ESET ontdekt malware-toolkit die zich op air-gapped netwerken richt

Beveiligingsonderzoekers van ESET hebben een vorm van een malware-toolkit ontdekt die gemaakt lijkt te zijn om documenten te stelen van air-gapped computers. De malware wacht op een systeem tot het daar vandaan kan worden geëxfiltreerd.

ESET noemt de malware Ramsay. Het bedrijf ontdekte er een sample van op VirusTotal. De malware komt op verschillende manieren op een systeem terecht. Ramsay maakt bijvoorbeeld gebruik van meerdere kwetsbaarheden in Microsoft Word, waaronder CVE-2017-0199 en CVE-2017-11882. Voor beide kwetsbaarheden is al jaren een patch beschikbaar, maar de malware gaat er vanuit dat die niet is doorgevoerd. In een ander geval werd de malware verspreid via een geïnfecteerde 7zip-installatie.

Als het slachtoffer het geïnfecteerde document opent, wordt er geen contact gelegd met een command and control-server, wat bij de meeste malware-infecties wel gebeurt. Er zijn ook andere aanwijzingen dat Ramsay zich vooral richt op air-gapped netwerken. Na installatie gaat de malware op zoek naar specifiek Word-documenten en pdf- en zipbestanden. Die worden vervolgens in een verborgen map op de pc gezet, waar de bestanden wachten tot ze van de pc af worden gehaald. Hoe dat laatste precies moet gebeuren, is niet duidelijk. Net als dat de malware in de eerste plaats fysiek op een pc moet worden gezet, moet die ook fysiek eraf worden gehaald. Dat hangt samen met het kenmerk van air-gapped netwerken; ze zijn niet op het internet aangesloten, waardoor ze doorgaans moeilijk met malware zijn te infecteren.

De malware heeft verschillende methodes om zich door een netwerk te verspreiden. In sommige componenten van de malware zit een scanner die kijkt of er computers in een lokaal netwerk zijn aangesloten die kwetsbaar zijn voor SMBv1-kwetsbaarheden, ook wel EternalBlue genoemd. Er zit ook een 'Spreader'-component in de malware. Die zoekt naar netwerkschijven en naar verwijderbare schijven zoals usb-sticks en hdd's. Ramsay zet portable executables op zulke schijven. Die executable zoekt dan vervolgens naar nieuwe documenten op een andere computer om te infecteren en zodoende de rest van de malware verder uit te rollen.

Ramsay-malware

ESET zegt dat de malware verschillende geavanceerde methodes heeft om op een systeem te blijven staan. Een daarvan is een techniek die ook wel 'phantom dll-hijacking' wordt genoemd, waarbij de malware wordt verspreid door oude, niet langer gebruikte dll's in Windows.

Het bedrijf zegt dat het moeilijk aan attributie kan doen. De onderzoekers vonden enkele overeenkomsten met een malwaremodule genaamd Retro, die door de hackersgroep Darkhotel wordt gebruikt. Die groep doet aan spionagecampagnes in Azië.

ESET zegt dat het de malware nog niet veel in het wild is tegengekomen. Volgens de onderzoekers is Ramsay ook nog volop in ontwikkeling. Zo zouden er meerdere vormen van de toolkit rondgaan, waarbij nieuwere versies bijvoorbeeld ook zochten naar andere bestandsformaten. De ESET-onderzoekers vonden ook voorbeelden van testbestanden zoals test.docx in de code. Volgens het bedrijf kwam de eerste vorm van de malware uit september 2019, en twee nieuwere versies waren eind maart bijgewerkt.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 13-05-2020 16:1937

13-05-2020 • 16:19

37 Linkedin

Lees meer

VirusTotal brengt AI-tool uit die malware herkent en in leesbare taal uitlegt Nieuws van 25 april 2023
ESET ontdekt netwerk achter Evilnum-malware dat financiële instellingen aanviel Nieuws van 9 juli 2020
Wetenschappers luisteren pc af door frequentie van voedingen te manipuleren Nieuws van 6 mei 2020
Onderzoekers lezen data van computers door schermhelderheid te manipuleren Nieuws van 6 februari 2020
Onderzoekers versturen data via infraroodleds van gekaapte bewakingscamera's Nieuws van 20 september 2017
Meer producten en artikelen
Beveiliging en antivirus ESET Malware

