'Aantal met NSA-implant geïnfecteerde systemen stijgt na Shadowbrokers-dump'

Verschillende beveiligingsonderzoekers melden dat zij een stijgend aantal infecties zien met een NSA-implant die vorige week door de Shadowbrokers werd vrijgegeven als deel van een grotere collectie. Het gaat daarbij om de zogenaamde Doublepulsar-implant.

The Register schrijft dat de Doublepulsar-backdoor wordt geïnstalleerd door gebruik te maken van de Eternalblue-exploit, die eveneens deel uitmaakte van de Shadowbrokers-dump. Onderzoeker Dan Tentler meldt aan de site dat hij door middel van een Shodan-zoekopdracht recentelijk ongeveer 15.000 infecties heeft waargenomen. Onderzoeker Robert Graham zegt dat hij met een uitgebreidere zoekopdracht ongeveer 41.000 infecties kon vaststellen.

Microsoft heeft in maart al een patch uitgebracht voor de kwetsbaarheid die door Eternalblue wordt gebruikt. Dit betekent echter nog niet dat alle kwetsbare systemen deze patch hebben uitgevoerd. Oude versies van Windows, zoals XP en Server 2003, krijgen de beveiligingsupdate niet meer en blijven daardoor kwetsbaar. Tentler schat in dat een aantal script kiddies na de publicatie van de Shadowbrokers zijn begonnen met het infecteren van systemen, wat vrij eenvoudig is.

Overgenomen systemen kunnen onder andere gebruikt worden om spam te versturen, malware te verspreiden of ddos-aanvallen uit te voeren. Een groot aantal van de geïnfecteerde systemen bevindt zich in de Verenigde Staten. Getroffen systemen zijn te herkennen aan de reactie op een bepaalde ping op poort 445. Beveiligingsbedrijf MWR InfoSecurity publiceerde onlangs een analyse van Doublepulsar.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 21-04-2017 20:3012

21-04-2017 • 20:30

12 Linkedin

Lees meer

Shadowbrokers vragen 20.000 euro voor exploitabonnement Nieuws van 30 mei 2017
Wetsvoorstel VS dwingt NSA om overheidsorganen te informeren over zero-days Nieuws van 18 mei 2017
Shadowbrokers kondigen abonnement op exploits aan Nieuws van 16 mei 2017
NSA onderzoekt antivirussoftware Kaspersky na spionagezorgen Nieuws van 14 mei 2017
Microsoft: Windows-zero-days in Shadowbrokers-dump zijn al gerepareerd Nieuws van 15 april 2017
'Shadowbrokers-dump bevat verschillende Windows-zero-days' Nieuws van 14 april 2017
Shadowbrokers-release toont aan dat CIA Swift-betalingsnetwerk infiltreerde Nieuws van 14 april 2017
Shadowbrokers geven wachtwoord voor versleutelde set NSA-hacktools vrij Nieuws van 9 april 2017
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (12)

-Moderatie-faq
12
11
10
4
0
1
Wijzig sortering
ExIT
21 april 2017 21:08
Je bent kwetsbaar middels de EternalBlue exploit als je deze patches mist:

msft-cve-2017-0143
msft-cve-2017-0144
msft-cve-2017-0145
msft-cve-2017-0146
msft-cve-2017-0147
msft-cve-2017-0148

Jammer dat er vele systemen aan internet hangen welke overduidelijk conservatief zijn in hun update beleid. Middels shodan is het machtig eenvoudig kwetsbare hosts te vinden. Elk script kiddie met BackTrack en Rapid7 Metasploit probeert nu de EternalBlue, EternalSynergy, EternalRomance of EternalChampion exploit uit.

De impact is volgens mij niet beperkt tot spam/malware/ddos. Als de exploit succesvol is kun je er diversen andere payloads aan koppelen.
ongekend41
@ExIT21 april 2017 23:06
Ik heb nog geen MSF module gezien die de betreffende exploit gebruikt. Wel een die kwetsbare hosts bloot legt. Kan het ook mis hebben, ik lees niet alles. Het framework (Fuzzbunch, MSF equivalent van NSA) is ook openbaar. Ik verwacht dat de meeste aanvallen daar vandaan komen.
Vorkie
21 april 2017 21:34
Mocht iemand een Qualys applicance hebben:

https://blog.qualys.com/s...se-zero-day-exploit-tools

Daarin staan de QID's

Ook Lotus Domino is daarin opgenomen

91361 Microsoft Windows SMBv3 Remote Code Execution – Shadow Brokers (ETERNALSYNERGY) MS17-010
91359 Microsoft Windows Remote Privilege Escalation – Shadow Brokers (ETERNALROMANCE) MS17-010
91360 Microsoft Windows SMBv1 and NBT Remote Code Execution – Shadow Brokers (ETERNALBLUE) MS17-010
91357 Microsoft Windows SMBv1 Remote Code Execution – Shadow Brokers (ETERNALCHAMPION) CVE-2017-0146 & CVE-2017-0147
53007 IBM Lotus Domino Remote Code Execution – Shadow Brokers (EWORKFRENZY)
Splorky
22 april 2017 20:39
De belangrijkste les is natuurlijk dat de NSA de wereld weer een stukje veiliger heeft gemaakt met hun software en hun software alleen for good gebruikt wordt en dat het niet in verkeerde handen kan vallen. Het laat ook zien dat wat de NSA kan met backdoors vroeg of laat iedereen het kan.
Treadstone
21 april 2017 21:20
Als je poort 445 dicht hebt staan is er ook niet veel aan de hand.

Je kan hier testen .
http://www.yougetsignal.com/tools/open-ports/
SpoekGTi
@Treadstone21 april 2017 22:32
Sowieso SMB protocol open knallen op je firewall waarom zou je dat überhaupt doen
Treadstone
@SpoekGTi21 april 2017 22:39
Naja, wat ze natuurlijk doen is een virus maken in word/pdf of weet ik het wat, dan mailen als nieuwe spam run en dan hopen dat die op een netwerk binnenkomt. Want interne netwerken staan wagenwijd open met smb :)
dfury
@Treadstone22 april 2017 07:05
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

In de powershell
SanSnoopy
@dfury22 april 2017 10:12
Mja, je kan ook alle netwerkverbindingen afsluiten, is ook een technisch mogelijke oplossing. Maar gebruikers hebben vaak toch de neiging hun computer te willen kunnen gebruiken. ;)
kozue
@SanSnoopy22 april 2017 17:24
Ik heb geen verstand van Windows of Powershell maar van wat ik van dat commando begrijp wordt alleen smb versie 1 disabled. Ondertussen zijn er al een smb 2.x en 3.x bij gekomen dus ik verwacht dat alleen XP gebruikers last zouden kunnen ondervinden van het uitzetten van smb1 (en XP hoor je sowieso niet meer aan het internet te hangen).

https://en.wikipedia.org/wiki/Server_Message_Block#SMB_2.0
Joolee
@vinx7722 april 2017 13:37
Als ik het zo lees betreft de gebruikte definitie van een implant de daadwerkelijke payload, ofwel 'lading'. Die lading wordt op een machine geplaatst na uitbuiting van een exploit, ofwel, kwetsbaarheid. De lading kan bestaan uit een virus, een root-kit, een worm, een ddos tool of simpelweg een kattenplaatje die je slachtoffer ineens als achtergrond krijgt.

De exploit kun je zien als een raket en de implant/payload als het wapen dat de raket aflevert op de plaats van bestemming.

De bewoording implant in plaats van payload suggereert bij mij dat het gaat om een stuk software dat ongezien achter blijft in een systeem. Dat zal waarschijnlijk in de vorm van een root-kit of een trojan zijn, of een combinatie van beide. Wat dat betreft is de Nederlandse vertaling 'implantaat' behoorlijk spot-on ;)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee