Nieuwe variant van malware uit 2012 wist harde schijven via geheugeninjectie

Onderzoekers van beveiligingsbedrijf Kaspersky hebben een nieuwe variant van de Shamoon-malware ontdekt, die in 2012 actief werd gebruikt bij doelwitten in Saoedi-Arabië. De ontdekte versie heeft de naam StoneDrill gekregen en heeft verschillende nieuwe eigenschappen.

Kasperksy heeft een blogpost aan de nieuwe variant gewijd en heeft verdere informatie in een rapport opgenomen. Daarin gaat het in op de verschillen tussen de Shamoon- en de StoneDrill-versies. De Shamoon-malware, die ook wel Disttrack heet en in 2012 onder andere een Saoedi-Arabisch energiebedrijf trof, is in november en januari gebruikt om nieuwe aanvallen in dezelfde regio uit te voeren. Deze malware heeft de naam Shamoon 2.0 gekregen. Tijdens het onderzoek naar deze variant stootte Kaspersky op de StoneDrill-malware, die ook bij een doelwit in Europa is waargenomen.

De twee nieuwe varianten hebben enkele overeenkomstige eigenschappen. Zo gaat het in beide gevallen om versleutelde malware die een systeem infecteert en op zoek gaat naar beheerdersrechten op het netwerk om zich verder te verspreiden. Daarna activeert de kwaadaardige software een wiper, die geïnfecteerde systemen volledig onbruikbaar maakt. Daarnaast zijn de malwaresamples rond dezelfde periode in 2016 gecompileerd.

Verschillen zijn dat Shamoon 2.0 een ransomwaremodule bevat, die momenteel nog niet werkzaam is, maar dat in de toekomst wel kan worden. StoneDrill maakt op zijn beurt gebruik van geavanceerde technieken om detectie te voorkomen en maakt geen gebruik van een driver om systemen te wissen. In plaats daarvan wordt de wiper direct in het geheugen van de standaardbrowser van het doelwit geïnjecteerd. Daardoor is deze versie niet in staat tot raw disk wiping, maar beperkt ze zich tot bestanden die voor de gebruiker toegankelijk zijn. StoneDrill maakt verbinding met c2-servers, terwijl de recentste versie van Shamoon 2.0 niet communiceert met de aanvallers. Daarnaast verschilt de taal die in de malwarecomponenten is gebruikt.

Door deze overeenkomsten en verschillen komt Kaspersky tot de conclusie dat de malware afkomstig is van verschillende groepen die soortgelijke doelstellingen hebben, hoewel andere scenario's mogelijk zijn. De organisatie omschrijft Shamoon als een flashy tool, die in geïsoleerde incidenten wordt gebruikt, terwijl StoneDrill samen met de NewsBeef-aanvallen blijk geeft van een blijvende focus op doelwitten in Saoedi-Arabië. Dat StoneDrill bij een petrochemisch bedrijf in Europa zonder connectie tot de regio is ontdekt, kan een aanwijzing zijn dat de personen erachter zich op nieuwe doelwitten richten.

IT-banen

Reacties (28)

Astrix 7 maart 2017 10:58

Een goede regelmatige back-up blijft ondanks alle genomen voorzorgsmaatregelen belangrijk.

SpoekGTi @Astrix • 7 maart 2017 11:04

Plus systeem kritiek applicaties/devices alleen benaderbaar maken via fysieke toegang. Kortom hang geen nucleaire centrale aan een experiabox met een portforward voor telnet

[Reactie gewijzigd door SpoekGTi op 23 juli 2024 06:34]

Verwijderd @SpoekGTi • 7 maart 2017 13:53

Dat houdt wel iets tegen maar voor dit soort doelgerichte aanvallen is het niet voldoende. De Stuxnet worm wist Iraanse kerncentrales te infiltreren, die volledig los (air gapped) van het internet draaiden. De documentaire Zero Days is een aanrader op dit gebied en laat zien hoe uitgekiend de aanvallers en de worm te werk gingen.

anargeek @Verwijderd • 7 maart 2017 14:00

Als je een bedrijfskritisch apparaat buiten de rest van het netwerk zet, zal je ook de USB-drives onklaar moeten maken (liefst fysiek eruit slopen). Anders schiet je er nog weinig mee op

Liberteque @anargeek • 7 maart 2017 14:51

Klopt hoor, vaak gaan gerichte aanvallen vooraf aan een aantal USB sticks 's ochtends op het parkeerterrein bij het bedrijf in kwestie strategisch worden neergelegd. Er is er altijd wel eentje die net even te nieuwsgierig is..

anargeek @Liberteque • 7 maart 2017 16:05

Natuurlijk is een onbekende stick in een bedrijfskritisch systeem stoppen altijd een enorm slecht idee. In een normale computer ook trouwens, want je kan met geen mogelijkheid van te voren weten wat er gebeurd. Er is genoeg USB-malware in omloop dat zich al uitvoert voordat je PC heeft uitgevogeld wat voor soort USB-apparaat het is

iBugged @anargeek • 7 maart 2017 18:26

En wat te denken van een USB-killer ;p

Neko Koneko @SpoekGTi • 7 maart 2017 11:22

Maar hoe moet de operator dan zijn facebook status bijwerken?

Kram Nelook @Neko Koneko • 7 maart 2017 11:32

Gewoon via mail

https://www.lifewire.com/...email-in-facebook-1170534

computerjunky @Astrix • 7 maart 2017 14:57

Moet je niet steeds op hetzelfde backuppen anders kan je je backups infecteren.
malware kan makkelijk weken op je pc aanwezig zijn voordat het geactiveerd word en dan ben je dus alsnog alles kwijt.

Gewoon altijd je processen monitoren weten waar je op klikt is nog altijd de beste beveiliging.

the_stickie @computerjunky • 7 maart 2017 15:20

Moet je niet steeds op hetzelfde backuppen anders kan je je backups infecteren.
malware kan makkelijk weken op je pc aanwezig zijn voordat het geactiveerd word en dan ben je dus alsnog alles kwijt.

Een goede backup wordt niet overschreven en is niet lees- of overschrijfbaar tijdens 'normaal gebruik'. De backup wordt apart bewaard (hoe verder hoe beter, en dus zeker niet een harde schijf aangesloten op je pc laten) en voor heel lange tijd. Meestal bewaart men in 'generaties' (Grandfather father son of een ander rotatieschema) bijvoorbeeld: dagelijkse backup voor de voorbije maand, maandelijkse backups voor het voorbije jaar, jaarlijkse backups voor altijd. Op die manier kan je bij het ontdekken van dataverlies (of malware) stapgewijs op zoek naar de 'beste' backup.

Gewoon altijd je processen monitoren weten waar je op klikt is nog altijd de beste beveiliging.

Het is wel zeer verstandig goed op te letten, maar 'kijken waarop je klikt' en 'processen monitoren' is wat mij betreft onvoldoende als 'beveiliging'.
De veiligheid van een computer is nooit absoluut en hoe meer maatregelen je neemt, hoe veiliger het wordt. Je moet dus zelf de afweging maken welk niveau van veiligheid je wil.
Updates, antivirus/antimalware, goedebackups en verstandig gebruik lijkt mij het minimum voor een thuis pc.

computerjunky @the_stickie • 7 maart 2017 15:28

Eerste ding wat je altijd moet doen is kijken waar je op klikt.

-Klik dus NOOIT op banners! je weet immers nooit wat hierachter zit omdat de statusbalk vaak alleen een javascript link laat zien.

-Kijk altijd in de statusbalk waar een link naartoe linkt. dit laat zien of je op dezelfde site blijft of naar de gewenste site gaat.

-En kijk of de download overeen komt met wat je in gedachten had. ik heb vaak zat een .exe gezien ipv een .zip/rar .pfd of .txt die ik verwachtte. Niet op klikken dus.

Met deze 3 stappen moet je echt 99% van alle bagger al tegen kunnen gaan aangezien het meeste zelf onbewust gedownload en geïnstalleerd is.

De services en processen zijn vaak al te laat en ben je al geïnfecteerd maar je kan vaak nog wel voordat alles actief is je data veilig stellen of de malware verwijderen/deactiveren/constateren.

the_stickie @computerjunky • 7 maart 2017 20:58

Je hebt gelijk, maar als je enkel 'methode' gebruikt, ben je alsnog kwetsbaar voor vanalles (ik veronderstel dat 99% een zegswijze is?).
De in het artikel genoemde malware wordt gebruikt in targeted attacks en verspreidt zich op een netwerk met geharveste credentials. Dat hou je niet tegen met veilig surfgedrag of zelfs antivirus.

computerjunky @the_stickie • 8 maart 2017 03:23

ja 99% is geen precies nummer dat is namelijk onmogelijk te geven.
Maar van alle besmettingen en infecties die ik gezien heb was er maar 1 via een manier binnen gekomen waar de gebruiker niet direct wat aan kon doen.

the_stickie @computerjunky • 8 maart 2017 16:54

Laat ons het erop houden dat ik al wel andere dingen ben tegengekomen; trojans en wormen zijn best courant!

Een deel van het probleem is ook dat een gebruiker (zelfs een gevorderde) onmogelijk (of enkel met tools) het verschil kan zien tussen een geïnfecteerd en een gezond bestand. Er moet maar een persoon zich vergissen op je netwerk en het hek is van de dam.

Imho is veilig surfgedrag een must, maar niet de enige maatregel die absoluut noodzakelijk is.

xleeuwx @computerjunky • 7 maart 2017 22:52

Dit helpt tegen malware die niet specifiek gericht is maar niet tegen malware dat specifiek voor Een bedrijf of persoon is gericht. Heel simpel geen usb poorten op kwetsbare systemen en geen netwerk connectie.

computerjunky @xleeuwx • 8 maart 2017 03:25

Tja als dit soort meuk via een hack of iets dergelijks binnenkomt word het lastige tegenhouden zo natuurlijk.
elke andere manier is de gebruiker dus verantwoordelijk. ook een usb stick ben je verantwoordelijk voor.
Dat veel mensen geen benul hebben van wat ze aan het doen zijn moet dan ook een reden zijn om de systemen hiertegen te beschermen door middel van usb stick drivers verwijderen bijvoorbeeld.

dukejunior 7 maart 2017 11:59

Het valt me op dat in het rapport van Kaspersky regelmatig gerefereerd wordt aan Windows specifieke eigenschappen. Volgens mij kunnen we er dan van uit gaan dat *nix en Apple machines hier geen hinder van (kunnen) ondervinden?

Is wel een fijne gedachte. Zit nu voor het eerst sinds lange tijd weer op mijn Ubuntu 14.04 machine.
Niet dat dit volledige veiligheid garandeert, maar in ieder geval voor deze malware wel.
;-)

https://securelist.com/fi...moon_StoneDrill_final.pdf

computerjunky @dukejunior • 7 maart 2017 14:59

tja windows blijft het nummer 1 os enb daarom het meest interessant voor aanvallen.
Mac en linux zijn een fractie van de markt dus compleet niet interessant in vergelijking met windows.

als 70% van de wereldbevolking een mac had was windows veiliger geweest en had mac de sjaak geweest.

Persoonlijk zou ik als ik crimineel was toch mac aanvallen omdat daar toch meer het geld lijkt te zitten (zijn duurder en meer buisness gerelateerd) dus je meer suc6 met ransomware zou hebben.

[Reactie gewijzigd door computerjunky op 23 juli 2024 06:34]

Verwijderd 7 maart 2017 11:38

updates bij houden, regelmatig scannen en een peper duur anti virus programma helpen.

Zelf surf ik al 8 jaar met enkel een Tor apje, host file en een ad blocker en ja dan vraag je natuurlijk om problemen maar wat doe je er aan?

Toen een maatje van mij even simpelweg opsomde wat voor plaatjes en documenten ik op mijn computer had staan wist ik gewoon van shit.. de beveiliging is gatenkaas maar dat de technologie al zo ver gevorderd was, dat men op afstand kan zien wat er op mijn computertje staat verbaasde me enigszins.

MadEgg @Verwijderd • 7 maart 2017 11:59

de beveiliging is gatenkaas maar dat de technologie al zo ver gevorderd was, dat men op afstand kan zien wat er op mijn computertje staat verbaasde me enigszins.

Dat kon 40-50 jaar geleden ook al... ICT moet beveiligd worden, anders is het vragen om problemen.

Goldwing1973 @MadEgg • 7 maart 2017 12:53

Of het goeie ouwe Windows 98 tijdperk, simpele nmap scan uitvoeren naar een subnet op het internet om te kijken wie er met een inbel-verbinding en dan via "net use x: \\ip-adres\c$" volledige toegang hebben tot het systeem.

waspoeder @Verwijderd • 7 maart 2017 11:53

Serieus ?

Zezura 7 maart 2017 11:31

En hoe moet de systeem beheerder die de operator help met screen software helpen bij problemen met Facebook vanuit huis?

https://m.youtube.com/watch?v=nY7i7kj2jO4