Reacties (37)

-Moderatie-faq
37
34
27
1
0
3
Wijzig sortering
synoniem
13 mei 2020 16:26
Dat zal een tegenvaller zijn voor de makers dat het nu al gesignaleerd is. Het is wel een logisch target want airgapped netwerken zijn natuurlijk niet voor niets airgapped. Er in komen is moeilijk, data eruit krijgen ook maar lukt het dan kun je een hoog losgeld vragen voor de bemachtigde data.
Stijn98765
@synoniem13 mei 2020 17:19
Airgapped systemen hoeven niet interessant te zijn voor hackers. Het kunnen gewoon (oude) PCs zijn die de sturing of bewaking doen van een machine. Grootste gevaar is dan vaak dat de machine kan stilgelegd worden door een hacker. Niet dat hij aan data kan geraken.
OxWax
@Stijn9876513 mei 2020 17:30
moet ik nu denken aan de Iraanse centrale waar men uranium verrijkte?
Snow_King
@OxWax13 mei 2020 19:24
Of een fabriek waar bijvoorbeeld oude PLC systemen nog met Windows XP werken. Die systemen hoeven niet aan internet.

Vaak ligt er wel een IP en Ethernet netwerk, maar is het fysiek niet verbonden met internet.
mjl
@Snow_King14 mei 2020 09:36
XP op een netwerk.... die moet je geïsoleerd gebruiken, dus op zichzelf airgapped (standalone). Zo een systeem aan een netwerk hangen is nogal risicovol, als er maar 1 in het netwerk geïnfecteerd is kan je er donder op zeggen dat het hele stand alone netwerk gecompromitteerd is.
Bor
@Stijn9876513 mei 2020 20:49
Grootste gevaar is dan vaak dat de machine kan stilgelegd worden door een hacker. Niet dat hij aan data kan geraken.
Data is lang niet altijd het doel. Denk aan het aanbrengen van schade; het ontregelen van dienstverlening of het vernietigen van systemen.
Dreamvoid
13 mei 2020 17:42
Oftewel, dezelfde manieren als gebruikt werden door virussen in de pre-internet tijd.
beantherio
@Dreamvoid13 mei 2020 18:40
Zoiets wou ik dus net posten. Het is me niet helemaal duidelijk waarom hier de term "air-gapped" gebruikt wordt: het klinkt meer als een klassiek virus dat via geïnfecteerde bestanden wordt verspreid.
sympa
@beantherio13 mei 2020 19:16
Maar wat nieuw is: er is kennelijk een exfiltratiemechanisme gepland.
SinergyX
13 mei 2020 17:10
Decoy installer, malicious document, beetje niveau VBA exploits van word/excel, eerst moet dat ding door de scanner heen komen, de gebruiker zo dom genoeg zijn om dat bestand daadwerkelijk te openen, er nog geen fix op staat (apart trouwens dat 0199 gebruikt zou zijn, dat is een RTF http request, op een airgapped?).
Als ik een popup op een website laat komen om daarmee te laten inloggen op facebook/WA/whatever, en mensen voeren dit doodleuk in.. niets is 100% veilig.

Retro was ook niet waterdicht, deze gebruikte om de bestanden weer op te halen een exploit voor auto-executie van usb-sticks, wat beetje IT'er toch gewoon uit heeft staan.
dehardstyler
@SinergyX13 mei 2020 18:05
Je kunt toch prima een HTTP request doen alsnog? Er komt alleen niet zoveel reactie op je request, maar als alleen het request doen voldoende is, dan zou dat nog steeds gewoon kunnen.
Bensimpel
@ajolla13 mei 2020 16:43
Want alle andere minder populaire OS'en zijn 100% veilig? Wakker worden maar.

nieuws: Ubuntu Server 20.04-installer toonde plaintext-encryptiewachtwoord in...

nieuws: Lek in iOS geeft toegang tot apparaat via ongeopende mail

nieuws: Lek in Qualcomm-chips maakte afluisteren van beveiligd deel van socs ...

Niks is 100% veilig, Windows wordt gewoon wat meer getarget omdat het een populair OS is. Als het een andere was dan gold hetzelfde voor dit OS. Er is gewoon meer te winnen voor hackers op deze manier.
TheVivaldi
@Bensimpel13 mei 2020 17:11
En Linux is niet populair? Waar denk je dat de meeste servers op draaien?

Verder overigens wel met je eens dat geen enkel OS waterdicht is.
Cergorach
@TheVivaldi13 mei 2020 17:30
Ik ben met je eens, geen enkel OS is waterdicht, maar er is wel een verschil in 'lekkage'...

Als je zoveel security nodig heb dat een air-gapped netwerk nodig is, zou Windows dan jou eerste keuze zijn? Of Ubuntu als distributie? Misschien eerder iets als Qubes OS, TENS of Discreete Linux als Linux distributie.

Windows wordt veel gebruikt omdat het een balans brengt tussen beheerbaarheid/kosten, gebruikers vriendelijkheid en security, Als het gebruikt maakt van gaten waar allang patches voor zijn en/of infected applicaties is er iets anders mis, een issue dat niet direct ligt aan het OS...
tweaknico
@Cergorach13 mei 2020 18:02
OpenBSD of OpenVMS, dan evt. FreeBSD, daarna de meer geharde Linux distro's.
well0549
@tweaknico13 mei 2020 18:58
Hardened Windows image is anders best wel veilig hoor....
tweaknico
@well054914 mei 2020 10:54
Er bestaat ook nog een Hardened versie van OpenVMS, die vergat ik voor het gemak even even... B.2 klasse. Waar de rest op C.2 blijft steken.
sympa
@tweaknico13 mei 2020 19:13
Bij een 'niche' distro heb je de kans dat juist daar malware in wordt gestopt. Iets kleins dat heel breed ingezet wordt is dan beter.
Zer0
@Cergorach13 mei 2020 21:54
Als je zoveel security nodig heb dat een air-gapped netwerk nodig is, zou Windows dan jou eerste keuze zijn?
Ik zou eerst eens kijken wat er met de server gedaan moet worden, Als de benodigde software alleen voor Windows beschikbaar is kun je natuurlijk voor Linux/BSD kiezen, maar dan kan je er niet veel mee....
Cergorach
@Zer014 mei 2020 00:05
Wellicht een clean VM die elke keer opnieuw schoon wordt geladen van backup?
TheVivaldi
@Cergorach13 mei 2020 17:49
Als je zoveel security nodig heb dat een air-gapped netwerk nodig is, zou Windows dan jou eerste keuze zijn?
Windows zal nooit mijn eerste keuze zijn, op welke computer/server/etc. dan ook ;)
mg794613
@Bensimpel13 mei 2020 17:03
Je hebt helemaal gelijk, alle OS'en zijn vulnerable.
Nu heeft ajolla niet echt een handige onderbouwde statement, maar echt ongelijk heeft ie ook niet helemaal.
Windows maakt het wel heel makkelijk om alle security uit tezetten, en laat nou net die gebruikers dat ook veel doen voor hun (kies) customdrivers/cheats/downloaded progs/crackers/games. Eigenlijk de eerste stap die men uitvoert bij problemen is "run as administrator".
ToBe
@mg79461313 mei 2020 17:33
Windows maakt het wel heel makkelijk om alle security uit tezetten, en laat nou net die gebruikers dat ook veel doen voor hun (kies) customdrivers/cheats/downloaded progs/crackers/games.
Gebruikers die cheats/crackers/games e.d. gebruiken/spelen zitten vaak niet in air gapped networks. Je hebt dan veelal over overheids- of bancaire systemen die professioneel worden beheerd en waarbij het omzeilen van security settings vroegtijdig wordt ontdekt.
dec0de
@Bensimpel13 mei 2020 18:56
De INSTALLER, wat niet door de linux foundation word gemaakt bevat een fout. Oke? Sorry, maar niemand gebruikt een ubuntu server in zo'n platform. Realistisch zit daar een hardend kernel in, met debian. Hoeveel issue's zijn daarmee? Bijna nul. Dan nog SELinux, klaar. Is het 100% veilig? Nee. Is het beter dan windows? 100%.

Daarbij word hier nog eerder een BSD gebruikt

[Reactie gewijzigd door dec0de op 13 mei 2020 18:59]

Snow_King
@dec0de13 mei 2020 19:22
Of je nu Ubuntu, Debian, CentOS of welke Linux distro gebruikt. Veel zit hem bij de beheerder en gebruiker.
feuniks
@ajolla13 mei 2020 23:40
Lachen. Zo'n behoefte aan veiligheid hebben dat je een air-gapped netwerk gaat gebruiken en dan stug doorgaan met Windows gebruiken. _/-\o_ _/-\o_ |:(
Ik kom niet meer bij. 8)7
Ja, want alle software die je nodig hebt is ook op allerlei andere besturingssystemen te krijgen...
Het feit dat je een systeem loskoppelt van het Internet kan er simpelweg uit bestaan dat je software erop moet gebruiken die nog XP of wellicht Windows 95/98 nodig heeft. Als dat machines zijn die apparatuur aanstuurt die ofwel heel duur is ofwel waar gewoonweg geen vervanger voor is, dan moet je toch wat. Er zijn ook bedrijven (zoals bepaalde labs) die systemen moeten behouden met alle software inclusief het OS op een bepaald patchlevel. In het geval van een rechtszaak bijvoorbeeld moeten zij dan bijvoorbeeld de berekening kunnen bewijzen door hem nogmaals uit te voeren op dezelfde hard en software. Dan kan het heel verstandig zijn om de systemen van het Internet (en wellicht helemaal van het LAN) te halen.
ajolla
@feuniks14 mei 2020 16:49
Ok hoor. :)
vooviro
@ajolla13 mei 2020 16:43
Het lijkt wel alsof je windows aan het bashen vandaar ook die kinderlijke smileys///
Dit soort dingen gebeuren ook op aandere besteurinssystemen, zoals ios, maxosc, liniux... ect..

denkt gewoon net na
dec0de
@vooviro13 mei 2020 18:59
Noem maar een voorbeeld van linux, tussen 2015 en nu.
Op de hardened kernel, het lieft met debian, centOS, redhat of een BSD, Want dat is wat realistisch word gebruikt. Hoogst waarschijnlijk een BSD?.
basdej
@ajolla13 mei 2020 16:38
Verklaar je nader? Wat is er precies zo onveilig aan een Windows systeem wat air-gapped is ten opzichte van Linux?

[Reactie gewijzigd door basdej op 13 mei 2020 16:39]

Ikheetchris
@basdej13 mei 2020 16:48
Omdat Windows vensters heeft waardoor je in het systeem kunt kijken 8)7
The Zep Man
@dec0de13 mei 2020 20:51
Windows zit vol met oude code, en bugs. Heb je ooit een bluescreen equivalent op linux gezien? Ik niet.
Kernel panics? Jazeker. De oorzaken variëren, maar zijn hetzelfde als bij Windows: buggy meegeleverde code, onstabiele hardware, ...

[Reactie gewijzigd door The Zep Man op 13 mei 2020 20:52]

iew
13 mei 2020 16:49
Ach, het internet word sowieso steeds onveiliger, er is/zijn steeds meer beveiliging/en nodig wanneer je met internet bezig bent, dit zal alleen maar toenemen.
lux
14 mei 2020 23:25
Hetgeen ik hier uit onthoudt is toch vooral dat je je kwetsbaarheden onder controle dient te houden. Wij zijn zelf aan het kijken naar een Vulnerability Management platform. Stond al lang op het verlanglijstje. Hopelijk komt het er snel nu.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee