Onderzoeker: bugs in malware-kits geven kans op tegenaanval

Veel malware-kits die door criminelen op internet worden gebruikt, zitten vol bugs, zo stelt een onderzoeker van beveiligingsfirma Tehtri. Door deze fouten te benutten, zou het mogelijk zijn om de aanval tegen de malwareverspreiders in te zetten.

Malware Laurent Oudot, onderzoeker bij Tehtri Security, heeft de werking van een aantal veelgebruikte malware-kits onderzocht. Deze doe-het-zelf-pakketten, die namen dragen als Neon Exploit Pack en Sniper Backdoor, zijn tegen relatief lage prijzen op de zwarte markt te koop. Ze geven criminelen de mogelijkheid om zonder veel programmeerkennis malware in elkaar te knutselen.

Uit het onderzoek van Oudot, dat hij presenteerde op de SyScan 2010-bijeenkomst, zou blijken dat veel van deze malware-kits verre van bugvrij zijn, terwijl ironisch genoeg malware het juist zelf moet hebben van fouten in veelgebruikte software, zoals browsers of besturingssystemen. De Franse beveiligingsonderzoeker gaf tijdens zijn presentatie een lijst van dertien bugs vrij in de meestgebruikte malware-kits. Volgens Oudot maken de fouten in de malware-kits het mogelijk om de tegenaanval in te zetten tegen de criminelen die botnets zouden beheren, bijvoorbeeld door het uitvoeren van sql-injecties.

Opsporingsdiensten zouden met de ontdekte bugs de botnets onbruikbaar kunnen maken door de centrale aansturing aan te vallen. Ook zou het in bepaalde gevallen mogelijk kunnen zijn de identiteit van de malware-verspreider te achterhalen. De onderzoeker tekende er echter bij aan dat opsporingsdiensten bij het hanteren van dergelijke 'onconventionele' methoden tegen juridische grenzen aan zouden kunnen lopen, maar dat een frisse blik op het oplossen van dergelijke beveiligingsproblemen hard nodig is.

IT-banen

Reacties (55)

Nyarlathotep 20 juni 2010 14:52

Is het niet heel knullig en dom om die buglist vrij te geven? Dan geef je de "ontwikkelaars" van die meuk alleen maar de kans om hun software te verbeteren...

Verwijderd @Nyarlathotep • 20 juni 2010 15:01

"verre van bugvrij zijn"

Het zal dus meer moeite kosten dan dat jij aanneemt om het bugvrij te maken.

MicGlou @Verwijderd • 20 juni 2010 16:18

Het eerste stukje hedendaagse bugvrije software moet nog geschreven worden, in dat opzicht is het een non-argument.

dasiro @MicGlou • 20 juni 2010 17:36

er zijn genoeg hedendaagse producten die bvb bedrijfsprocessen aansturen en bugvrij zijn, omdat er bvb van beperkte input wordt gebruikgemaakt.

natuurlijk ga je dan weer met het argument komen dat die niet complex zijn, maar dat is geen synoniem voor hedendaags.

zircondan @dasiro • 20 juni 2010 17:47

Zolang het door mensen geschreven wordt zal er wel een fout in zitten.

appel437 @zircondan • 20 juni 2010 22:33

start(){
int a = 0;
while(1){
a++;
System.out.println(a);
}
}

zo nu heb ik binnen 1 minuut een stukje bugvrije code geschreven... moeilijk is het neit hoor...

arjankoole

Beveiliging
Criminaliteit

@appel437 • 20 juni 2010 23:03

zo nu heb ik binnen 1 minuut een stukje bugvrije code geschreven... moeilijk is het neit hoor...

en wat als in de compiler/interpreter nou een fout zit?

Het probleem bevat meerdere lagen, die niet allemaal controleerbaar zijn door jou, potentieel.

jecede @appel437 • 20 juni 2010 23:13

nou bugvrij... als je dit op een server draait word de beheerder niet vrolijk lijkt me.

ERIKvanPAASSEN @appel437 • 21 juni 2010 00:40

Dat hangt natuurlijk ook nog van de specificatie af. Als de specificatie is: 'tel van 0 tot oneindig', dan gaat het hier alweer mis.

Een fout is altijd sneller gemaakt dan voorkomen

VOODOO_WILLIE @appel437 • 21 juni 2010 00:56

Voordat je gaat beweren dat je "ff" een stukje bugvrije code hebt getikt zou ik eerst maar eens zorgen dat het door de compiler heen komt. Je hebt namelijk geen type gespecificeerd voor de parameters en return value van de functie.

Bovendien vergeet je gemakshalve maar even dat je als programmeur afhankelijk bent van modules die niet door jezelf getikt zijn. En dan doel ik met name op software die bedoeld is voor PC's. Ik neem tenminste niet aan dat jij uit jezelf even een tcp/ip connection object in assembler gaat zitten tikken, om maar iets te noemen.

Sterker nog: Als je gebruik maakt van simpele functies uit bijvoorbeeld user32.dll heb je al kans dat er een bug in jouw software zit. En dan laat ik zelf de flauwe Windows-grappen maar achterwege.

On topic:

Enerzijds mooi dat ze de bal terug kunnen kaatsen maar het lijkt me, zoals hierboven reeds gezegd, ook weer niet zo slim om die gasten te wijzen op de bugs in hun malware kits.
Alhoewel de kans natuurlijk groot is dat de echt interessante bugs juist niet vermeld zijn.

[Reactie gewijzigd door VOODOO_WILLIE op 24 juli 2024 03:55]

awulms @appel437 • 21 juni 2010 08:07

Wat zijn de specificaties met betrekking tot het afhandelen van overflow?

YopY @appel437 • 21 juni 2010 09:40

start(){
int a = 0;
while(1){
a++;
System.out.println(a);
}
}

zo nu heb ik binnen 1 minuut een stukje bugvrije code geschreven... moeilijk is het neit hoor...

Helaas zul je bij a > Integer.MAX_INTEGER een overflow krijgen waardoor het getal ineens in de negatieven springt.

Je hebt een eenvoudig stukje code geschreven, maar het is verre van bugvrij.

robvanwijk

Criminaliteit
Beveiliging
Malware
Privacy

@zircondan • 20 juni 2010 23:45

Aaargh, hoe komt het toch dat zelfs op T.net zoveel mensen niet weten wat wel en niet mogelijk is...!?

Het is prima mogelijk om een volledige kernel te schrijven die gegarandeerd bugvrij is. Ja, dat kost aanzienlijk meer tijd dan een "gewone" kernel in elkaar coden, maar het kan wel en het wordt ook gedaan.

link0007 @robvanwijk • 21 juni 2010 11:57

Dan mogen die mensen mooi voor NASA enzo gaan werken.. Bugvrije computers zijn een illusie. Zelfs al zou de code bugvrij zijn (knappe prestatie al), de processor en dergelijke bevatten nog honderden fouten.

kozue @zircondan • 20 juni 2010 23:52

Ja, precies hetzelfde waardoor de hackers normaal altijd winnen. Welke security ook gemaakt wordt, gekraakt wordt het toch altijd. Nu krijgen ze een koekje van eigen deeg, want ook hun eigen software zit natuurlijk vol met exploitable bugs. En net zoals hackers het altijd gaan winnen tegen makers van "security", zullen hier de hackers het altijd verliezen. Degene die de software maakt kan nooit het tempo bijhouden van degene die het kraakt.

wiskid @zircondan • 20 juni 2010 21:18

Nou ik hoop dat de software die ik laatst geschreven heb voor een niet nader te noemen chemie plant toch bug vrij is. Zou best vervelend zijn als er doden vallen door dat ik een foutje heb gemaakt.

Maar goed daar is ook maar beperkte input mogelijk zoals dasiro al aangaf.

kozue @wiskid • 20 juni 2010 23:43

Er zullen ongetwijfeld bugs in zitten. Echter de meeste bugs merk je tijdens normaal gebruik niet zo veel van, dus voor een gesloten omgeving is het niet zo snel iets om je druk over te maken.

Helmore @Nyarlathotep • 20 juni 2010 14:59

Dat is ook het eerste wat ik dacht toen ik dat las. Tja, wordt nog leuk die oorlog tussen de malware makers en de beveiligings experts.

dragontje124 @Nyarlathotep • 20 juni 2010 15:03

ik neem aan dat dit maar een paar kleine voorbeeldjes zijn en dat ze nog veel meer bugs achter de hand hebben.

Verwijderd @Nyarlathotep • 20 juni 2010 16:14

Denk niet dat de ontwikkelaars erom malen, die bouwen een pakket en maken er geld op. Zodra de tegenaanval ingezet word verkopen ze een nieuw pakket zonder deze fouten. Ik blijf dit soort markten zoals torrent zien: Zodra je er 1 de nek om draait zullen er 10 nieuwe zijn die het overnemen.

kidde @Verwijderd • 21 juni 2010 15:09

Idd, eerder een geheel nieuw bedrijfsmodel voor de ontwikkelaars van malware:

Eerst verkochten ze eenmalig software, en dat was dan dat. Ze verkochten alleen nieuwe modules voor nieuwe exploits van de software die ze aanvallen.

Nu kunnen ze voortaan 'updates' / 'patches' voor hun eigen software gaan verkopen, dus potentieel kunnen ze nog meer geld gaan verdienen.

Verwijderd @Nyarlathotep • 20 juni 2010 18:56

Ze presenteren 13 bugs, ik heb in het stuk niet gelezen hoeveel ze gevonden hebben. Stel dat ze 100 bugs gevonden hebben, dan is dit maar een klein gedeelte.

Daarnaast zijn mensen die zo'n kit nodig hebben om malware te schrijven waarschijnlijk niet in staat om die bugs te verhelpen. Ik hoop dat ze een flink koekje van eigen deeg krijgen.

HMC @Nyarlathotep • 20 juni 2010 20:00

Ze hebben er maar 13 vrijgegeven, en ik betwijfel of dat de meest belangrijke en meest voorkomende zijn.
Deze gasten hebben daar vast ook wel bij stilgestaan.

En, aangezien dus veel van deze proggies gemaakt worden met standaard kits/pakketten (Visual Basic for Script Kiddo's? (VSSK) ), is dat waarschijnlijk ook niet meteen te merken in de malware in omloop. omdat niet veel van die mensen nieuwe versies blijven kopen.
Of hebben deze progsels ook update functies, a la windows update?

Important update: Fixed exploit that prevents your exploit.

Update at own risk. We cannot be held responsible for any exploits on your comp after updating.

Ge Someone @Nyarlathotep • 21 juni 2010 10:58

binnenkort Patch Friday for malwarekits

ikt 20 juni 2010 15:12

Is dit niet een huge potentieel? Counter-DDOS. De betreffende computers infecteren met je eigen variant (die uiteraard een waarschuwing geeft) die de centrale opdrachtgever DDOSen, en ook nog eens alle verzamelde data zoals IP's naar de FBI o.i.d sturen. Probleem opgelost: Het doelwit is veilig, stouterik opgepakt en weer een paar miljoen computergebruikers die weten dat hun computer is geïnfecteerd en ze iets moeten doen.

[Reactie gewijzigd door ikt op 24 juli 2024 03:55]

TheGhostInc @ikt • 20 juni 2010 16:05

Ik heb nooit begrepen waarom er tussen al die "white hat" hackers nooit iemand heeft gezeten die een groep heeft gestart om bot netwerken te ontmantelen. Sterker nog, als ze een flink botnet zouden overnemen en dat gebruiken om juist andere botnets op te ruimen en die machines meteen voorzien van wat basale beveiliging (virusscanner oid.) dan zou het hele probleem waarschijnlijk in luttele maanden zijn opgelost.
Ik geloof dat er 1 keer zoiets is gedaan met een bug voor IIS, maar blijkbaar niet voor deze botnets, anders zouden deze 13 bugs al gebruikt zijn vermoed ik.

De pakkans voor het beheren van botnets is al bijzonder klein, laat staan als je doel is het opruimen van botnets.

Maar goed, je kunt natuurlijk geen "goede" hacker zijn als er geen "foute" hackers meer zijn. En uiteindelijk zitten er heel veel mensen te wachten totdat het een keer weer echt fout gaan, zodat ze hun budgetten weer omhoog kunnen schroeven....

Sissors @TheGhostInc • 20 juni 2010 16:15

Wilde net ook zoiets posten, maar jij was me dus voor.

Bij elke keer als hackers weereens iets dat niet bepaald positief is hebben uitgehaald komen er altijd weer reacties dat dat geen hackers zijn maar crackers. Echter als die hackers zogenaamd goed zijn zouden ze weleens kunnen gaan doen wat jij schrijft, botnets overnemen, beveiliging op die dingen zetten tegen andere botnets en ze gebruiken om 1 voor 1 de andere botnets ontmantelen.

Verwijderd @TheGhostInc • 20 juni 2010 16:42

Er zijn genoeg white hats die met de stof bezig zijn maar een botnet ontmantel niet "even" . Er kunnen overal zombieclients ontstaan. En wat als een hartslagmeter een van die zombies zijn die kan je niet zomaar uitzetten. In dat oogpunt is het heel moeilijk om een botnet uit te schakelen. De wil is er wel maar de kans dat het verkeerd kan gaan is zeer groot. En dus zou het heel zorgvuldig moeten gebeuren.

Vanuit dat oogpunt is er een morele en ethische dilemma is ontstaan over wat te doen met botnets. Als voorbeeld zegt dit artikel bijvoorbeeld over het "Kraken" botnet: http://www.theregister.co...raken_botnet_infiltrated/, dat er wel mogelijkheden zijn om botnets te ontmantelen maar mede door die dilemma is het dus moeilijk om een vuist te maken tegen botnets.

Brahiewahiewa @TheGhostInc • 20 juni 2010 18:26

Ik geloof dat er 1 keer zoiets is gedaan met een bug voor IIS, maar blijkbaar niet voor deze botnets, anders zouden deze 13 bugs al gebruikt zijn vermoed ik.

Dat was de Code Green worm, als antwoord op de Code Red worm. Deze gebruikte dezelfde vulnerability als Code Red, maar de payload bevatte code om de vulnerability te dichten en om Code Red te neutraliseren. Alleen het voortplantingsmechanisme was niet zo goed als dat van Code Red, dus dat is niks geworden.

robvanwijk

Criminaliteit
Beveiliging
Malware
Privacy

@TheGhostInc • 21 juni 2010 00:02

Ik heb nooit begrepen waarom er tussen al die "white hat" hackers nooit iemand heeft gezeten die een groep heeft gestart om bot netwerken te ontmantelen.

Omdat in een computer inbreken om de beveiligingsinstellingen goed te zetten nog steeds inbreken is. Als jij weet dat het slot op de voordeur van je buurman niet zo heel goed is dan breek je toch ook niet 's nachts in om het te vervangen door een degelijk slot? Als je dat bij je buurman doet (die jou kent) dan zou het nog enigszins goed af kunnen lopen, maar als je dit, op zeer grote schaal, gaat doen bij onbekenden dan vraag je om problemen.
Vergeet niet, als een "gewone" botnet client iets kapot maakt en een nieuwe installatie nodig maakt (waarbij de babyfoto's verloren gaan, om er maar even een cliché tegenaan te gooien) dan maakt dat de eigenaar van dat botnet niet uit; als ie aan morele bezwaren zou doen was ie geen botnet-eigenaar geworden. Maar als jouw white hat hackers met hun "tegenbotnet" iets slopen dan is dat wel een probleem.
Waar het uiteindelijk op neerkomt is dat het gevecht nooit eerlijk is; de good guys (antivirus software, politie, white hat hackers) moeten zich aan "de regeltjes" houden, terwijl de bad guys (virus-schrijvers, criminelen, black hat hackers) dat niet hoeven. Alle ideeën die ik ooit heb gehoord om het gelijk te trekken, een "level playing field" te creëeren, waren nog veel enger dan het probleem dat ze probeerden op te lossen.

Blonde Tux @ikt • 20 juni 2010 15:17

Wat dus betekend als je een zombie netwerk will bestrijden dat je dus het netwerk wel plat legt, maar echter ook de consument ook platlegt.... Gaat hem niet worden.

Ook een nare eigenscha van dit soort netwerken is ook dat men zich via verschillende omwegen het spin in het web nog steeds lastig te achter halen is.

Zomaar data aftappen en monitoren kan ook niet zomaar, dat is stict gebonden aan wetgeving. Zelfs al zou de FBI dit toegaan passen op consumenten kan je er de duvel op zeggen dat dat gezeik gaat opleveren.

Wat dacht je zelfs van je leuke berichtje, ik weet zeker dat als Henk en Marie (Nee geen PVV stemmer) de computer gebruiker opeens een bericht krijgen dat de FBI oid hu computer eigenlijk binnengedrongen, dat zij zich een hartverzakking schrikken.

[Reactie gewijzigd door Blonde Tux op 24 juli 2024 03:55]

i-chat @Blonde Tux • 20 juni 2010 16:35

tuurlijk wel, gewoon platleggen die zooi,

desnoods in een ransom actie,

data weg, krijg je niet meer terug - ga langs bij je lokale pc-boer, om je data terug te krijgen, na betalen van xx kosten (voor een degelijke en legale antivir oplossing)

dat vervolgens installeren en dan kun je pas in aanmerking komen voor de sleutel via

antibot.deoverheid.nl

robvanwijk

Criminaliteit
Beveiliging
Malware
Privacy

@i-chat • 20 juni 2010 23:51

Ik neem aan dat jij ook iedereen uit zijn huis wil zetten / inboedel in beslag laten nemen die geen drie-sterren als ik me niet vergis is dat de hoogste categorie voor de consumentenmarkt hang- en sluitwerk op al zijn deuren en ramen heeft zitten...? Dan maak je het (fysieke) inbrekers immers ook veel te makkelijk.

Verwijderd @robvanwijk • 21 juni 2010 08:13

Maar als je geen slot op de voordeur hebt, ben je wel strafbaar.
Aangezien een anti-virus helemaal gratis kan en na installatie nooit meer naar moet gekeken worden, mag daar toch wel iets aan gedaan worden ja.

Mensen met geweld verplichten is wel niet de oplossing zoals i-chat zegt. Doe zoals China waar een computer verplicht met een werkende (non-trial) anti virus moet verkocht worden. Of laat Ms verdomme eens toe om standaard een anti virus in te bouwen ipv het hun al 15jaar lang te verbieden.

Sissors @robvanwijk • 21 juni 2010 08:59

Maakt mij geen drol uit als iemand zijn computer vol heeft zitten met random spyware, vergelijkbaar met iemand waar inbrekers zijn. Echter zodra hij deel uitmaakt van een botnet, oftewel inbrekers werken vanuit jouw huis, dan gewoon handel nuken desnoods, of op zijn minst internet verbinding eruit trappen totdat het gefixed is.

Verwijderd @Sissors • 21 juni 2010 12:16

Dat gebeurd al hoor. Als jij spam verstuurd krijg je van je ISP een mooi berichtje dat je het fixed of ze sluiten je af

atimar 21 juni 2010 06:34

zoiets als "live by the sword, die by the sword"

maar dan met botnets

word je straks aangeklaagd omdat je iemands botnet om zeep hebt gebracht
boete voor de botnet houder: €50,=
boete voor de botnet vernieler:€250.000,=
tenminste ... als ik nl een beetje ken

pontoe @atimar • 21 juni 2010 08:36

In NL zouden ze dat al wel doen ja... maar als ze het in amerika gaan doen wordt het nog veel krommer, en wordt de botnet houder opeens de aanklager die miljoenen schadevergoeding krijgt van het amerikaanse leger omdat ze zonder zijn schriftelijke toestemming zijn creaties hadden gemold... waarvan de botnet houder vervolgens rustig die 200.000 dollar boete kan betalen en weer rustig verder kan omdat hij nog geld zat overheeft om overnieuw te beginnen

YopY @atimar • 21 juni 2010 09:42

word je straks aangeklaagd omdat je iemands botnet om zeep hebt gebracht

Zo gek is dat niet. Lijkt mij dat dit soort bugs van toepassing zijn op de PC's waar ze op draaien. Als je vervolgens een aanval wilt doen op die malware, moet je effectief een hackpoging doen op die pc - en dat mag nie.

i-peter 20 juni 2010 15:15

Als je zo iets gebruikt mag je van mij ook gewoon terug aangevallen worden, kom op een echte hacker maakt het zelf.

Verwijderd 20 juni 2010 15:04

It's not a bug, it's a feature.

Relief2009 @Verwijderd • 20 juni 2010 15:11

Misschien zijn die bugs wel een trojan horse (letterlijk)

[Reactie gewijzigd door Relief2009 op 24 juli 2024 03:55]

pontoe @Relief2009 • 21 juni 2010 08:34

Jep, gewoon boobytraps

op het moment dat we ze gaan gebruiken voor de tegenaanval, blazen ze spontaan het hele netwerk van het amerikaanse leger op

Salmon 20 juni 2010 17:10

Dus ze infecteren het geinfecteerde?

fevenhuis @Salmon • 20 juni 2010 21:19

Nee ze infecteren de malware,

althans ze geven aan dat het wellicht mogelijk is om malware te bestrijden door de bugs in de software, die gebruikt wordt om zombienetwerken te beheren, te exploiten.

[Reactie gewijzigd door fevenhuis op 24 juli 2024 03:55]

Asteryz 20 juni 2010 14:52

Dit lijkt me iets waar dat nieuwe amerikaanse leger onderdeel zich op zal gaan richten.

Vasco84 @Asteryz • 20 juni 2010 17:29

want?

pontoe @Vasco84 • 21 juni 2010 08:26

Er is niet al te lang geleden een divisie opgericht die zich gaat richten op cyberwars. Dit lijkt me prima onder het rijtje digitale oorlogsvoering vallen: zij vallen ons aan, we misbruiken fouten in hun aanval en zetten daarmee de tegenaanval in, etc....

YopY @pontoe • 21 juni 2010 09:39

zij vallen ons aan, we misbruiken fouten in hun aanval en zetten daarmee de tegenaanval in, etc....

euh. "Zij" zijn ook vaak Amerikaanse bedrijven en particulieren, alsmede geallieerde landen - lijkt me sterk dat ze daar het Amerikaanse cyber command of wat voor kekke naam ze daar maar aan gegeven hebben opaf sturen.

Die divisie houdt zich ook niet bezig met botnets die spam versturen of de toevallige ddos op een website, maar op de evt. aanvallen en tegenaanvallen op de regeringssystemen.

kidde @Asteryz • 21 juni 2010 15:01

Eerder andere "cybercriminelen", immers:

Als men veel computers onder zijn beheer wil, wat is dan makkelijker dan om bestaande botnets over te nemen?

StGermain 20 juni 2010 15:29

Straks gaan de hackers nog een patch tuesday moeten invoeren

Robbels @StGermain • 20 juni 2010 15:49

Patent: Hack Tuesday

Petervanakelyen 20 juni 2010 16:11

Leuk. Kunnen ze met malware andere malware verwijderen en een cleanup-script op de getroffen PC's runnen

Starke 21 juni 2010 11:42

Niet om heel lullig te klinken maar als je dan zo een botnet aanvalt die gecreeert is met dit soort pruts software. Dan is het over het algemeen op te lossen door die exploit de volgende dingen uit te laten voeren:
-------------------------------
"SFC /scannow"
-------------------------------
reg add HKLM\SYSTEM\CurrentControlSet\Services\WinDefender /v Start /t REG_DWORD /d 2 /f
-------------------------------
net start "Windows Defender"
-------------------------------
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\ /v EnableFireWall /t REG_DWORD /d 1 /f
-------------------------------
net start "Windows Firewall"
-------------------------------
(geen code tags

)
Dit sloopt de computer niet en in geval van dit soort toolkits zal Windows zelf de zooi verwijderen, illegaal, ja je breekt de computer in, gevaarlijk voor de gebruiker nee, sterker je beveiligd de computer waar je op inbreekt.

[Reactie gewijzigd door Starke op 24 juli 2024 03:55]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (55)

Sorteer op:

Weergave: