Malware-aanval via dns trof 18.000 domeinnamen

De aanvallers die de dns-instellingen van drie webhosters kaapten om bezoekers door te verwijzen naar malware, hebben 18.000 domeinnamen getroffen, zo schat het Nationaal Cyber Security Centrum. Miljoenen gebruikers kunnen met de malware zijn besmet.

MalwareWoordvoerster Mary-Jo van de Velde zegt dat het Cyber Security Centrum, onderdeel van de Nederlandse overheid, een sample van de malware heeft ontvangen en daaruit heeft kunnen afleiden dat er 18.000 domeinnamen zijn besmet. Hoe de onderzoekers van het centrum precies tot dat cijfer zijn gekomen, wil Van de Velde niet aangeven.

Maandag werd al bekend dat alle getroffen websites waren gehost door webhosters Digitalus, VDX en Webstekker, onderdeel van hetzelfde moederbedrijf, IT-Eternity. Onder meer webwinkel Conrad en de websites van vakbond CNV en DJ Hardwell werden bij een van die drie bedrijven gehost en serveerden malware. Het is nog niet uit te sluiten dat ook andere webhosters zijn getroffen. "Wij weten dat alleen als een bedrijf zelf bij ons aanklopt, en dat is niet verplicht", zo zegt Van de Velde.

Hoeveel internetgebruikers het slachtoffer van de malware zijn, is moeilijk te zeggen. "Maar het kan natuurlijk om miljoenen mensen gaan", aldus Van de Velde. De aanvallers gebruikten de logins van de webhosters voor het systeem van de SIDN, dat de .nl-zone beheert, om de dns-instellingen aan te passen. De dns-servers van de providers werden vervangen door dns-servers van de aanvallers, die verwees naar pagina's met malware. Bovendien stelden ze de time-to-live van de domeinnamen in op 24 uur, waardoor de foutieve verwijzing nog lange tijd in veel dns-servers verkeerd gecachet was.

Vorige maand werden systemen van de SIDN gekraakt, waarbij een bestand met logingegevens is buitgemaakt; of dat iets met deze aanval te maken heeft, is nog niet duidelijk. Het gekraakte systeem is overigens niet de tool die door de aanvallers is gebruikt om de dns-instellingen te wijzigen.

Volgens beveiligingsbedrijf Fox-IT, dat een sample van de malware heeft geanalyseerd, werden een pdf- en een Java-exploit geserveerd aan bezoekers. De malware in kwestie, de Andromeda-backdoor, communiceert via het Tor-netwerk om commando's op te halen van een command-and-control-server. Mogelijk werd er een bitcoin-miner geïnstalleerd, zo zei Mark Loman van beveiligingsbedrijf Surfright tegen Tweakers. Ook wordt de browser gekaapt, al is Chrome daarvoor niet kwetsbaar.

Fox-IT heeft instructies gepubliceerd om de malware te verwijderen; daarvoor moeten onder meer een registry key en een executable worden verwijderd. Ook is de malware te verwijderen met Hitman Pro, zo belooft beveiligingsonderzoeker Loman, wiens bedrijf die beveiligingssoftware ontwikkelt. Systeembeheerders kunnen poort 52300 blokkeren: waarschijnlijk wordt daarmee voorkomen dat de command-and-control-server instructies naar besmette pc's verstuurt.

Door Joost Schellevis

Redacteur

Feedback • 06-08-2013 17:03 35

06-08-2013 • 17:03

35

Lees meer

Internet Explorer gaat verouderde plug-ins blokkeren
Internet Explorer gaat verouderde plug-ins blokkeren Nieuws van 7 augustus 2014
Website Leeuwarder Courant serveert malware
Website Leeuwarder Courant serveert malware Nieuws van 19 mei 2014
Nederlandse leger wil hackers rekruteren als reservist
Nederlandse leger wil hackers rekruteren als reservist Nieuws van 2 november 2013
Baidu's clouddienst Jiasule accepteert Bitcoin
Baidu's clouddienst Jiasule accepteert Bitcoin Nieuws van 16 oktober 2013
Bitcoin-netwerk passeert grens van 1 petahash per seconde
Bitcoin-netwerk passeert grens van 1 petahash per seconde Nieuws van 16 september 2013
'Stijging Tor-verkeer komt door botnet'
'Stijging Tor-verkeer komt door botnet' Nieuws van 5 september 2013
Aantal Tor-gebruikers stijgt plotseling snel
Aantal Tor-gebruikers stijgt plotseling snel Nieuws van 29 augustus 2013
'Steeds meer kwetsbaarheden ontdekt in browsers'
'Steeds meer kwetsbaarheden ontdekt in browsers' Nieuws van 3 juli 2013
Onderzoeker: Nederlandse alarmsystemen zijn zeer onveilig
Onderzoeker: Nederlandse alarmsystemen zijn zeer onveilig Nieuws van 10 april 2013
Pobelka-botnet ontvreemdde veel gevoelige gegevens
Pobelka-botnet ontvreemdde veel gevoelige gegevens Nieuws van 3 april 2013
Minister ontkent weinig te hebben gedaan tegen cyberaanval
Minister ontkent weinig te hebben gedaan tegen cyberaanval Nieuws van 15 februari 2013
'Overheid deed weinig met kennis over grote cyberaanval'
'Overheid deed weinig met kennis over grote cyberaanval' Nieuws van 14 februari 2013
NCSC moet netwerken overheid 24/7 gaan monitoren - update
NCSC moet netwerken overheid 24/7 gaan monitoren - update Nieuws van 22 januari 2013
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (35)

-Moderatie-faq
35
34
13
2
1
19
Wijzig sortering
Elmo_nl 6 augustus 2013 19:27
Heeft dnssec zin in het geval zoals hier wordt omschreven?

"De aanvallers gebruikten de logins van de webhosters voor het systeem van de SIDN, dat de .nl-zone beheert, om de dns-instellingen aan te passen. De dns-servers van de providers werden vervangen door dns-servers van de aanvallers, die verwees naar pagina's met malware. Bovendien stelden ze de time-to-live van de domeinnamen in op 24 uur, waardoor de foutieve verwijzing nog lange tijd in veel dns-servers verkeert gecacht was."

Ik dacht namelijk dat "wij" voorop liepen in NL: http://tweakers.net/nieuw...t-veilige-dns-versie.html

Als als toegang tot de SIDN de zwakke schakel is zou ik de beveiliging daar maar eens auditen. Ik neem aan dat de webhosters professioneel genoeg zijn om niet b.v. 'admin123' als wachtwoord te hebben en dat SIDN een degelijk password policy heeft die dat verbiedt. Is het een (onopgemerkte) bruteforce aanval geweest op de SIDN webpagina of hebben ze gericht gezocht bij deze drie providers (social engineering of draaien daar nu wellicht nog keyloggers?) en daar de wachtwoorden vandaan?
Dorank @Elmo_nl6 augustus 2013 19:34
Heeft dnssec zin in het geval zoals hier wordt omschreven?
Nee, DNS aanpassingen en DNSSEC aanpassingen gebeuren in DRS op dezelfde plek. Het enige verschil is dat de DNSSEC records in een ander domain gecached worden, het resultaat is dat je tijdelijk dus geen resultaten krijgt (indien DNSSEC validatie aanstaat) voor een van deze domeinen.
s.stok @Elmo_nl7 augustus 2013 13:17
SIDN een degelijk password policy heeft die dat verbiedt.
Je zou verwachten van wel, maar tot verkort (1 of 3 jaar, kan even de bron niet meer vinden) was het zo slecht gesteld dat wachtwoorden case- insensitive werden behandeld en gewoon zonder SSL werkte. 8)7

Sowieso is het opmerkelijk dat er gebruik word gemaakt van alleen gebruikersnaam en wachtwoord. Voor zo'n kritiek iets als DNS nameserver of DNSSEC sleutel instellen verwacht je toch wel iets als IP-whitelisting of public key authenticatie :/

Maar achteraf gezien had dit die recente hack ook niet tegengehouden.
harley 6 augustus 2013 17:05
En is er een manier om te controleren of je zelf besmet bent met malware ?
Squ1zZy @harley6 augustus 2013 17:15
En is er een manier om te controleren of je zelf besmet bent met malware ?
Je zou kunnen kijken in de registry of 'winserviced.exe' wordt gestart onder 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"

Cleanup:

When attempting to clean this infection the startup key can be located in:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

In our virtual machine the key name was:
6B56BFE0-4E44-4F1E-8220-0FA37A43C8--2012344930

And the key value was:
C:\Documents and Settings\admin\Local Settings\Application Data\880e0d9e\winserviced.exe

•Write down the location of this startup path;
•Remove the key from the registry;
•Reboot the machine;
•Locate the directory from the startup path and remove the folder and all contents, in our case the ’880e0d9e’ folder; The folder name is a small formula, it uses the account name in our case ‘admin’ and does the following: (crc32(‘admin’) + 40), this returns the 880e0d9e path.
•Also go into the Application Data folder and look for a folder named ‘Apps’ with a file called ‘conhostd.exe’, remove this as well;
•The intial binary dropped by the exploit kit can be located in the temp directory and will have a ‘.bfg’ extension, clean up this file as well;
•Reboot the machine and it will be cleaned of the infection.

Source: http://blog.fox-it.com/20...s-of-websites-to-malware/

[Reactie gewijzigd door Squ1zZy op 25 juli 2024 21:42]

tijnvw @Squ1zZy7 augustus 2013 14:56
Is er bekend of alleen Windowssystemen vatbaar zijn voor deze malware? Misschien een wat simpele vraag, maar kan het nergens vinden.
wildhagen @harley6 augustus 2013 17:11
Je virusscanner een full scan laten doen, plus eventueel nog een extra online scan.

Maar de kans lijkt me vrij groot dat je virusscanner de malware al afgevangen zou hebben voor je besmet kon raken, tenzij het om heel nieuwe malware ging die je scanner nog niet hekende?

[Reactie gewijzigd door wildhagen op 25 juli 2024 21:42]

Maxustiti @harley6 augustus 2013 17:12
http://blog.fox-it.com/20...s-of-websites-to-malware/ en http://noc.digitalus.nl/dashboard/136/Storing-DNS-servers

[Reactie gewijzigd door Maxustiti op 25 juli 2024 21:42]

V-rg @harley6 augustus 2013 17:14
Ben je op een site gekomen waar stond "Under Construction", terwijl eigenlijk gewoon de website had laten moeten zien?

Zo niet, dan ben je ook niet geïnfecteerd door deze virus.

[Reactie gewijzigd door V-rg op 25 juli 2024 21:42]

3raser @harley6 augustus 2013 17:14
Misschien door de lijst met 18.000 domeinen even te vergelijken met je browsergeschiedenis O-)

En anders door Kaspersky anti-virus te installeren aangezien die het virus herkende.
barchettanl @3raser7 augustus 2013 11:11
Inmiddels herkennen 24 van de 46 scanners het virus, waaronder niet alleen virusscanners maar malware scanners (Malwarebytes en SuperAntiSpyware).

https://www.virustotal.co...d90be1ed4bac807/analysis/
Jan-1981 6 augustus 2013 17:52
Ik kreeg zojuist een mail van Conrad met verontschuldigingen maar ik kon gisteren gewoon op de site komen. Misschien omdat ik de Google DNS-server gebruik (8.8.8.8 en 8.8.4.4).
WhatsappHack
@Jan-19816 augustus 2013 19:18
Google krijgt het IP adres ook gewoon via de nameservers van je hosting provider, dus is waarschijnlijk gewoon een gevalletje mazzel hebben.
Carlos0_0 @Jan-19816 augustus 2013 23:20
Ik heb die email ook gehad maar nergens in de email op geklikt gewoon weg gegooid.
CAPSLOCK2000
6 augustus 2013 19:31
Als deze domeinen nu DNSSEC gebruikt was het nooit zo enorm fout gegaan. De getroffen domeinen zouden misschien onbereikbaar zijn geworden, maar de redirect naar een malware site zou niet meer mogelijk zijn geweest. Daarmee heef de aanval geen zin meer.
Keiichi @CAPSLOCK20006 augustus 2013 20:31
Dat vraag ik me ten zeerste af. Ik weet niet hoe de aanval precies in z'n werk gegaan is, maar de volgende situaties helpt dnssec niet:
- Hacker krijgt toegang tot de SIDN DRS api. Hier kan deze doodleuk nieuwe domeinsleutels naar toe verzenden
- Hacker krijgt toegang tot de nameserver van de provider. De provider heeft op deze server ook een scripts staan waarbij zones automatisch ondertekend worden.
DonLexos @Keiichi7 augustus 2013 12:32
Jouw eerste scenario lijkt het geval. Er wordt nergens gesproken van toegang op de DNS van deze bedrijven, de nameserver informatie bij de domeinen in de NL zone (dus bij de SIDN) was aangepast.
CAPSLOCK2000
@Keiichi8 augustus 2013 16:44
Dat zou het geval zijn als als die domeinen ook allemaal op de DRS-account van IT-Eternity staan. Als ik naar whois kijk lijkt dat echter niet het geval. Die domeinen staan op accounts van de dochterondernemingen. Het was dus niet mogelijk om andere DNS-servers in te stellen of andere DNSKEYS te uploaden.
Dat blijkt ook uit het feit dat er ook .com domeinen zijn getroffen.

[Reactie gewijzigd door CAPSLOCK2000 op 25 juli 2024 21:42]

Anoniem: 532092 6 augustus 2013 20:09
18000 domeinnamen lijkt mij weinig voor deze 3 hosters samen. Zijn alleen .nl domeinnamen besmet?
DonLexos @Anoniem: 5320927 augustus 2013 12:30
Daar lijkt het wel op. Er is steeds gesproken over NL zone file en SIDN in de communicatie van IT Ernity.
Pendaco @Anoniem: 5320927 augustus 2013 17:02
Nee, wij hadden ook een .com domein die dezelfde pagina (html) toonde.
3mib 6 augustus 2013 20:25
sidn doet toch alleen .nl
sus 6 augustus 2013 23:41
Had er helaas ook last van, heb via VDX een ipforward voor een aantal domeinen, en was dus ook onbereikbaar.
kritischelezer 7 augustus 2013 09:56
Nu SIDN aanklachen wegen grove nalatigheid in bescherming van klantgegevens en schade verhalen.

Juist om dit:
http://act-telecom.nl/dns...zinnig-over-eerdere-hack/

SIDN is niet transperant over de hack.
i2Paq 7 augustus 2013 11:51
Mijn webwinkels+ VPS waren ook slachtoffer, gehost bij VDX.

Gisteren lag mijn iDEAL er nog gedeeltelijk uit omdat de Payment Provider nog dacht dat ik malware serveerde :/

Nadat ik gebeld had werd er een reset gedaan en werkte iDEAL weer 100%.

Slechte zaak dit.
DonLexos @i2Paq7 augustus 2013 12:31
Legt iig een groot risico bloot wanneer een domein onderdeel is van een enorme lijst van een provider. Uiteindelijk is voor de aanpassing daarvan een login/wachtwoord voldoende.. (dat is overigens voor iéder domein het geval).
SureEye 7 augustus 2013 12:27
al 4 infecties tegengekomen op het bedrijf :+ gelukkig hebben we f-secure die het mooi opschoond :D. thuis symantec die het ook detecteert. goed pakket, nog nooit een virus gehad. we hebben het dan ook al jaaaren.

Mijn school heeft sophos O-) die het niet detecteert _/-\o_

Kzie dat microsoft em ook pakt. in principe als je win 8 hebt zonder virusscanner, ben je ook veilig

[Reactie gewijzigd door SureEye op 25 juli 2024 21:42]

ASS-Ware @SureEye7 augustus 2013 20:13
Kzie dat microsoft em ook pakt. in principe als je win 8 hebt zonder virusscanner, ben je ook veilig
Windows 8 heeft standaard een virusscanner aan boord.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq