Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties

De aanvallers die de dns-instellingen van drie webhosters kaapten om bezoekers door te verwijzen naar malware, hebben 18.000 domeinnamen getroffen, zo schat het Nationaal Cyber Security Centrum. Miljoenen gebruikers kunnen met de malware zijn besmet.

MalwareWoordvoerster Mary-Jo van de Velde zegt dat het Cyber Security Centrum, onderdeel van de Nederlandse overheid, een sample van de malware heeft ontvangen en daaruit heeft kunnen afleiden dat er 18.000 domeinnamen zijn besmet. Hoe de onderzoekers van het centrum precies tot dat cijfer zijn gekomen, wil Van de Velde niet aangeven.

Maandag werd al bekend dat alle getroffen websites waren gehost door webhosters Digitalus, VDX en Webstekker, onderdeel van hetzelfde moederbedrijf, IT-Eternity. Onder meer webwinkel Conrad en de websites van vakbond CNV en DJ Hardwell werden bij een van die drie bedrijven gehost en serveerden malware. Het is nog niet uit te sluiten dat ook andere webhosters zijn getroffen. "Wij weten dat alleen als een bedrijf zelf bij ons aanklopt, en dat is niet verplicht", zo zegt Van de Velde.

Hoeveel internetgebruikers het slachtoffer van de malware zijn, is moeilijk te zeggen. "Maar het kan natuurlijk om miljoenen mensen gaan", aldus Van de Velde. De aanvallers gebruikten de logins van de webhosters voor het systeem van de SIDN, dat de .nl-zone beheert, om de dns-instellingen aan te passen. De dns-servers van de providers werden vervangen door dns-servers van de aanvallers, die verwees naar pagina's met malware. Bovendien stelden ze de time-to-live van de domeinnamen in op 24 uur, waardoor de foutieve verwijzing nog lange tijd in veel dns-servers verkeerd gecachet was.

Vorige maand werden systemen van de SIDN gekraakt, waarbij een bestand met logingegevens is buitgemaakt; of dat iets met deze aanval te maken heeft, is nog niet duidelijk. Het gekraakte systeem is overigens niet de tool die door de aanvallers is gebruikt om de dns-instellingen te wijzigen.

Volgens beveiligingsbedrijf Fox-IT, dat een sample van de malware heeft geanalyseerd, werden een pdf- en een Java-exploit geserveerd aan bezoekers. De malware in kwestie, de Andromeda-backdoor, communiceert via het Tor-netwerk om commando's op te halen van een command-and-control-server. Mogelijk werd er een bitcoin-miner geïnstalleerd, zo zei Mark Loman van beveiligingsbedrijf Surfright tegen Tweakers. Ook wordt de browser gekaapt, al is Chrome daarvoor niet kwetsbaar.

Fox-IT heeft instructies gepubliceerd om de malware te verwijderen; daarvoor moeten onder meer een registry key en een executable worden verwijderd. Ook is de malware te verwijderen met Hitman Pro, zo belooft beveiligingsonderzoeker Loman, wiens bedrijf die beveiligingssoftware ontwikkelt. Systeembeheerders kunnen poort 52300 blokkeren: waarschijnlijk wordt daarmee voorkomen dat de command-and-control-server instructies naar besmette pc's verstuurt.

Moderatie-faq Wijzig weergave

Reacties (35)

Heeft dnssec zin in het geval zoals hier wordt omschreven?

"De aanvallers gebruikten de logins van de webhosters voor het systeem van de SIDN, dat de .nl-zone beheert, om de dns-instellingen aan te passen. De dns-servers van de providers werden vervangen door dns-servers van de aanvallers, die verwees naar pagina's met malware. Bovendien stelden ze de time-to-live van de domeinnamen in op 24 uur, waardoor de foutieve verwijzing nog lange tijd in veel dns-servers verkeert gecacht was."

Ik dacht namelijk dat "wij" voorop liepen in NL: http://tweakers.net/nieuw...t-veilige-dns-versie.html

Als als toegang tot de SIDN de zwakke schakel is zou ik de beveiliging daar maar eens auditen. Ik neem aan dat de webhosters professioneel genoeg zijn om niet b.v. 'admin123' als wachtwoord te hebben en dat SIDN een degelijk password policy heeft die dat verbiedt. Is het een (onopgemerkte) bruteforce aanval geweest op de SIDN webpagina of hebben ze gericht gezocht bij deze drie providers (social engineering of draaien daar nu wellicht nog keyloggers?) en daar de wachtwoorden vandaan?
Heeft dnssec zin in het geval zoals hier wordt omschreven?
Nee, DNS aanpassingen en DNSSEC aanpassingen gebeuren in DRS op dezelfde plek. Het enige verschil is dat de DNSSEC records in een ander domain gecached worden, het resultaat is dat je tijdelijk dus geen resultaten krijgt (indien DNSSEC validatie aanstaat) voor een van deze domeinen.
SIDN een degelijk password policy heeft die dat verbiedt.
Je zou verwachten van wel, maar tot verkort (1 of 3 jaar, kan even de bron niet meer vinden) was het zo slecht gesteld dat wachtwoorden case- insensitive werden behandeld en gewoon zonder SSL werkte. 8)7

Sowieso is het opmerkelijk dat er gebruik word gemaakt van alleen gebruikersnaam en wachtwoord. Voor zo'n kritiek iets als DNS nameserver of DNSSEC sleutel instellen verwacht je toch wel iets als IP-whitelisting of public key authenticatie :/

Maar achteraf gezien had dit die recente hack ook niet tegengehouden.
En is er een manier om te controleren of je zelf besmet bent met malware ?
En is er een manier om te controleren of je zelf besmet bent met malware ?
Je zou kunnen kijken in de registry of 'winserviced.exe' wordt gestart onder 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"

Cleanup:

When attempting to clean this infection the startup key can be located in:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

In our virtual machine the key name was:
6B56BFE0-4E44-4F1E-8220-0FA37A43C8--2012344930

And the key value was:
C:\Documents and Settings\admin\Local Settings\Application Data\880e0d9e\winserviced.exe

•Write down the location of this startup path;
•Remove the key from the registry;
•Reboot the machine;
•Locate the directory from the startup path and remove the folder and all contents, in our case the ’880e0d9e’ folder; The folder name is a small formula, it uses the account name in our case ‘admin’ and does the following: (crc32(‘admin’) + 40), this returns the 880e0d9e path.
•Also go into the Application Data folder and look for a folder named ‘Apps’ with a file called ‘conhostd.exe’, remove this as well;
•The intial binary dropped by the exploit kit can be located in the temp directory and will have a ‘.bfg’ extension, clean up this file as well;
•Reboot the machine and it will be cleaned of the infection.

Source: http://blog.fox-it.com/20...s-of-websites-to-malware/

[Reactie gewijzigd door Squ1zZy op 6 augustus 2013 17:19]

Is er bekend of alleen Windowssystemen vatbaar zijn voor deze malware? Misschien een wat simpele vraag, maar kan het nergens vinden.
Je virusscanner een full scan laten doen, plus eventueel nog een extra online scan.

Maar de kans lijkt me vrij groot dat je virusscanner de malware al afgevangen zou hebben voor je besmet kon raken, tenzij het om heel nieuwe malware ging die je scanner nog niet hekende?

[Reactie gewijzigd door wildhagen op 6 augustus 2013 17:11]

Ben je op een site gekomen waar stond "Under Construction", terwijl eigenlijk gewoon de website had laten moeten zien?

Zo niet, dan ben je ook niet geïnfecteerd door deze virus.

[Reactie gewijzigd door V-rg op 6 augustus 2013 17:14]

Misschien door de lijst met 18.000 domeinen even te vergelijken met je browsergeschiedenis O-)

En anders door Kaspersky anti-virus te installeren aangezien die het virus herkende.
Inmiddels herkennen 24 van de 46 scanners het virus, waaronder niet alleen virusscanners maar malware scanners (Malwarebytes en SuperAntiSpyware).

https://www.virustotal.co...d90be1ed4bac807/analysis/
Ik kreeg zojuist een mail van Conrad met verontschuldigingen maar ik kon gisteren gewoon op de site komen. Misschien omdat ik de Google DNS-server gebruik (8.8.8.8 en 8.8.4.4).
Google krijgt het IP adres ook gewoon via de nameservers van je hosting provider, dus is waarschijnlijk gewoon een gevalletje mazzel hebben.
Ik heb die email ook gehad maar nergens in de email op geklikt gewoon weg gegooid.
Als deze domeinen nu DNSSEC gebruikt was het nooit zo enorm fout gegaan. De getroffen domeinen zouden misschien onbereikbaar zijn geworden, maar de redirect naar een malware site zou niet meer mogelijk zijn geweest. Daarmee heef de aanval geen zin meer.
Dat vraag ik me ten zeerste af. Ik weet niet hoe de aanval precies in z'n werk gegaan is, maar de volgende situaties helpt dnssec niet:
- Hacker krijgt toegang tot de SIDN DRS api. Hier kan deze doodleuk nieuwe domeinsleutels naar toe verzenden
- Hacker krijgt toegang tot de nameserver van de provider. De provider heeft op deze server ook een scripts staan waarbij zones automatisch ondertekend worden.
Jouw eerste scenario lijkt het geval. Er wordt nergens gesproken van toegang op de DNS van deze bedrijven, de nameserver informatie bij de domeinen in de NL zone (dus bij de SIDN) was aangepast.
Dat zou het geval zijn als als die domeinen ook allemaal op de DRS-account van IT-Eternity staan. Als ik naar whois kijk lijkt dat echter niet het geval. Die domeinen staan op accounts van de dochterondernemingen. Het was dus niet mogelijk om andere DNS-servers in te stellen of andere DNSKEYS te uploaden.
Dat blijkt ook uit het feit dat er ook .com domeinen zijn getroffen.

[Reactie gewijzigd door CAPSLOCK2000 op 8 augustus 2013 16:45]

18000 domeinnamen lijkt mij weinig voor deze 3 hosters samen. Zijn alleen .nl domeinnamen besmet?
Daar lijkt het wel op. Er is steeds gesproken over NL zone file en SIDN in de communicatie van IT Ernity.
Nee, wij hadden ook een .com domein die dezelfde pagina (html) toonde.
sidn doet toch alleen .nl
Had er helaas ook last van, heb via VDX een ipforward voor een aantal domeinen, en was dus ook onbereikbaar.
Nu SIDN aanklachen wegen grove nalatigheid in bescherming van klantgegevens en schade verhalen.

Juist om dit:
http://act-telecom.nl/dns...zinnig-over-eerdere-hack/

SIDN is niet transperant over de hack.
Mijn webwinkels+ VPS waren ook slachtoffer, gehost bij VDX.

Gisteren lag mijn iDEAL er nog gedeeltelijk uit omdat de Payment Provider nog dacht dat ik malware serveerde :/

Nadat ik gebeld had werd er een reset gedaan en werkte iDEAL weer 100%.

Slechte zaak dit.
Legt iig een groot risico bloot wanneer een domein onderdeel is van een enorme lijst van een provider. Uiteindelijk is voor de aanpassing daarvan een login/wachtwoord voldoende.. (dat is overigens voor iéder domein het geval).
al 4 infecties tegengekomen op het bedrijf :+ gelukkig hebben we f-secure die het mooi opschoond :D. thuis symantec die het ook detecteert. goed pakket, nog nooit een virus gehad. we hebben het dan ook al jaaaren.

Mijn school heeft sophos O-) die het niet detecteert _/-\o_

Kzie dat microsoft em ook pakt. in principe als je win 8 hebt zonder virusscanner, ben je ook veilig

[Reactie gewijzigd door SureEye op 7 augustus 2013 12:29]

Kzie dat microsoft em ook pakt. in principe als je win 8 hebt zonder virusscanner, ben je ook veilig
Windows 8 heeft standaard een virusscanner aan boord.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True