, dan is vendor=HP, product-ID=keyboard, class=Human Input Devices (HID) een goede gok voor een keylogger.
Dan heb je dus geen generieke aanval / virus, maar een speciaal geprepareerde USB-stick voor bedrijf X. Bij bedrijf Y, waar ze Dell-computers gebruiken, werkt het niet. En bij mevrouw Jansen thuis die een Acer laptop heeft werkt het ook al niet.
Ik denk dat je ook iets te makkelijk over het probleem stapt dat de USB drivers erg vroeg tijdens het booten geladen worden. Sterker nog, omdat het BIOS c.q. UEFI ook al een keyboard nodig heeft zal de eesrte USB enumeratie al gebeurd zijn voordat je OS zelfs maar geladen is.
Daarbij ga je er dan vanuit dat de USB-stick al in het systeem zit als die opgestart wordt. Niet ondenkbaar natuurlijk, maar niet de meest voorkomende situatie.

Als het goed is voert UEFI sowieso geen code uit van de USB-stick,, deze staat gewoon ingesteld om het geinstalleerde OS op te starten. De standaard-instellingen voor UEFI zijn meestal ook ultra quick boot tegenwoordig, waarbij op del rammen op je toetsenbord geen zin heeft omdat de USB-driver niet geladen wordt en dit aan het OS overgelaten wordt. Om dan in de UEFI setup te komen moet je vanuit het OS rebooten met de optie om maar de setup te gaan. Hierbij is het OS dus de eerste die de USB devices aanspreekt, tenzij je expliciet de UEFI setup start waarbij de driver natuurlijk wel geladen wordt. Zelfs als UEFI wel een driver voor een HID-device laadt, doet UEFI een hand-off aan het OS zodra die er klaar voor is en is het de verantwoordelijkheid van het OS om het apparaat al of niet te gebruiken. Daarmee verklein je dus de attack-vector alleen tot exploits in UEFI.

Mijn punt is vooral dat er momenteel géén beveiliging is, out-of-the-box. Alles wat je aansluit wordt als zoete koek geslikt en geactiveerd. Daar zou wat aan moeten veranderen. Net zo goed als de autorun.inf op de ouderwetse CD-ROMs een groot beveiligingsrisico was, is het automatisch accepteren van USB-devices dat ook.

Een expliciete goedkeuring van USB-sticks is geen holy grail, maar het is in ieder geval iets, wat de meeste gevallen waarschijnlijk wel zal onderscheppen.

Een toegangscode van test1234 op je accounts zetten is ook altijd nog beter dan helemaal geen toegangscode instellen ;) En ik durf wel te stellen dat het expliciet goedkeuren van USB-devices meer bescherming biedt dan een wachtwoord test1234.
vele usb sticks hebben tegenwoordig helaas meerdere partities, met o.a. de built in software e.d. van de fabrikant (denk aan meegeleverde encryptie etc. ik kan me voorstellen dat een microsoft niet echt geinterreseerd is een grote groep usb sticks zomaar als 'gevaarlijk' te labelen
Partities bestaan niet als hardware. Een USB-stick is een lineair adresseerbaar apparaat met een vaste opslagcapaciteit. Techisch gezien is de partititabel slechts data, waardoor je naar mijn idee in feite kan stellen dat het OS nalatig is in controle.
Een USB-stick die zijn eigen data encrypt/decrypt wil ik zien...

[Reactie gewijzigd door blorf op 9 augustus 2016 08:42]

Partities bestaan niet in hardware, maar USB heeft multi-function devices. Je kunt dus een USB stick hebben met daarop twee "Mass Storage class" USB devices. Die devices krijgen dus ook twee drive letters van Windows. Implementatie is een triviaal stukje software in de microcontroller.
Nooit iets dergelijks gezien, maar wat voor verband hebben die 2 stations in 1 behuizing dan met elkaar dat ze gezamenlijk door 1 microcontroller moeten worden aangestuurd? Lijkt me sowieso een vrij nutteloos device, behalve voor als je 2 stations tegelijk wil kunnen benaderen en daar maar 1 usb-slot voor wil gebruiken en een hub geen optie is...?
Een gangbaar voorbeeld is de encrypted USB storage, waarbij de drivers op een tweede niet-encrypted station staan. Een ander voorbeeld is een station wat read-only is (CD-ROM emulatie)

De keuze voor 1 micro-controller in zo'n ding is geen noodzaak maar een economische keuze.
Er zijn veel sticks op de markt met standaard meerdere partities of bepaalde situaties waarin het heel handig is meerdere partities op een stick te hebben.
Bijvoorbeeld zgn. beveiligde USB sticks waar een en/decryptieprogramma op een zelfopstartende unencrypted partitie staat die dan automatisch een password schermpje in Windows laat zien en voor jou de encrypted datapartitie toegankelijk maakt als dat wachtwoord klopt. Ander voorbeeld: bootable live OS USB sticks waarbij de rest van de opslagruimte 'gewoon' beschikbaar is als losse partitie, als er niet van wordt geboot (en ook in het live os nadat ervan is geboot natuurlijk).
uit de bovenstaande tekst.
vooral overheidsorganisaties aan met 'voor elk slachtoffer een unieke set tools, waardoor standaard virusdetectie vrijwel onmogelijk is. ProjectSauron liep van juni 2011 tot mei 2016.
Maar ik snap juist niet waarom het niet mogelijk is een usb stick te controlleren op partities, daarmee kan je in ieder geval al een deel van het risico uitsluiten/verminderen.
Partities (delen op de schijf) hoeven niet eens aangegeven zijn enzo kan partitie software het niet eens zien. Data in bad blocks etc
Ik kan me niet voorstellen dat iemand bewust zijn usb stick verdeeld.
Dit gaat juist onbewust. De strategie die ze hanteren is er eentje waarbij ze een USB stick aanbieden via een relatiegeschenk (64 GB USB stick zullen de meeste mensen niet afslaan) of juist ergens rond laten slingeren. Vroeg of laat is er wel een nono die zo'n ding in een USB poort prikt om te kijken wat er op staat.
Met verdeeld bedoelde ik gepartitioneerd. (sorry voor de verwarring, heb het veranderd)

[Reactie gewijzigd door Ronald1302 op 8 augustus 2016 22:08]

De vermoedelijke oorsprong van Flame en Duqu kennen we inmiddels (USA), en gezien het aangenomen verspreidingsgebied zou je kunnen vermoeden dat dit het volgende project van deze club is geweest. Zomaar een gedachte natuurlijk...
Ik denk dat je deze gedachte wel kan omzetten in een feit ;) ik ben heel benieuwd hoe Amerika zou reageren als er bijvoorbeeld een virus in hun kerncentrales te vinden is. Ik gok dat de wereld dan te klein is en het meteen wordt gezien als een act of terrorisme. Lijkt wel of ze zichzelf een soort van vrijbrief hebben gegeven om alles en iedereen te hacken onder het mom van veiligheid.
Nou noem je wel Amerika maar er zijn meer gegadigden, Israel?
Of misschien een "joint venture" van een paar bevriende inteligente bureautje,s?
Lijkt me best een goede gok zeker als je ook naar het geschatte benodigde budget en de targets kijkt.
Dat budget is nodig wanneer je een projectgroep samenstelt dat vanuit het niets een bruikbaar lek moet vinden en een tool moet ontwikkelen om dat lek op afstand uit te buiten.
Een goede programmeur/ hacker die in een brainwave een vondst en een concept aan elkaar knoopt kan dit in een paar avonden zelf op zijn zolderkamer maken. (En wanneer hij wil flink cashen door het te verkopen.)
scary, ik kreeg een paar dagen terug een email van de conferentie organisatie dat op sommige USBs van de conference proceedings een virus zat. Niet dat ik een USB stick heb gevonden in mijn conference goodie bag, maar goed :)
Ja ik vind het ook scary dat spontaan verschillende bedrijven het ontdekken, of ik moet iets belangrijks missen (zoals een overname). Maar nu.nl (jaja, maar qua tech nieuws sneller dan tweakers.net) verwijst naar Symantec?
http://www.nu.nl/internet...and-en-china-ontdekt.html
nu.nl kwam er al in de vroege middag mee namelijk, echter gaat het daar over Symantec en een aantal uur later komt tweakers met kaspersky?

[Reactie gewijzigd door LopendeVogel op 8 augustus 2016 20:15]

We hadden onder andere een mail van Kaspersky in de redactiemailbox. Van daaruit ging ik zoeken en kwam ook uiteindelijk Symantec tegen. Vandaar!
Niet flauw doen eh. Dit bericht stond rond 10u vanochtend al op secuity.nl
Nee Tweakers leest daar niet :X De kruisbestuiving gebeurt steeds meer. Niks mis mee maar doen alsof met "een mail van Kaspersky in de redactiemailbox" is er vér over, vind ik.
Op dit moment is in de bij de anti-virusbedrijven bekende malware nog geen zero-day ontdekt die gebruikt is
Er moet iets gebeuren tussen het moment van insteken van de USB stick in een offline computer en het daadwerkelijk draaien van code door de CPU van de computer. Dat gaat of via een exploit (of 'functie' van Windows) die de code op de verborgen partitie start, of dat gaat via de gebruiker.

De campagne zou in mei 2016 gestopt zijn. Er is dus een kans dat het ondertussen geen zero-days meer betreft. Dit is natuurlijk in de aanname dat het gewone USB sticks betreft zonder speciaal geprepareerde chips die iets doen met bijvoorbeeld de USB driver.

[Reactie gewijzigd door The Zep Man op 8 augustus 2016 19:33]

Hitman Pro Alert heeft deze functionaliteit, daar zit een soort USB firewall in.
Goh, besmetting via USB stick... Zag het toevallig vandaag nog in de serie Mr. Robot, en die producers hebben vrij weinig kaas gegeten van security... 8)7
Maar ja, aan de andere kant: hoe krijg je anders data van en naar een offline computer?
...'hoe krijg je anders data van en naar een offline computer?'

=> Special Opportunity!
(speciale augustus 2016 aanbieding i.v.m. Project_Sauron of Stridor) 8-)

[Reactie gewijzigd door phox10 op 8 augustus 2016 22:22]

die producers hebben weinig kaas gegeten van security? ik vind het altijd wel leuk om te zien dat in mr robot vaak veel tijd wordt gestoken in de displays en data op de schermen er echt uit te laten zien, niet echt het idee dat er veel niet klopt (wordt natuurlijk wel ligt gehollywood in met name de tijd die sommige dingen kunnen beslaan, maar lijkt meestal wel redelijk te kloppen?
mja daar heb je eigenlijk wel gelijk in. Het is 100x beter dan de meeste series/films.
Maar over mr robot: daar gebruiken ze ftp (ipv sftp oid) om een hack programmaatje door te sturen.

edit: ok, jij je zin ;) het klopt allemaal wel aardig goed https://www.quora.com/Mr-...acker-societies-realistic

[Reactie gewijzigd door Menesis op 9 augustus 2016 11:51]

Een van de redenen dat ik op het werk maar 1 usb-stick gebruik. Maar aan de andere kant, hij gaat van niet-internet naar wel-internet en terug. Hoe raak je besmet?
Online door malware of door het insteken van een device met een exploit. Zo werkt bijvoorbeeld "rubber ducky" ook. Veel van dit soort usb tools doen zich voor als een toetsenbord waardoor ze voor het grootste deel ongefilterd hun werk kunnen doen. Van daaruit wordt op hoog tempo een aantal exploits afgevuurd.
een dergelijke methode heeft wel een gemodificeerde usb stick nodig, bij het gebruik van een usb stick die niet aangespast is zal de software op een of andere manier zich moeten wete te activeren op de 'offline-pc', dit kan op verschillende manieren, maar niet op een universele wijze, dit zal waarschijnlijk ook zijn waar het 'individuele tools' aspect vooral om draait
online door malware.
Lees mijn reactie nog even terug, je mist wat.
je steekt hem in een met internet verbonden pc, zo raakt hij geïnfecteerd, infecteer je andere pc's, die op hun beurt ook weer elke stick infecteren die er in gestoken wordt
Hacking de grootste misdaad van deze tijd.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True