'Burn After Read-functie van Pastebin helpt malwaremakers'

Pastebin heeft vorige week twee nieuwe functies doorgevoerd: Burn After Read en Password Protected Pastes. De aankondiging krijgt nu kritiek van beveiligingsdeskundigen. Die vinden dat Pastebin malwaremakers in de kaart speelt met de functies.

Met Burn After Read kunnen Pastebin-gebruikers instellen dat een geplakte tekst verdwijnt na het lezen. Password Protected Pastes kan teksten achter een wachtwoord plaatsen. Op de aankondiging door de dienst kwam op Twitter lof vanwege de bruikbaarheid, maar ook de nodige kritiek van onder andere beveiligingsdeskundigen.

Die stellen dat malwaremakers en -verspreiders baat hebben bij de functies. Ted Samuels, een incident response consultant, zegt tegen ZDnet dat Pastebin bijvoorbeeld gebruikt wordt voor aanvallen via PowerShell. De payload van malware haalt daarbij aanvullende instructies van geplakte teksten op Pastebin, die PowerShell vervolgens uitvoert. Onder andere het CobaltStrike-malwareframework maakt hiervan gebruik.

Samuels en enkele collega's vrezen dat de nieuwe functies het moeilijker maken om op te treden tegen het misbruik van Pastebin door criminelen. Zo kunnen de functies de werking van tools frustreren die Pastebin monitoren voor de aanwezigheid van verdachte uploads.

Diensten die concurreren met Pastebin, zoals Privatebin, hebben al langer functionaliteit zoals wachtwoordbescherming en verwijderen-na-lezen. Pastebin is met afstand marktleider wat betreft internetdiensten voor het kopiëren en plakken van teksten, hoewel de populariteit wel lijkt te dalen als gekeken wordt naar de Alexa Rank.

Pastebin burn after read

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 28-09-2020 09:07 53

28-09-2020 • 09:07

53

Lees meer

'Indiase overheid blokkeert Pastebin en GitHub'
'Indiase overheid blokkeert Pastebin en GitHub' Nieuws van 31 december 2014
Pastebin-variant slaat data op met aes256-versleuteling
Pastebin-variant slaat data op met aes256-versleuteling Nieuws van 15 april 2012
Pastebin wil meer doen tegen gevoelige uploads
Pastebin wil meer doen tegen gevoelige uploads Nieuws van 2 april 2012
Beveiliging en antivirus Wachtwoord

Reacties (53)

-Moderatie-faq
53
53
36
1
0
7
Wijzig sortering
Single Core 28 september 2020 09:11
Lijkt mij normale functionaliteit om toe te voegen aan zo'n dienst. Dit is precies zeggen dat bedrijven geen end-to-end encryption meer mogen implementeren omdat het "in de handen speelt van criminaliteit".

Vreemde opmerkingen als je het mij vraagt
timberleek @Single Core28 september 2020 09:16
Ik heb niet helemaal helder wat het doel en/of risico is van deze functies, maar in de basis lijkt het me sowieso geen oplossing om het te verbieden.

Lijkt me dat malwaremakers het dan linksom of rechtsom wel op een andere manier misbruiken. Zoals bijvoorbeeld een (al dan niet malafide) pastebin alternatief.

Uitgangspunt moet denk ik eerder worden dat systemen niet gevoelig zijn voor het "lek" dat hiermee wordt misbruikt (ja dit is een dooddoener, mede omdat ik nog niet helemaal door heb wat precies het doel is).
Maar het verbieden voor het reguliere volk lost imo niks op.

edit: Oeps, was niet bedoelt als reply


edit2:
Kort door de bocht, begrijp ik het zo goed:
In plaats van de malware vol te drukken met malicious code (wat mogelijk gedetecteerd wordt?) stop je er een link in naar pastebin. Hier leeft dan diezelfde code.
De nieuwe functies maken het moeilijk tot onmogelijk om pastebin zelf af te scannen op malicious code. Aanwezigheid hiervan zou dan wijzen op een (pending) malware uitbraak.

Maar dan lost het verbieden van deze functionaliteit niks op, behalve het verplaatsen van de code naar "malicious_pastebin.org" of "pastabin.org"

[Reactie gewijzigd door timberleek op 22 juli 2024 18:35]

MiesvanderLippe @timberleek28 september 2020 09:35
Logging van Powershell commando's is niet bijzonder goed. Je zou dan kunnen zien "Powershell gestart met commando: download van pastebin en voer uit". Vanaf dan tast je als onderzoeker in het duister wat er uitgevoerd is. Voorheen kon je dan dus het Powershell script soms nog downloaden van Pastebin, maar dat wordt nu dus gefrustreerd.

Voor een aanvaller is het van belang dat het script opgehaald kan worden, en dat het niet super erg opvalt in bijvoorbeeld een firewall / anit-malware. Dus je kiest een publieke bron. Soms is het Reddit maar die hebben veel anti-spam en die zijn vriendjes met de authoriteiten. Soms is het een Github achtige maar daarbij geldt hetzelfde, en dat ze soms indexering doen waardoor proactief onderzoek makkelijk is. Pastebin is voordelig want je kunt dingen dus verbergen uit de indexering, en het doet alleen maar wat het moet doen, en het is eenvoudig te uploaden zonder account etc.
timberleek @MiesvanderLippe28 september 2020 09:43
Maar in de basis lijkt dit me niet op te lossen door deze functionaliteit uit pastebin te slopen.

Je kan alsnog (desnoods handmatig) de scripts verwijderen achteraf.
En verwijzen naar "pastebin_alternative.com" lijkt me dan een easy fix.
Bor Coördinator Frontpage Admins / FP Powermod
@timberleek28 september 2020 11:11
De functionaliteit er uit slopen lijkt mij een uiterste. Je zou wel kunnen inzetten op het beperken van de functionaliteit zodat er bijvoorbeeld geen scripts geplaatst mogen worden.
MrR0b3rt @Bor28 september 2020 12:03
Blijft een lastige...want dan ga je de scripts die je op pasebin zet weer zo maken dat het algoritme ze niet als script ziet. Kan zo simpel zijn als je content encoden of encrypten.
Scriptkid @MiesvanderLippe28 september 2020 09:43
LOL,

Als je ergens goed kunt tracen is het wel in PS dat wordt zo goed geloged dat red teams van MS er juist vanaf gestapt zijn,

Zie presentaties van Jeffry Snover
MiesvanderLippe @Scriptkid28 september 2020 11:26
Nu ja, als je gelijk de logging sloopt ben je toch nog steeds nergens?
Scriptkid @MiesvanderLippe28 september 2020 15:08
Die zit dan allang in de central logging repository en niet meer op de machine.

Dus dan moet je als aanvaller ook al toegang hebben tot dat secure platform.
MiesvanderLippe @Scriptkid28 september 2020 19:20
Ik denk dat je echt grof overschat hoe bedrijven de computers van medewerkers inrichten, en wat voor rechten de meeste medewerkers hebben op hun computer.
Finraziel @MiesvanderLippe28 september 2020 11:14
Als dat waar is, zie opmerking van scriptkid, zou dan de oplossing niet zijn om die logging te verbeteren? Beetje vreemde redenatie dat dan een compleet andere dienst zich aan moet passen omdat je er de missende functionaliteit van powershell mee op zou kunnen vangen...
DrDentz @MiesvanderLippe28 september 2020 11:22
Zoals Scriptkid hierboven zegt, als je ergens juist goed kunt loggen is het wel in Powershell. Module logging, script block logging, transcript logging, of misschien zelfs rechtstreeks van ETW.
Magic Power @MiesvanderLippe28 september 2020 11:54
Logging van Powershell commando's is niet bijzonder goed. Je zou dan kunnen zien "Powershell gestart met commando: download van pastebin en voer uit". Vanaf dan tast je als onderzoeker in het duister wat er uitgevoerd is. Voorheen kon je dan dus het Powershell script soms nog downloaden van Pastebin, maar dat wordt nu dus gefrustreerd.
Als een script verwijst naar Pastebin, of een Pastebin-alternatief, zou ik het al als malafide willen bestempelen. Sterker nog, als een script ergens van internet code wil downloaden en die uitvoeren, zou ik het al als malafide zien. Ik kan mij zo snel geen situatie voorstellen waarbij je code van (het open) internet downloaden zou willen.

Wat betreft het onderzoeken: Als een script code kan downloaden, dat achter een password zit, moet een onderzoeker in de code toch dat password kunnen vinden. Op zijn minst de URL naar pastebin extern afvangen en het wachtwoord eruit halen, of gewoon zo zelf de code downloaden voor onderzoek.

Het probleem met Burn after Read zie ik alleen niet echt. Als Burn after Read inhoud dat de code eenmalig leesbaar is en dan vernietigt word, lijkt mij dit heel onbruikbaar voor malafide code. Want hij kan die code maar 1 keer downloaden, daarna werkt het malafide script nergens meer. Alleen als je dit gebruikt om een zeer specifieke persoon of een bedrijf aan te vallen, zou het kunnen. Maar dan heb je het al eigenlijk niet meer over malware, maar over bedrijfsspionage.
Oon @Single Core28 september 2020 09:46
Ik vind het inderdaad altijd een vreemd argument dat je dingen zou moeten ontwerpen om misbruik tegen te gaan. Je zou toch hopen dat een dienst (wat voor dienst dan ook) eerst functionaliteit zou bedenken, en daarna pas hoe ze eventuele misbruik binnen hun eigen dienst tegen kunnen gaan. Dat een website die teskstsnippets host misbruikt kan worden voor andere doeleinden lijkt me geen probleem van Pastebin, want die zijn hier geen relevante partij in. Andere vergelijkbare diensten hebben vergelijkbare functionaliteit, dus als Pastebin deze functionaliteit weg zou halen (wat heel dom zou zijn, want dat is toch wel echt regressie in hun platform) dan neemt een andere partij hun plek daarin.
Bor Coördinator Frontpage Admins / FP Powermod
@Oon28 september 2020 11:12
Dat een website die teskstsnippets host misbruikt kan worden voor andere doeleinden lijkt me geen probleem van Pastebin, want die zijn hier geen relevante partij in.
Ik vraag mij af of dit juridisch gezien wel klopt wanneer het platform als host voor malware wordt gebruikt.
Oon @Bor28 september 2020 11:21
Je zou (terecht) kunnen stellen dat ze de verantwoordelijkheid hebben om waar mogelijk malware te verwijderen. Het probleem is hier alleen een beetje hetzelfde als bijvoorbeeld YouTube heeft met het controleren op copyright; het volume is te groot voor handmatige controle, en automatische controle werkt ook niet altijd lekker.

Het lijkt me echter absoluut niet zo dat ze deze functie niet aan zouden mogen bieden omdat hij misbruikt kan worden. Je kan malware ook verspreiden via Facebook posts of een Tweakers PB (al zijn deze wel wat omslachtiger), dat wil niet zeggen dat Facebook geen posts meer mag hebben en Tweakers geen PB's meer mag toestaan omdat die mogelijkheid er is.
YangWenli @Oon28 september 2020 15:20
Ik denk dat als pastebin een slechte reputatie krijgt ze vanzelf wel geblokkeerd gaan worden en minder bezoekers krijgen.
Dus het zal ook in het belang zijn van de site om te modereren.
YopY @Single Core28 september 2020 14:14
idd; als Pastebin het niet doet zijn er wel concurrenten die het oppakken.
Mannes 28 september 2020 09:12
De payload van malware haalt daarbij aanvullende instructies van geplakte teksten op Pastebin, die Powershell vervolgens uitvoert.
Hoe helpt de burn after reading functionaliteit hierbij? de aanvaller zou dan voor iedere nieuwe machine een andere url moeten gebruiken? Lijkt mij juist heel onhandig als ik malware zou maken

[Reactie gewijzigd door Mannes op 22 juli 2024 18:35]

R4gnax @Mannes28 september 2020 09:17
Hoe helpt de burn after reading functionaliteit hierbij?
Niet. De frustratiefactor zal wss. liggen bij de andere nieuwe feature: wachtwoordbescherming.
Security firma's kunnen daarmee niet pro-actief pastebin scannen voor potentiële malware.

Voor bedrijven, wat doorgaans de doelgroep is die bij deze firma's klant is, is dit soort aanval sowieso veel makkelijker te frustreren: firewallen die zooi. DNS en/of IP-level blokkade van Pastebin doorvoeren en klaar.

Kan me nl niet indenken dat je bedrijfsmatig zaken van Pastebin moet gaan halen.
ShellGhost @R4gnax28 september 2020 09:35
Dan zou je de url moeten bannen gezien pastebin achter Cloudflare zit. En compleet Cloudflare blacklisten wil je niet. En url blocken is nutteloos als malware gebruikt maakt van ip adressen om naar te connecten.
DrDentz @ShellGhost28 september 2020 11:12
Alles over een proxy en geen directe IP connections toestaan, probleem opgelost.
ShellGhost @DrDentz28 september 2020 11:22
Google DNS instellen en je kan er weer bij. In ieder geval bij Cisco Umbrella.
Jhonna @Mannes28 september 2020 09:16
Dat staat wat verder op in het artikel:

"Samuels en enkele collega's vrezen dat de nieuwe functies het moeilijker maken om op te treden tegen het misbruik van Pastebin door criminelen. Zo kunnen de functies de werking van tools frustreren die Pastebin monitoren voor de aanwezigheid van verdachte uploads."

Inderdaad voor de malware zelf niet zo heel erg, maar voor het pro-actief opsporen van malware voor hij verspreid is wel.

