×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Backdoor gebruikt Instagram-commentaar voor communicatie met server'

Door , 21 reacties

Beveiligingsbedrijf ESET heeft een kwaadaardige Firefox-extensie ontdekt, die als backdoor fungeert en van Instagram-commentaar gebruikmaakt om verbinding te maken met een command-and-controlserver. De backdoor wordt gebruikt door de Turla-groep.

Het bedrijf kwam de extensie tegen tijdens een onderzoek naar de Turla-groep, die van Russische oorsprong lijkt te zijn en waarvan eerder bleek dat deze satellietverbindingen kaapte voor communicatie met c2-servers. Daarnaast gebruikt de groepering zogenaamde watering holes, waarmee zij zich richt op overheden en diplomaten, aldus ESET. Bij de Firefox-extensie, die 'html5 encoding 0.3.7' heet, gaat het om een eenvoudige JavaScript-backdoor, die wordt verspreid via de gehackte website van een Zwitsers beveiligingsbedrijf.

De verbinding werd gemaakt door gebruik te maken van het commentaar op een specifieke Instagram-post van Britney Spears. De extensie bevat code die van elke reactie op de post een aangepaste hashwaarde berekent. Als deze uitkomt op 183, wordt met behulp van regex het pad van een bit.ly-url vastgesteld. De onderzoekers vonden maar één reactie waarvan de hash de gewenste uitkomst had. Deze verwees na toepassing van de regex naar een bepaalde url. Deze werd in het verleden al eens gebruikt als een c2-server in Turla-campagnes, schrijft ESET. Misschien gaat het bij de extensie om een test, omdat de url slechts zeventien keer is bezocht.

Het commentaar op de post bevat bovendien zogenaamde zero width joiners, die worden gebruikt om bepaalde karakters met elkaar te verbinden. De backdoor zelf is relatief eenvoudig, merken de onderzoekers op. Deze biedt de mogelijkheid tot het uitvoeren van bestanden, uploads en downloads naar de c2-server en het uitlezen van directories. Volgens ESET maakt het gebruik van de Instagram-methode het moeilijk om het verkeer met de c2-server als kwaadaardig aan te merken. Daarnaast biedt het de aanvallers de mogelijkheid om van c2-server te veranderen, mocht dit nodig zijn.

Door Sander van Voorst

Nieuwsredacteur

07-06-2017 • 10:34

21 Linkedin Google+

Reacties (21)

Wijzig sortering
Instragram commentaar, is dus maar bijzaak. Het probleem zit in een Firefox extensie, die toevallig gebruik maakt van Instragram commentaar; wat elke ander middel had kunnen zijn.


Maar ik klikte direct op de titel, omdat ik dacht dat Instragram lek was (waarschijnlijk het doel van de auteur ;( ) .
> Het probleem zit in een Firefox extensie

Dat is idd het ding. Waarom kan een Firefox extensie info van een C&C server downloaden? Waarom kan die (blijkbaar?) info van gebruikers oid doorgeven?
Dat kunnen in theorie alle extensies. Ze kunnen alle informatie uit je open tabs lezen en hebben volledige toegang daarmee te doen wat ze willen. Daarom staat in Chrome bij extensies een waarschuwing:
"Warning: Google Chrome cannot prevent extensions from recording your browsing history."

Dit is geen fout in extensies, dit is vereiste functionaliteit. Een extensie die niet je pagina kan uitlezen en/of geen verbinding met andere diensten kan maken is in de meeste gevallen waardeloos
Waarom kan een Firefox extensie info van een C&C server downloaden? Waarom kan die (blijkbaar?) info van gebruikers oid doorgeven?
Alle extensies kunnen communiceren met andere servers, ongeacht browser. De vraag moet zijn: waarom kan een extensie file system toegang verkrijgen?
The backdoor component has the ability to run four different types of commands:

- execute arbitrary file
- upload file to C&C
- download file from C&C
- read directory content – send a file listing, along with sizes and dates, to C&C
De gebruikte API is XPCOM, deze is sinds Firefox v57 niet meer beschikbaar.
Wel belangrijk om te weten is dat het plan is om alle traditionele extensies niet meer te laten werken vanaf Firefox 57. Alles moet dan overstappen op de WebExtensions API, een API die gebaseerd is op de API van Chrome (maar wat meer uitgebreid).

Dus als je nog veel traditionele extensies hebt wordt het misschien tijd om alternatieven te gaan zoeken (of te maken). In principe zou je met WebExtensions alle extensies van Chrome moeten kunnen gebruiken, maar ik geloof dat de implementatie in huidige Firefox nog niet helemaal af is. Je zou Chrome Store Foxified kunnen gebruiken als je een Chrome extensie in Firefox wilt proberen ;)
De WebExtensions implementatie in Firefox werkt prima. Ik ben momenteel bezig met een Edge/Chrome/Firefox extensie en het is 1 gedeelde broncode die in alledrie werkt
Ik vind dat het titel helemaal niet suggereert dat Instagram iets verkeerd doet...

Er staat enkel dat dat als hulpmiddel gebruikt is, niks meer dan normaal om te benoemen in een titel van een nieuwsitem.
Maar moet je nu je Instagram updaten/beter beveiligen, of moet je een bepaalde Firefox extensie aandacht geven?

Ook in de eerste zin van het artikel, begint niet over het Instragram commentaar, maar over een backdoor in een Firefox extensie (wat het punt ook is).

Wellicht had ik die laatste zin niet als comment moet plaatsen, maar op het forum moeten zetten. Maar ik denk dat er bewust niet voor een titel is gekozen als "Firefox-extensie ontdekt, die als backdoor fungeert", omdat het toch minder aandacht zal trekken waarschijnlijk.
Maar dat is de nieuwswaarde niet, dat is dat er een social media platform is gebruikt voor communicatie waardoor het onder de radar kan werken...
Het interessantste aan deze backdoor is dat het Instagram gebruikt, niet dat het een FF extensie betreft. Ze hadden net zo goed Facebook of Pastebin of Twitter kunnen gebruiken, maar dat neemt niet weg dat de manier waarop ze hun C&C server benaderen noemenswaardig is.
Nee, dat Instagram commentaar is nou juist de kern van het verhaal.

Dat iemand een stukje kwaadaardige code op een machine weet te krijgen is nauwelijks nieuws. De achilleshiel is doorgaans dat de code moet communiceren met een C&C server om bestuurd te worden. Het is erg lastig om dat te doen zonder dat het opvalt waar die C&C server staat (en wat je dus in de richting van de daders kan helpen).

Deze malware gebruikt Instagram als een soort 'dead drop'. Er is geen directe connectie tussen de malware en de C&C server omdat ze communiceren via ogenschijnlijk onschuldige posts onder een oude foto van Britney Spears.
Hm, dat is dan jouw opvatting. Ik had exact verwacht wat er uiteindelijk aan de hand was.

Ik denk dat er geen vreemde bedoelingen achter de titel zaten. Ik klikte zelf juist omdat het iets is wat je toch niet vaak hoort: Gebruik van posts / reacties in sociale media om met andere systemen te communiceren.
Kwaadaardige extensies zijn geen nieuws. Steganografie is dat nog altijd wel. Een serieuze tweaker zal dus eerder geïnteresseerd zijn in die communicatiemethode dan in het feit dat er een dubieuze executable in omloop is.
Los van het feit dat dit kwaardaardig is, vind ik het werkelijk briljant bedacht. Het doet me denken aan de oude spionnen-tactiek om een openbaar beschikbaar boek te gebruiken om berichten te coderen. Bepaalde cijfers wijzen dan naar pagina's, regels en woorden in een boek. Als de andere partij hetzelfde boek heeft kan hij het bericht lezen.
Het gebeurde ook al in 2009 met Twitter: nieuws: Twitter misbruikt door botnet voor stelen inloggegevens

Maar ik geef toe dat deze Instagram methode iets vernuftiger is.
Waarom dan:
door gebruik te maken van het commentaar op een specifieke Instagram-post van Britney Spears.
:+ Die Russen zijn vast grote fans :?

Heb me trouwens altijd al afgevraagd of de grote hoeveelheden SPAM-emails ook worden gebruikt voor (geautomatiseerde) communicatie op de één of andere manier.

[Reactie gewijzigd door NetAmp op 7 juni 2017 10:45]

Nee, waarschijnlijk post bijna niemand daar nog iets, dus lage kans om per ongeluk die hash te triggeren :+
Misschien ook goed om te vermelden dat bit.ly rapporteerde dat er 17 hits geweest waren, waardoor Eset van mening is dat het om een test ging.

Vond persoonlijk het artikel op Arstechnica wel een stuk duidelijker.
https://arstechnica.com/s...ealing-espionage-malware/
of om een test ging? Of wat anders? Ben wel benieuwd nu :)
en misschien goed om daar dan ook weer bij te vermelden hoe ze aan deze 17 hits komen.

Toevallig kwam ik er zelf achter dat sommige shortener URLs hun history publiekelijk inzichtelijk maken d.m.v. een + of - teken achter de URL te plaatsen

https://bitly.com/2kdhuHX+

(gebruik het zelf om shorterner URLs in phising e-mail berichten te bekijken en dan heb je gelijk een idee in welk land de meeste besmettingen plaatsvinden)
Toevallig een lekje - wel,wel - wie wil dat soort platformen nog gebruiken? Ik alvast niet - instagram, facebook en consoorten staan al even op 127.0.0.1 in /etc/hosts

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*