Kaspersky: eerste 64bit-Windows-malware met geldig certificaat ontdekt

Beveiligingsfirma Kaspersky heeft voor de eerste maal malware voor 64bit-Windows-systemen ontdekt die gebruik maakt van een geldig certificaat. De betreffende Trojan zou door een groep Chinese criminelen zijn ontwikkeld en gericht zijn op gamedevelopers.

Kaspersky Lab meldt op zijn site dat het in de herfst van 2011 een onderzoek begon naar een trojan nadat gamers waren besmet via een update van een populaire online game. Hoewel eerst de spelontwikkelaar werd verdacht van spionageactiviteiten bleek later dat de malware juist gericht was op de gamedeveloper en per ongeluk werd verspreid. De malware bleek te bestaan uit een dll-bibliotheek die geschikt is voor 64bit-Windows en bovendien voorzien is van een geldige handtekening. De trojan gaf een aanvaller toegang tot een besmet systeem via een remote administration tool.

Volgens Kaspersky was de betreffende dll de eerste malware voor 64bit-Windows die van een geldige handtekening is voorzien. Het certificaat zou afkomstig zijn van de Zuid-Koreaanse gamedeveloper KOG. Op verzoek van het beveiligingsbedrijf trok VeriSign het betreffende certificaat snel in.

Uit een analyse van de malware bleek volgens Kaspersky dat een Chinese criminele hackersgroepering achter de malware zat. De groep, die Winnti werd genoemd, bleek bovendien meerdere malen geldige certificaten gebruikt te hebben bij aanvallen. Deze waren vrijwel altijd gericht op softwarebedrijven en dan met name spelontwikkelaars. Volgens Kaspersky zouden de criminelen met de malware bijvoorbeeld virtueel geld in games hebben kunnen manipuleren maar ook gepoogd hebben om broncode van games in handen te krijgen. Daarnaast denkt het beveiligingsbedrijf dat Winnti nog steeds actief is op internet en actief kennis en code uitwisselt met andere Chinese hackersgroepen.

Ongeldige certificaten

Door Dimitri Reijerman

Redacteur

Feedback • 11-04-2013 17:15 28

11-04-2013 • 17:15

28

Lees meer

Kaspersky treft backdoor aan in software die wordt gebruikt in financiële sector
Kaspersky treft backdoor aan in software die wordt gebruikt in financiële sector Nieuws van 16 augustus 2017
Kaspersky: zakenlieden zijn in Aziatische hotels al jaren doelwit van hackers
Kaspersky: zakenlieden zijn in Aziatische hotels al jaren doelwit van hackers Nieuws van 10 november 2014
Vijf leidinggevenden verlaten Kaspersky om meningsverschil
Vijf leidinggevenden verlaten Kaspersky om meningsverschil Nieuws van 3 mei 2014
Microsoft waarschuwt voor toename diefstal van certificaten
Microsoft waarschuwt voor toename diefstal van certificaten Nieuws van 16 december 2013
Kaspersky legt cyberspionage-malware NetTraveler bloot
Kaspersky legt cyberspionage-malware NetTraveler bloot Nieuws van 4 juni 2013
CWI: Flame-malware gebruikte nog onbekende md5-aanval
CWI: Flame-malware gebruikte nog onbekende md5-aanval Nieuws van 8 juni 2012
Red Hat wil Fedora via Verisign signen voor secure boot
Red Hat wil Fedora via Verisign signen voor secure boot Nieuws van 3 juni 2012
'Ook gesigneerde Windows-bestanden gevoelig voor md5-collision'
'Ook gesigneerde Windows-bestanden gevoelig voor md5-collision' Nieuws van 20 januari 2009
Meer producten en artikelen
Netwerk en systeembeheer Kaspersky Lab Malware

Reacties (28)

-Moderatie-faq
28
26
19
2
0
1
Wijzig sortering

Sorteer op:

Weergave:
unglaublich 11 april 2013 17:18
Kan iemand uitleggen waarom het bijzonder is dat dit voor 64 bit systeem is gebeurd (blijkbaar in tegenstelling tot een 32 bit systeem)?

edit: typo

[Reactie gewijzigd door unglaublich op 22 juli 2024 22:14]

3dfx @unglaublich11 april 2013 17:27
Op een 32-bit systeem kun je makkelijker "unsigned" spul draaien, op een 64-bit systeem moeten zaken als drivers e.d. "signed" zijn, oftewel voorzien van een certificaat om de echtheid/maker als het ware te garanderen.
Meer leesvoer.
d1zzje @3dfx11 april 2013 18:00
Daarnaast beschikt de 64-bit versie van Windows over Patchguard, wat het knoeien met de Windows kernel een stuk lastiger maakt. De meeste computers waar standaard Windows 7 op staat, draaien de 64-bit versie.
unglaublich @3dfx11 april 2013 18:47
Oh kijk aan, dat is een interessant verschil. Ik wist helemaal niet dat er werkelijk grote verschillen tussen deze twee Windows versies waren behalve dat er meer geheugen geadresseerd kon worden.
Jeroen V @3dfx12 april 2013 06:55
@return _invoice: in dat artikel gaat het om drivers, ik kan in het stuk hierboven niet vinden dat het om een driver gaat maar zo te zien om een normale library. (en die hoeft helemaal niet per se gesigned te worden)
Blokker_1999
@unglaublich11 april 2013 17:32
Op een 64bit windows systeem dienen drivers die ingrijpen op het systeem getekend worden met een geldig SSL certificaat. Je kan zo een certificaat wel kopen, maar dan is de malware ook naar U terug te herleiden. Hier zal dus gebruik gemaakt zijn van een gestolen certificaat, en als er meer zulke certificaten in het wild beginnen voorkomen kan dat een echt probleem worden voor de veiligheid van windows.
DarkJack @Blokker_199911 april 2013 19:08
of een selfsigned certificaat toevoegen aan de certificate store van windows... ik heb nog 3rd party drivers dat zien (proberen) te doen om rond de signed driver requirement te raken...
Armin
@Blokker_199911 april 2013 19:17
Dan kun je toch dat certificaat intrekken en die wijziging via een gewone windows update uitrollen?
Dreamvoid
@unglaublich11 april 2013 17:27
De 64 API is cleaner met meer restricties waardoor het moeilijk moet zijn voor malware, terwijl in de 32-bit API nog een aantal legacy zaken zitten.

Overigens is malware met een geldig certificaat altijd lastig tegen te houden.
d1zzje 11 april 2013 17:47
Helaas zijn er toch nog veel dreigingen waar Windows 64-bit mee te maken heeft. Eén van de features is de WOW64, wat staat voor Windows On Windows 64. Het emuleert een 32-bit Windows omgeving, om zo bepaalde software toch nog te kunnen draaien. Handig voor applicaties die niet met 64-bit compatibel zijn, maar het geeft ook kwaadaardige code de mogelijkheid om schade aan de computer aan te richten. De impact is echter beperkt, aangezien ze in een geemuleerde omgeving draaien en niet de 64-bit processen kunnen zien.
dcm360 @d1zzje11 april 2013 18:16
Ehm, ik kan met 32-bit programma's gewoon bij de gegevens van draaiende 64-bit processen (en er een kill op afvuren als ik dat wil).
Blokker_1999
@dcm36011 april 2013 18:26
tuurlijk kan je dat, maar je kan niet ingrijpen op de kernel, je kan geen 32bit drivers laden en dergelijke meer. Drivers moeten 64bit zijn en kernel mode drivers (die toegang willen tot de kernel) moeten ondertekend zijn.
RazorBlade72nd 11 april 2013 23:02
De vraag is hoe ze aan het certificaat zijn gekomen. Kunnen ze die zelf maken (is de code gebroken) of hebben ze een certificaat gestolen van een trusted CA?
hardwareaddict @RazorBlade72nd11 april 2013 23:20
Kunnen ze zelf maken. Certificaten zijn gebaseerd op 2048 bits RSA. Je mag veronderstellen dat de Chinese NSA equivalent dat zelf kan factoriseren. Idemdito Iran en alle andere wat grotere naties.

RSA valt onder public key encryptie.

Factorisatiesoftware die meer dan 512 bits kan factoriseren is op papier een weapon of mass destruction met dezelfde celstraffen als op WMD's staan. Dat is natuurlijk papier let wel.

Zie www.wassenaar.org voor de internationale afspraken daar. China heeft dat niet getekend overigens. Rusland wel.
Dreamvoid
@RazorBlade72nd11 april 2013 23:57
Stelen is een stuk makkelijker dan kraken.
hardwareaddict @Dreamvoid12 april 2013 00:05
Snelheid is belangrijker dan wachten tot je het gejat hebt. Kijk dat factoriseren gaat vrij snel, want die factorisatiehardware/software (we weten niet hoe ze 't oplossen) staat wel klaar. Ze willen natuurlijk liefst al hacks in de release inbrengen bij dat bedrijf, zodat de releases van de games in kwestie deurtjes cq faciliteiten hebben die zij willen.

Dus snelheid is alles dan. Wachten tot 1 van je consultants daar als schoonmaker binnenkomt of als werknemer, dan ben je te laat mogelijk.

p.s. ze gaan soms heel ver daarmee. Bij het producen van een game kon ik gewoon bepaalde filesystem related datastructures die ik nodig had - ik hoefde richting India alleen de specs te geven. De code kreeg ik gratis als module aangeleverd (dus SOURCE CODE) en wel binnen 2 weken - het was ongelooflijk. Dit jaren voor de release...

Alle grote naties zijn hier actief in. Ze verzinnen wel een methode om binnen te komen in je spel. De grootste hacks zijn altijd via het filesysteem. Let ook eens op hoeveel Russen actief zijn in filesystems projecten. Er zit er altijd wel minimaal 1 in.

[Reactie gewijzigd door hardwareaddict op 22 juli 2024 22:14]

Wampa1 11 april 2013 18:20
Aha, dus daar komt al het Diablo 3 gold dus vandaan..

Het is overigens best slim om op die manier geld proberen te verdienen.

Bij het genereren van echt geld ligt fraude al snel voor de hand, maar door dit toe te passen op ingame currency en dat vervolgens te verkopen zit er toch nog die extra laag tussen waar je jezelf achter kunt verschuilen.
huntedjohan @Wampa111 april 2013 19:06
je haal diablo 3 aan, maar ik denk dus ook idd dat het gerust blizzard kan zijn die hier bedoeld word. ik kreeg nooit spam mail op mijn gmail account wat ik gebruikte voor wow. tot ik voor half jaar terug na 2 jaar mijn account weer upgrade en 2 maanden gespeeld heb. ik had in 1 week tijd denk 20 mailtjes op dat account.
Kebappie @huntedjohan11 april 2013 22:18
Enigzins oftopic maar Ik vroeg mij dit ook al eens af waar al die spam mail wegkwam alleen maar Blizzard, WoW, Diablo en dergelijke gericht. Verder geen SPAM 8)7
arjan1995 11 april 2013 17:24
64-bit maakt van betere beveiliging gebruik, zie bij bijvoorbeeld drivers zonder handtekening die je moeilijker op 64-bit geinstalleerd krijgt.
MadMike261 11 april 2013 17:20
Het is een wilde gok, maar omdat 32 bits malware op zowel 32 als 64 bits versies werkt.
Terwijl deze 64bits versie alleen op 64 bits werkt.

Waardoor het normaalgesproken effectiever zou zijn om alles op 32 bits te bouwen.

[Reactie gewijzigd door MadMike261 op 22 juli 2024 22:14]

unglaublich @MadMike26111 april 2013 17:22
Dat klinkt niet ongeloofwaardig. Wel vreemd dat het zo wordt aangehaald in de titel en iinleiding maar daarna niet meer wordt besproken.
sc0va 12 april 2013 01:12
Jaja internet criminaliteit gaat nog eens groter worden dan fysieke irl criminaliteit. Mark my words...
Hanterp @sc0va12 april 2013 12:31
Wat de grootte van internet-criminaliteit betreft, vergeleken met IRL-criminaliteit:
Het zou best kunnen dat dat nu al zover is. Kijk alleen maar hoeveel verschillende soorten virussen , malware, telefoon-scams, enzovoorts, er al zijn.
Zo lang ze zo moeilijk te pakken zijn, zal het alleen maar erger worden.

Ik vraag me trouwens af wat de feitelijke gegevens van deze trojan zijn. En de naam van de administration-tool die besmet wordt. Lijkt me belangrijk te weten om besmetting te voorkomen.

[Reactie gewijzigd door Hanterp op 22 juli 2024 22:14]

FttH @hardwareaddict11 april 2013 20:49
De aanval zou gericht zijn op gamedevelopers.

Wat voor voordeel heeft de overheid bij zo'n actie?
hardwareaddict @FttH11 april 2013 23:24
Spionage in 't buitenland in het algemeen.

Het artikel noemt al 1 van de belangrijke zaken op: source code.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq