Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Oude Dimnie-trojan richt zich op GitHub-ontwikkelaars

Door , 41 reacties

Beveiligingsbedrijf Palo Alto Networks heeft een analyse gepubliceerd van de zogenaamde Dimnie-trojan, die wordt gebruikt in een campagne die op GitHub-ontwikkelaars is gericht. De trojan bestaat al drie jaar, maar richt zich pas sinds kort op ontwikkelaars.

Volgens het bedrijf wordt Dimnie verspreid door middel van phishing-e-mails die een aanbod voor een baan lijken te bevatten. In de tekst wordt gerefereerd aan een 'indrukwekkende GitHub-repository' van de ontvanger, die aanleiding voor het aanbod zou zijn. In de bijlage van de e-mail bevindt zich een kwaadaardig doc-bestand, dat een macro bevat om een Powershell-opdracht uit te voeren waarmee een payload binnen wordt gehaald.

Bij de analyse van de trojan komt naar voren dat deze een niet langer gebruikt Google-domein gebruikt om ogenschijnlijk een http-proxyverzoek uit te sturen. In werkelijkheid wordt er verbinding gemaakt met een ander ip-adres door middel van een dns-verzoek. Hoewel dit volgens de onderzoekers niet moeilijk voor elkaar te krijgen is, bemoeilijkt het de detectie van het verkeer. Op die manier kan de met aes versleutelde payload worden binnengehaald.

Deze kan voorzien worden van modules voor uiteenlopende taken, zoals het maken van schermafbeeldingen, keylogging en communicatie met smartcards. Daarnaast is er een module die alle gegevens op de c-schijf vernietigt. Buitgemaakte gegevens worden opnieuw versleuteld teruggestuurd naar de personen achter de campagne, ditmaal via een POST-verzoek dat naar het gmail-domein verstuurd lijkt te worden. Ook deze maatregel dient om detectie te voorkomen, aldus de onderzoekers.

Ze schrijven dat Dimnie zich in eerste instantie richtte op Russisch sprekende doelwitten en dat de trojan daarom gedurende drie jaar vrijwel niet is opgevallen. Doordat hij zich nu op GitHub-ontwikkelaars richt, valt hij meer op.

Tekst uit de e-mail

Reacties (41)

Wijzig sortering
Ik heb geen ervaring met die macro's in doc bestanden, maar die zullen toch eerst om toestemming vragen voordat ze iets gaan uitvoeren op de Powershell?
Soms, maar er zijn wat uitzonderingssituaties.. oa. UAC uitzetten = instant process elevation, dus word/excel/etc hoeft 't niet te vragen om iets uit te voeren want 't mag dan gewoon, daarnaast heb je nog de complexere exploits die zelf het process elevaten om de vraag te omzeilen.
Precies. En een belangrijk verschil: er wordt geen toestemming gevraagd om Powershell (of eigenlijk VBscript/J-script die vervolgens PS aanroept) uit te voeren, maar er wordt gevraagd om de macros uit te voeren. Als je instellingen macros toestaan, of je geeft incidenteel toestemming, dan worden de scripts uitgevoerd met dezelfde rechten als waarmee je Office hebt opgestart

Daarom: nooit macros uitvoeren van bestanden die je niet 100% vertrouwd, en het liefst .doc(x)/.xls(x) documenten altijd openen met Google Drive/OpenOffice/LibreOffice etc.
Of je werkt gewoon onder een non-privileged account met een los admin account zoals zou moeten in een veilige omgeving. Dan blijven alleen nog de 0-day privilege escalation exploits over, maar goed je kan Office inderdaad instellen dat macro's click-to-run zijn. Volgens mij zijn daar nog weinig tot geen exploits voor geweest om click-to-run functies te omzeilen.

EDIT: Als laatste natuurlijk nog de optie om macro's in zij geheel uit te schakelen als je toch van jezelf weet dat je er geen gebruik van maakt (lastiger in een bedrijfssituatie).

[Reactie gewijzigd door Tweekzor op 30 maart 2017 11:49]

Of je werkt gewoon onder een non-privileged account met een los admin account zoals zou moeten in een veilige omgeving
Het gaat hier om developers en daar is nog steeds een groot aantal van dat wegens luiheid of zelfingenomenheid meent dat een non-privileged account niet nodig is
De standaard instelling staat strak en je hebt geen powershell nodig om via vba exact hetzelfde te doen. Dit heeft ook niets van doen met uac. Staat er los van.

Trouwens de inhoud van de mail is ZO standaard. Geen details, 100% algemeen en onpersoonlijk.
Kortom; net een echte mail van een recruiter ;).
Je noemt vooral de redenen waarom je het niet zou doen. De redenen waarom je het wel zou doen:
- ontwikkelaars, indien al op windows, hebben vaak wat meer rechten op hun lokale machine
- wannabe's die eindelijk erkenning vinden in hun werk kunnen ineens blind zijn bij een dergelijk aanbod
- ontwikkelaars met github hebben al de nodige libraries om via de makkelijke weg code uit git op te halen middels korte commands die niet perse verdacht zijn voor een virusscanner.
- virusscan staat bij ontwikkelaars vaak anders ingesteld dan bij de rest van kantoor personeel
- zeldzame cases dat je ontwikkelaars treft van macro's: die zullen mogelijk enkele extra waarschuwingen uitgezet hebben om snel te kunnen ontwikkelen en daardoor draait de geleverde macro automatisch.

Al met al een kwestie van kleine doelgroep, maar hoge winst indien het wel lukt.

[Reactie gewijzigd door Get!em op 30 maart 2017 10:44]

Bovendien maakt juist het feit dat mensen niet verwachten dan een malware campagne expliciet op ontwikkelaars gericht is (zoals de reacties hier al aantonen) al dat mensen zo'n bericht onbewust minder verdacht vinden dan een algemenere bericht over een factuur of zo.
Er zijn heel veel ontwikkelaars uit landen die wat minder bedeelt zijn en die maar al te graag een (bij) baantje zoeken. Als je dus wordt benaderd als beginnende programmeur voor een job, dan kun je daar natuurlijk al gauw intrappen.

Ik snap het wel,
hierboven (beneden??) doet iedereen wel of het allemaal zo logisch is, maar dat is het natuurlijk niet. We worden allemaal gemakkelijk bedonderd, is het niet een spam/scam dan is het wel een bank of verzekering die we wellicht niet nodig hebben.

Dat bagatelliseren hierzo dat mensen 'dom' zijn als ze er intrappen hebben volgens mij zeer weinig levens ervaring...
Nouja, dom... op zijn minst naef.

Vuistregels:
* If it sounds to good to be true, it probably is.
* Als iemand je benadert met een aanbod is dat voornamelijk in diens eigen belang

Als je dat altijd als uitgangspunt neemt is het lastig om je ergens in te laten trappen. Natuurlijk zijn er op beide vuistregels uitzonderingen, daarom zij het vuistregels, maar zolang je je daar bewust van bent en jezelf er van overtuigd dat dit daadwerkelijk een uitzondering is en waarom dat in deze situatie gerechtvaardigd is, kom je een heel eind.
Ik skim meestal recruitment e-mails toch wel even, het kan zomaar ineens in mijn belang wezen, en er zit nu eenmaal af en toe een job description bij, waar ik best wel eens nieuwsgierig naar ben (meestal omdat we zelf ook werven, om een beetje te vergelijken). Ik zou geen job.doc.exe openen, maar een job.pdf en job.doc zou ik niet zo erg vinden; mijn Word is up-to-date, en ik weet dat ik geen bijzondere macro-instellingen heb, dus ik vertrouw erop dat Microsoft me waarschuwt voordat ik in de problemen raak.
* If it sounds to good to be true, it probably is.
Het is recruitment, zo gaat dat nou eenmaal.

Wat mij meer in het oog zou springen is dat ik nu eenmaal niet zo heel veel interessante, publieke GitHub-repositories heb, dus ik zou de recruiter in kwestie alweer gauw verdenken van bras- en haastwerk. ("After reviewing your LinkedIN profile, I believe this C# job is a great fit" -- ik ben een Java-ontwikkelaar, fl* op!)
De organisatie met de meeste "open source contributors" is Microsoft, misschien zitten daar wel een paar Windowsgebruikers tussen :)
Ehm...... https://github.com/PowerShell/PowerShell (is ook op Linux, just saying)

Daarnaast, wat een vreemde aanname dat mensen die een repo hebben op GitHub wel geen Windows zullen gebruiken maar overwegend Linux.... Of begreep je het artikel niet helemaal? Gaat om ontwikkelaars die actief zijn op Github, niet ontwikkelaars die ontwikkelen voor/aan GitHub. Uit artikel: "In de tekst wordt gerefereerd aan een 'indrukwekkende GitHub-repository' van de ontvanger, die aanleiding voor het aanbod zou zijn."
Meer dan gemiddeld, vast wel. Maar dit soort aanvallen richt zich ook niet op "iedereen", als de meeste slachtoffers mogelijk kwetsbare software draaien is het goed genoeg. Je vangt toch nooit iedereen.
Dan toch ook weer de uiteindelijke vraag, waarom moet een .doc of .docx bestand de functionaliteit bevatten om code uit te voeren. Het gaat uiteindelijk over tekst met opmaak.
Forms en andere onzin.

Gelukkig werken deze allemaal op Google Drive (en andere online alternatieven), maar heb je daar de virussen niet.
Hoezo onzin? Het bestaat al heel lang en wordt veel gebruikt in kantoor omgevingen omdat je dan juist programmatisch data kunt verkrijgen en bewerken.
Daar vallen ook de meeste slachtoffers.

Yep, het laat te wensen over nu veel hackers er de hobby en werk van hebben gemaakt om elk veelgebruikt stuk software op onzinnige manieren te misbruiken voor eigen doelen en ten kosten van anderen.

Dt is de echte onzin.

Filosofisch vraagstuk voor de liefhebbers zelf:
Er zijn veel mensen die denken dat 'het slechte' nodig is om 'het goede beter te maken' maar is dat wel echt zo? Of is het/dat gewoon niet het goede? Velen denken en leven er naar dat gezondheid exclusief in de toekomst ligt maar was er misschien heel en gezond voor wangedrag? Ten opzichte van gedrag?
En is dat alleen nu als een lichaam dat een ziekte uitziekt misschien? Maar nodig? De oplossing is toch simpel bij het verstand?

[Reactie gewijzigd door B. Olle op 30 maart 2017 11:55]

Omdat het 'handig' is! Je kan dan allerlei virussen en zo downloaden en dat maakt het werk van malware ontwikkelaars een stuk eenvoudiger.

Ook in PDF's zit de mogelijkheid om Javascript uit te voeren. Iemand heeft weer bedacht dat dit ook wel 'handig' is om een document op te vrolijken, zonder naar de beveiligings-gevolgen te kijken.
Als je notabene als developer voor dit soort vage scams valt lijk je me nou niet de meest capabele persoon, om het zo maar eens uit te drukken.
Hoezo vage scam? Als develop krijg je wel vaker van dit soort berichten, niks ongewoons aan. Developers zijn ook gewoon mensen, en het is niet dat me een miljoen Euro's van een vergeten Nigeriaanse oom wordt aangeboden. Dat gezegd hebbende ben ik ook wel voorzichtig met bestanden openen, maar een tekstbestandje van een recruiter zou ik in een onbewaakt moment ook nog wel openen.
De andere kant op worden recruiters vaak ook aangevallen met besmette CV's. Ik open docs van onbekenden altijd met LibreOffice, dan werken kwaadaardige macro's die zich natuurlijk altijd op de MS variant richten niet.
Ik heb nog nooit, maar dan ook echt nog nooit, een bijlage gekregen van een recruiter.

Hooguit links.
Dat dacht ik zelf ook. Bij mij gaat alles onmiddelijk de Recycle Bin in, als ik de afzender niet ken.
maar dan kun je dus nooit een nieuwe persoon leren kennen via mail :)
wel safe though! :)
Nouja, ik vind dit wel iets heel anders dan een "hier is een rekening voor een bedrijf in Amerika" of "hier is een rekening voor je KPN-verbinding. We hebben nog nooit rekeningen gestuurd, want je bent geen klant, maar asjeblieft". Een headhunter kan zo'n mail ook sturen, al zou deze waarschijnlijk in de mail zelf ook wat meer info schrijven ipv "je kan alles in het doc-bestand zien".

Ik vind het juist logisch dat ze zo'n bestand openen, want het hebben van veel en goede repo's heeft volgens mij velen al een baan opgeleverd.

[Reactie gewijzigd door RVervuurt op 30 maart 2017 10:41]

En wat dan? Dan krijg je macro waarschuwingen en een ontwikkelaar mag hopelijk wle weten wat een macro is en kan doen.
Eens, dan moeten alle alarmbellen gaan rinkelen, maar ook dat kan omzeild worden, als ik Devion z'n post mag geloven.
Waar kan jij precies aan zien dat dit om een scam gaat? Er staat nergens iets over een ISP waar je niets mee te maken hebt, nergens iets over een verre tante die dood is gegaan in Nigeria etc.

Of ik de attachment zou openen hangt af van m'n werksituatie op dat moment, maar ik vind niets in deze mail roepen "SCAM".
1. Een attachment met de gegevens, terwijl alle gegevens prima direct in de e-mail hadden kunnen staan.
2. Geen verwijzingen naar de zogenaamde github-projecten.
3. Mail niet "ondertekend". Elk professioneel bedrijf heeft gewoon een signature.
4. "..to find details about company and job"

Sorry hoor, maar als je hier intrapt kun je jezelf gewoon geen developer noemen.
Developers zijn ook gewoon mensen en die maken dus ook gewoon fouten. En aangezien deze meer op developers is gericht, zal er ook gewoon een dev intrappen.

Je moet het menselijk brein niet overschatten, ongeacht hoe hoog opgeleid, het blijven mensen. Als je net iemand weet te mailen die al maanden thuis zit en leuke projectjes doet, maar geen baan weet te vinden, heb je waarschijnlijk al beet. Ongeacht of deze persoon een zeer goede dev is, of niet.
Sorry dat ik het zeg maar je bent als ontwikkelaar toch wel heel erg dom als je hier intrapt 8)7
een beginnende(jr) ontwikkelaar maakt ook weleens fouten xD
Iedereen die "xD" gebruikt heeft een grotere kans hierop....
ahahhahha dankuwel he
nigerian prince looking for cpp and C# developers, high pay, click here.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*