Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Malware achter neergehaald botnet verspreidde ransomware, spambots en spyware

Een door Europol en de FBI neergehaald botnet, genaamd Andromeda, verspreidde volgens Microsoft verschillende soorten malware, waaronder ransomware en spyware. Vooral computers in Aziatische landen zijn getroffen door de malware achter het botnet.

Microsoft schrijft in een analyse dat de malware achter het Andromeda-botnet ook wel Gamarue wordt genoemd. Deze infecteerde computers, waardoor ze onderdeel werden van het botnet. Dat was volgens het bedrijf verantwoordelijk voor de verspreiding van allerlei andere soorten malware, waaronder de ransomwarevarianten Petya en Cerber. Daarnaast verspreidde het spambots, ddos-malware en kwaadaardige software om informatie te stelen. In totaal ging het om 80 malwarevarianten. Microsoft schrijft meer dan 1200 ip-adressen toe aan de command-and-control-infrastructuur van Andromeda.

In de afgelopen maanden detecteerde Microsoft de Gamarue-malware op gemiddeld 1 miljoen systemen per maand, naar eigen zeggen voornamelijk in Aziatische landen. Een door het bedrijf gepubliceerde kaart toont ook veel activiteit in Europa. Gamarue zou op hackerforums verkocht worden als bot, een programma dat aanvallers een geïnfecteerde computer laat overnemen. Het is modulaire malware, waardoor het mogelijk is om verschillende componenten te kiezen. Bijvoorbeeld een keylogger, rootkit, een tool om websiteformulieren te onderscheppen en een remote-desktoptool.

Europol meldde maandag dat het samen met onder meer de FBI en verschillende bedrijven het Andromeda-botnet uit de lucht heeft gehaald. Daarbij werden 1500 domeinen naar een server onder controle van de opsporingsdiensten omgeleid door middel van sinkholing. Op die manier wist Microsoft binnen 48 uur 2 miljoen unieke ip-adressen van Andromeda-slachtoffers vast te leggen. Bij het neerhalen bouwden de opsporingsdiensten voort op een soortgelijke actie bij het Avalanche-botnet een jaar geleden. Bij de huidige actie is een verdachte aangehouden in Wit-Rusland.

Gamarue-infectieprocessen volgens Microsoft

Door Sander van Voorst

Nieuwsredacteur

05-12-2017 • 07:46

28 Linkedin Google+

Reacties (28)

Wijzig sortering
Kan iemand me uitleggen hoe het vandaag de dag nog mogelijk is dat er code wordt geïnjecteerd in legitieme microsoft processen? Je zou toch denken dat microsoft eenvoudig met een hashcheck de integriteit van deze processen kan checken? Dat het niet realtime kan omwille performance kan ik me nog wel indenken, maar waarom niet periodiek.

Ook apart dat ze bij de sandbox check hyper-v niet meenemen. Microsoft heeft naar mijn weten toch minimaal 25% marktaandeel.
code injectie gebeurd vaak in het geheugen, dan is de hash check van het bestand al geweest. Malware overschrijft vrijwel nooit de bestanden op disk, maar gebruiken bestanden met een bekende naam op een andere plek dan het hoort. Voor Microsoft is het dan niet te zien of dit niet een gewone applicatie is die je wil starten en gebruikers denken in task manager dat het om een legitiem proces gaat, omdat je alleen naar de naam kijkt en niet naar de locatie vanwaar het gestart is.
Dat klopt, daarom zou je goede sandboxing moeten gebruiken, dan zou je NOOIT bij het geheugen van een ander proces kunnen en zou dit geen probleem zijn. Alleen is het erg lastig dat de Windows architectuur juist draait op dll's en afhankelijkheden van andere process wat het erg lastig maakt om dit te veranderen.
Interessant, bedankt voor de toelichting!
Die hashcheck die je noemt kan inderdaad. Microsoft heft daar ook iets voor, dat heet applocker.
Hiermee kun je via een group policy bijvoorbeeld via de hash van een bestand het uitvoeren van een dergelijk bestand toestaan (als de hash voldoet aan de GPO).
Probleem hiermee is dat het niet echt heel gebruikersvriendelijk is, want iedere executable die gestart kan worden, moet dan gewhitelist worden door Applocker.

Een ander probleem is dat er zo gigantisch veel verschillende executables zijn (iedere versie een andere hash) en dan weet ik veel hoeveel verschillende programma's van alle software bouwers, dat een centrale database gewoon niet hanteerbaar zal zijn.
Als je naar puur Microsoft processen gaat kijken, zijn dit er al enorm veel. Vanuit een gebruikervriendelijkheid is ervoor gekozen om die controles niet uit te voeren, omdat je dan het UAC effect krijgt:
"De HASH van dit programma is gewijzigd, weet u zeker dat u dit programma wilt uitvoeren?"
Of:
"De HASH van dit programma is gewijzigd, het starten van dit programma is niet toegestaan"
En dat na iedere update, voor pakweg 100 processen....... Kun je de reacties van alle Windows gebruikers voorstellen?
Wat al flink zou schelen is de Apple-manier dat programma's default ondertekend moeten zijn met een geldig certificaat. En een error als het niet overeenkomt.
Dat je als gebruiker handmatige stappen moet uitvoeren om niet ondertekende software uit te voeren.

Of die "store" van hen eens goed inrichten dat het a la de package-managers van Linux werkt.
Wat al flink zou schelen is de Apple-manier dat programma's default ondertekend moeten zijn met een geldig certificaat. En een error als het niet overeenkomt.
Dat je als gebruiker handmatige stappen moet uitvoeren om niet ondertekende software uit te voeren.
Dat kan ook met AppLocker.
Ik bedoel dus out of the box zonder handmatig toevoegen alle applicaties
En voor alle versies.
Maakt niet uit als jouw programma in memory wordt geinjecteerd met andere code. Zoals in de hoofdreactie wordt gezegd.
Alleen moet de mallware dan wel eerst op het systeem komen ;)
Het is zeker geen perfecte oplossing, maar het scheelt een hoop
Tegenwoordig meer last van z.g. "Webcontent" in Firefox. Neemt al gauw 25% van beschikbare CPU tijd.
Goeie vangst, vraag me af hoe ze de mensen met geïnfecteerde PC's gaan contacteren.
Vaak word dit via de ISP gedaan...

OT; 1200 IP adressen is aardig wat, zou graag de architectuur plaat eens willen zien... Best impressive

[Reactie gewijzigd door Mellow Jack op 5 december 2017 08:17]

Verschil is dat google/facebook dit doen met toestemming van 'slachtoffer' :+ het functioneel verschil laat ik in het midden :)
Mijn gehele verbinding word opgevraagt door “derden partij”, zo noemen google en fb dit allesinds toch, Telkens weer indien ik langere tijd gebruik maak van aparatuur... Ik (kan) akkoord gaan en dan pas verder gebruik maken van google... Natuurlijk ga je dan akkoord. Ik heb helemaal niks gedaan en dan ga ik nog moeten instaan voor zware risico’s die ze mij voorleggen indien ik de voorwaarden niet opvolg...? Nope.

Het gaat verder dan alleen de privicy op sociale media en “cookies” die niet na één keer verdwijnen.

[Reactie gewijzigd door Realizering op 5 december 2017 10:38]

Beste man/vrouw. Wandel even naar het gathering.tweakers.net gedeelte.
Misschien helpt: het gehele systeem uitschakelen en alle OS-en opnieuw installeren. Na zo'n schone installatie wel de boel beter beveiligen anders begint het (met een andere malware) opnieuw.
Wat ik kan aanraden is de Zemana anti-malware scanner. Die moet je wel installeren. Deze is erg goed.

Het is - helaas - wel zo dat een grondige schoonmaakactie Windows kan verpesten. Denk dan onverklaarbare herstarts met een vage foutcode waar je niet meer vanaf kan komen.

Als je Windows 10 hebt, kun je Systeemherstel draaien met behoud van bestanden. Je moet daarna wel al je software weer installeren maar je hebt nog wel je bestanden.

Dit systeemherstel verwijderd gegarandeerd de malware, Misschien is dit wel beter om direct te doen.
Kleine nota, er zijn al malware strains die ook system restore images infecteren.
Nog niet gehoord in Win10, en of dit uberhaupt mogelijk is, maar in voorgaande versies zeker wel.

Een system restore is absoluut geen malware scan. Vergeet dit niet.
Edit: Superuser link erachteraan als source:
https://superuser.com/que...e-virus-from-the-computer

[Reactie gewijzigd door DeZwarteLijst op 5 december 2017 17:01]

Klinkt alsof meerdere apparaten in je netwerk besmet zijn en ze elkaar elke keer weer besmetten.
Mijn advies: Alle apparaten afkoppelen en ze een voor 1 cleanen en er weer in hangen.
Reset ook je router!

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True