EDIT: Malware makers kunnen ook een algo ontwikkelen waardoor het virus weet wat de volgende pastebin URL zal zijn. Zover ik weet kan je je pastes een eigen naam/url geven, en dat kan dan wel handig zijn eventueel (denk ik).

[Reactie gewijzigd door Jhonna op 22 juli 2024 18:35]

Christoxz @Mannes28 september 2020 09:16
But now, security researchers argue that by adding the two new features today, Pastebin is blocking their good-will efforts to detect malware operations and is catering more to the malware crowd rather than actual users and the good guys.
Dat het daardoor moeilijk gaat worden op zulke pastebins te vinden, omdat ze continue verdwijnen.
Een hacker vind wel een manier om geautomatiseerd nieuwe pastebins te maken en dit in een te laten lopen met de malmware.
Rannasha @Mannes28 september 2020 09:17
[...]


Hoe helpt de burn after reading functionaliteit hierbij? de aanvaller zou dan voor iedere nieuwe machine een andere url moeten gebruiken? Lijkt mij juist heel onhandig als ik malware zou maken
Het zal het wat lastiger maken voor beveiligingsonderzoekers om te achterhalen wat de malware precies doet. Zonder de burn-after-reading functie kan een onderzoeker de URL uit de malware vissen en deze bezoeken om de instructies die de malware heeft gekregen te lezen. Nu is dat niet mogelijk.

Er zal inderdaad per infectie een nieuwe URL aangemaakt moeten worden, maar dat lijkt mij voor de aanvallers geen grote beperking.
Bor Coördinator Frontpage Admins / FP Powermod
@Mannes28 september 2020 11:14
Hoe helpt de burn after reading functionaliteit hierbij?
De functionaliteit helpt bij het verminderen van de pakkans, de code is weg na het uitvoeren. Ook kan je dit soort functies gebruiken voor het tonen van een ransomware note / bedreiging of andere ongewenste zaken.
niqck 28 september 2020 09:29
Functionaliteit dit al hele tijd beschikbaar is in 0bin.net, zerobin.net, privatebin... Niets nieuw dus maar wordt nu enkel ook toegevoegd aan pastebin. Wat is het verschil dan? Buiten dat de meesten pastebin kennen en de andere (meer privacy-minded alternatieven) niet.

Zie het 'voordeel' voor malware niet. Moeten ze voor iedere aanval een nieuwe paste maken als die, eenmaal gelezen, verwijderd wordt. Enkel dat je er een paswoord op kan zetten maar in dat geval kan je als onderzoeker dat paswoord wel uit de malware halen en de paste bekijken.

[Reactie gewijzigd door niqck op 22 juli 2024 18:35]

D11 @niqck28 september 2020 09:40
Buiten het feit dat andere aanbieders het al hebben, kunnen de malware makers de inhoud ook zelf encrypten voordat ze het op Pastebin zetten.
Bor Coördinator Frontpage Admins / FP Powermod
@D1128 september 2020 11:15
Buiten het feit dat andere aanbieders het al hebben, kunnen de malware makers de inhoud ook zelf encrypten voordat ze het op Pastebin zetten.
Dat klopt maar dan is er nog steeds iets wat te onderzoeken valt.
D11 @Bor28 september 2020 12:07
Hoe is dat anders als Pastebin het encrypt?
biglia @niqck28 september 2020 15:11
Pastebin is groter en zal daarom minder snel stoppen met hun dienst.
Pastebin is bekender en zal daarom minder snel opvallen tussen uw internetverkeer.
jhnddy 28 september 2020 09:40
Ik snap niet wat het nut van burn after read is. Waarom zou je een paste publiek willen plaatsen, en automatisch verwijderen nadat het één keer is gelezen?

Het enige wat ik kan verzinnen is als je naar een specifiek persoon de paste wil doorsturen, maar dat zou toch net zo goed via mail kunnen?
Bor Coördinator Frontpage Admins / FP Powermod
@jhnddy28 september 2020 11:16
Het enige wat ik kan verzinnen is als je naar een specifiek persoon de paste wil doorsturen, maar dat zou toch net zo goed via mail kunnen?
Als je iets naar een enkel persoon wilt sturen wat geheim moet blijven zijn er andere en betere oplossingen inderdaad en zet je het niet in clear text binnen een cloud omgeving.
ShellGhost @jhnddy28 september 2020 09:47
Locatie van C&C servers bijvoorbeeld.
Diamondo25 28 september 2020 11:01
Ik snap niet wat het probleem is. Ik denk dat Pastebin toch toegang heeft over welke berichten door wie word gelezen en welke content deze heeft? Het is niet zo dat je een website zoals Pastebin moet vergelijken met mega.co.nz of een andere cloudopslag. Je zou data in comments, afbeeldingen (er was er al een die dit gebruikte van een forum), of een combinatie van dingen kunnen opslaan. Het is een kat en muis spel, en om nu meteen Pastebin zwart te maken (want hunnie hebben het geintroduceerd huil huil) is erg jammer want het is een van de weinige sites die nog kunnen bestaan met een hoop gebruikers.
Bender @Diamondo2528 september 2020 12:06
Ik denk dat je het wel kunt vergelijken met Mega, berichten worden versleuteld op basis van de hash welke in de url zit en die moet je dan wel weten.
wica @Bender28 september 2020 13:39
tail -f access.log... Damn nu weet je die hash ;)
Bender @wica28 september 2020 13:42
Tot de hash in een anchor(/hashbang) staat zoals bij Mega het geval is, of in cookie/sessie.

Overigens staat het bij Pastebin wel in een QueryString, maar ook hier kan het eventueel nog verder geparsed worden met cookies/sessies maar verder niet naar gekeken.

[Reactie gewijzigd door Bender op 22 juli 2024 18:35]

wica @Bender28 september 2020 13:48
Ik bedoelde voornamelijk, dat een hash geen toegevoegde waarde heeft, als het doel is om de inhoud te beschermen tegen intern gebruik van een bedrijf als patsebin.
Bender @wica28 september 2020 14:05
Wel als je de hash nodig hebt om informatie te decoderen, als die hash niet opgeslagen wordt (zoals bij Mega) kan een bedrijf intern het ook net decoderen.
OMEGA_ReD 28 september 2020 12:25
Misschien iets te voor de hand liggend... maar zou een captcha hiervoor niet kunnen helpen?
Bender @OMEGA_ReD28 september 2020 13:44
Nee, want er zijn api diensten die dit omzeilen (AI herkenning met als backend een china interface)
GertMenkel
28 september 2020 10:34
Ik weet niet of ik iemand die zo'n stelling inneemt als "deskundige" zou bestempelen. Ze zullen zeker werken in het cybersecurityveld, maar als ze denken dat deze functie hun leven moeilijker maakt of de veiligheid van hun computers benadeelt hebben ze duidelijk hun beveiligingsmodel niet goed zitten.

Iedere website met een commentsectie kan gebruikt worden om een botnet aan te sturen, daar heb je echt geen pastebin voor nodig. De inhoud wordt over HTTPS binnengehaald dus is al versleuteld, pastebins kunnen al na 10 minuten verdwijnen (dus als je het verkeer niet leesbaar opslaat, was je je kans om te inspecteren al kwijt) en inhoud van een beetje C&C communicatie is toch al versleuteld of verstopt in stenografie. En, zoals andere comments hier ook al aangeven, zijn er al lang alternatieve diensten die dit aanbieden.
Abbu-kun @GertMenkel28 september 2020 22:03
Jap er is malware geweest die een aantal twitter accounts bekeek en de text in de berichten hashte. Zo waren er regels voor matches als killswitch of om een tweede stadium te downloaden. Met overactievecompressiestappen is het nu lastiger maar soms werden URLs of payload stenografisch verborgen in afbeeldingen.
Joseph 28 september 2020 11:59
- "De verkoop van keukenmessen biedt kwaadwillenden de kans om met dat mes een moord te plegen"
- "Versleuteling van berichten werkt terrorisme en bepaalde zedenzaken in de hand"

Zo kun je er nog veel meer verzinnen. Kwaadwillenden vinden toch altijd wel een manier om het voor elkaar te krijgen, de enige slachtoffers van dit soort uitspraken zijn de mensen die echt wat te vrezen hebben. Voor regimes die hun niet goed gezind zijn, bijvoorbeeld...

Daarom vind ik dit soort uitspraken kant nog wal raken...

[Reactie gewijzigd door Joseph op 22 juli 2024 18:35]

Dalyxia 28 september 2020 15:39
Deze kritiek vind ik erg lijken op kritiek als:

"Lantaarnpalen helpen verkrachters om slachtoffers te vinden in de nacht"
"snelwegen helpen dieven om snel weg te komen na inbraak"
nihilissimis 28 september 2020 09:24
De aankondiging krijgt nu kritiek van beveiligingsdeskundigen.
Vraag me dan weer af wie die ‘deskundigen’ zijn..

Rian, is that you?!
Grim @nihilissimis28 september 2020 09:39
De tweet staat ook in het artikel. In de reacties op deze tweet vind je de deskundigen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq