Kant-en-klare malware: onderzoekers ontrafelen hoe illegale marktplaats werkte

Titel

'Politie haalt darknetmarktplaats X offline' is een headline die we op Tweakers de afgelopen jaren al vaak hebben opgeschreven. Vorige maand was het de beurt aan Genesis Market, maar op die marktplaats gebeurden andere dingen dan we normaal zien. Op Genesis Market kocht je geen drugs of wapens, maar complete kits met alles wat je nodig had om een slachtoffer aan te vallen. Ook voor onderzoekers bleek Genesis Market uniek. De marktplaats gebruikte nieuwe technieken, zoals het verduisteren van een c&c-server via bitcoinadressen, vertellen onderzoekers die de markt bekeken aan Tweakers.

Technisch gezien was het de Amerikaanse FBI die aan het roer stond van de internationale politieactie tegen Genesis Market genaamd Operatie Cookiemonster, maar de Nederlandse politie speelde een belangrijke bijrol in het analyseren van de malware die Genesis verkocht. De politie werkte daarvoor samen met beveiligingsonderzoekers en securitybedrijven. Zo schakelde het bijvoorbeeld de hulp in van beveiligingsbedrijf Computest. "De politie had al een lang onderzoek lopen, maar wilde vooral ook perspectief bieden voor de slachtoffers", vertelt Daan Keuper. Hij is een van de drie mensen op de onderzoeksafdeling van Computest en bekeek op verzoek van de politie hoe de malware precies werkte die Genesis Market aanbood. Het 'perspectief' voor de slachtoffers bestond uit een website genaamd Check Je Hack, waarbij iedereen kan kijken of zijn of haar e-mailadres als slachtoffer geregistreerd stond bij de tools die op Genesis Market werden verkocht. Keuper en zijn collega's bestudeerden de malware om te kijken hoe die werkt. Takedownacties van zulke marktplaatsen zijn niet alleen bedoeld om slachtoffers te helpen. Ze geven een stevig signaal af. Keuper: "Met zo'n actie wordt de betrouwbaarheid van de markten onderuit gehaald."

Genesis Market

Kant-en-klaarpakketten

Wat was Genesis Market ook alweer? De marktplaats, die gewoon op het normale internet te vinden was, was er een voor een specifieke soort malware. Op de meeste andere marktplaatsen kun je een virus kopen, een los phishing panel of lijsten met gestolen e-mailadressen en wachtwoorden. Je moet zo alle aspecten van een phishingcampagne bij elkaar scharrelen en die aanval zelf opzetten, inclusief het huren van een command-and-controlserver en het verzenden van de e-mail naar een potentieel slachtoffer. Al dat werk nam Genesis uit handen. Het was een kant-en-klaarpakket waarmee aanvallers een phishingaanval van begin tot eind konden uitvoeren.

Een van de meestgebruikte termen die beveiligingsonderzoekers hanteerden voor Genesis was fingerprinting-as-a-service, of impersonation-as-a-service. Onder andere Sophos deed er eerder uitgebreid onderzoek naar. Genesis bood tienduizenden zogenaamde bots aan. Een 'bot' op Genesis was niets meer dan een informatiepakket over een geïnfecteerd systeem van een slachtoffer. Bot is daarom niet helemaal het juiste woord, maar dat is de term die Genesis gebruikte. Een Genesis-bot bestond uit een pakketje met informatie over een slachtoffer, met niet alleen zijn IP-adres, maar ook alle informatie over een systeem, zoals de locatie, de schermgrootte, het besturingssysteem en de useragent van de browser. Met die informatie wordt een fingerprint opgebouwd van een slachtoffer. "Wat Genesis ook uniek maakte, was dat het realtimedata aanbood", zegt Michele Campobasso, onderzoeker computerwetenschappen en -beveiliging aan de Technische Universiteit Eindhoven, die enkele jaren geleden de site al bestudeerde. "De informatie die je er kocht, was altijd up-to-date en daarmee kon je een slachtoffer blijven hacken." Een fingerprint is handig bij een hackpoging via phishing, legt Campobasso uit. "Als ik normaal gesproken altijd vanaf een MacBook in Eindhoven inlog en daarna vanaf een Android-toestel uit Keulen, dan gaan er plotseling allerlei alarmbellen af", zegt hij. Gebruikers krijgen dan bijvoorbeeld een extra 2fa-code voorgeschoteld of waarschuwingsmails in hun inbox. Dat maakt het voor een aanvaller lastig onopgemerkt te blijken. De bots die Genesis verkocht, bevatten alle informatie over een slachtoffer die ervoor zorgt dat die alarmbellen juist niét afgaan. Campobasso: "Je kocht bij Genesis altijd de bijgewerkte metadata die nodig was om iemands identiteit na te bootsen. Je kocht een bot en die kon al het werk doen." Dat maakte Genesis Market uniek, maar ook gevaarlijk.

GEnesis Market 2

Persistent virus

Als slachtoffer van Genesis kon je op verschillende manieren worden geïnfecteerd, bijvoorbeeld via malvertising waarbij geïnfecteerde software met ingebouwde trojans werd verspreid. Zodra een slachtoffer een bepaalde malware downloadde, verzamelde en bundelde die malware alle informatie over een gebruiker vanuit de browser. Dat was de fingerprintinformatie die over het systeem werd verzameld via een persistent virus; dat blijft op de computer staan, ook na een herstart. Kopers konden vervolgens op Genesis Market een bot kopen met de informatie van een slachtoffer. Daan Keuper van Computest bekeek 'de hele kopertooling'. "Dat is de modus operandi van de malwaremakers. Daarnaast keken we aan de slachtofferkant hoe de infectieketen werkt, dus wat de initial compromise was, wat voor bestanden er worden aangemaakt en hoe de malware cookies en wachtwoorden steelt. We hebben zo de hele keten van een aanval afgelopen." Hij en zijn collega's schreven daar ook een blogpost over.

Keupers onderzoek begon ironisch genoeg met een gebruiker die een geïnfecteerde versie van een antivirusprogramma downloadde. Keuper: "Daardoor wist de malware al welk antivirus het slachtoffer gebruikte, zodat dat kan worden uitgeschakeld." De malware had verder verschillende trucs om antivirus op systemen te omzeilen, zegt Keuper. Zo werd er veel lege data in de installer geplaatst, zodat die te groot werd voor een antivirusprogramma om er nog naar te kijken.

Er waren meerdere soorten malware die Genesis Market gebruikte om de informatie te verzamelen. In de malware die Keuper analyseerde werd de Danabot-malware gebruikt. Die werd enkele jaren geleden vooral ingezet om bankinformatie van systemen te stelen. Danabot viel vooral op vanwege de eerdergenoemde persistentie. Hoewel er meerdere malwaresoorten zijn die bij Genesis voorkwamen, is wat de klanten van de marktplaats krijgen vaak hetzelfde. Keuper: "Kopers van een bot krijgen een aangepaste versie van Chromium of een extensie die ze in hun browser kunnen inladen. Daarin zat een eventlistener. Dat was voor ons een manier om te achterhalen of iemand zo'n tool gekocht had. Zodra de eventlistener een van onze websites aanriep, wisten we dat iemand die extensie had gekocht of gebruikt. Later vonden we zelfs een kwetsbaarheid in de extensie waarmee het mogelijk was de ingebouwde proxyfunctie uit te schakelen. We konden daarnaast ook alle configuratie-instellingen van de gebruiker achterhalen."

Genesis Market extensie

Verbinding leggen via een bitcoinadres

Reden dat de malware vaak opviel, zegt Keuper, is de manier waarop die contact legde met de command-and-controlserver. Dat moet uiteraard via een IP-adres of een URL, maar het is voor malwaremakers niet slim om die direct in de code te zetten. Ze kunnen dan niet snel van c2c-server wisselen zonder direct nieuwe malware te hoeven distribueren. Die malware staat dan al op verschillende plekken, dus kan het veel tijd kosten die overal opnieuw naartoe te moeten sturen.

"Soms gebeurt dat verbinding leggen dynamisch, bijvoorbeeld via een algoritme", legt Keuper uit. "Dan gebruiken makers bijvoorbeeld telkens nieuwe domeinen om verbinding te leggen." Maar bij deze malware gebeurde dat wel op een erg unieke manier. "We zagen dat de malware een specifiek bitcoinblockchainadres in de gaten hield. Dat bleken legacyadressen te zijn die vroeger werden gebruikt. Die adressen zijn gecodeerd in Base58 waardoor je daar arbitraire data in kunt stoppen. De malware keek vervolgens of er naar dat specifieke bitcoinadres geld was overgemaakt vanuit een ander adres. Als dat gebeurde, werd het adres van de verzender gedecodeerd naar een URL en dat werd de URL waarmee de malware vervolgens verbinding legde."

Dat is een vrij unieke aanpak, zegt Keuper. "Ik weet niet of het vaker voorkomt, maar ik had het in ieder geval nog nooit gezien." Helaas vielen de vervolgplannen daarvan al snel in het water. "Wij redeneerden dat we met deze methode meer bitcoinadressen zouden kunnen vinden en decoderen, zodat we op die manier alle command-and-controlservers van Genesis konden achterhalen. We hebben alle legacybitcoinadressen in de blockchain gezocht waar nog geld op stond en die hebben we allemaal gedecodeerd. Onze theorie was dat je op die manier ook meerdere bitcoinadressen kon vinden zodat je misschien een analyse kunt doen naar de geldstromen van Genesis. Dat geeft je wat achtergrondinformatie. Maar helaas konden we geen enkel ander adres vinden dat op die manier gebruikt werd."

Onderzoek naar darknetmarktplaatsen

Het is soms lastig grootschalig onderzoek naar darknetmarkten te doen omdat scrapers worden geband.Genesis Market stond al langer op de radar van sommige onderzoekers, die wél succesvol onderzoek wisten te doen naar het reilen en zeilen van de marktplaats. Darknetonderzoeker Campobasso bestudeert al jaren darknetmarktplaatsen en kreeg tijdens een van die onderzoeken Genesis al in het vizier. "We bestudeerden normaal de economie achter die marktplaatsen. Daar bekijken we onder andere welke nieuwe producten en diensten daar worden aangeboden. Zo zagen we op een dag een advertentie voor Genesis Market, waar we vervolgens verder in zijn gedoken", zegt hij. Genesis Market was een afgesloten markt, die overigens niet alleen op het darkweb maar ook op het clearweb te vinden was. Alleen bezoekers met een invite konden de website bezoeken. De laatste jaren was het vrij eenvoudig om zo'n code ergens op internet te zien slingeren, maar toen Campobasso zijn onderzoek begon, was dat nog niet het geval. "Die werden verkocht voor prijzen tussen de tussen de vijf en vijftig euro. Bij andere markten ging en forums ging het soms om tientallen tot duizenden euro's. We maakten meerdere accounts aan en wisten uiteindelijk toch binnen te komen."

Campobasso bekijkt met zijn team wat er gebeurt op de marktplaatsen. "Voor veel van onze onderzoeken moeten we scrapers maken. We scrapen de markten die we onderzoeken om te zien wat er in de afgelopen 24 uur gebeurd is en welke producten er aan die markten zijn toegevoegd. Daarna houden we die producten zes dagen lang in de gaten om te zien wat er weer verdwijnt. Dan weten we wat er verkocht wordt." Dat is een lastige onderzoeksmethode, merkt hij op. Scrapers worden continu ontdekt en geband. "We hebben veel scrapers gebouwd die een ban kregen. Dat maakt het onderzoek soms moeilijk. Daarmee gaan datasets kapot of mis je gegevens. Dat gebeurde ook bij Genesis Market; daar werden onze scrapers vaak geblokkeerd." Daarnaast, zegt hij, is het ook lastig om data te scrapen van websites die achter Tor zitten. Dat leidde er volgens Campobasso vooralsnog niet toe dat hij een onderzoek moest stopzetten. "Hooguit liep zo'n onderzoek vertraging op. We kijken niet naar honderdduizenden markten, maar naar een paar. De truc is om modellen te maken waarbij je ontbrekende data alsnog goed kunt simuleren. Als ik nu het proces-verbaal van de politie vergelijk met ons onderzoek, dan blijkt dat ons dat best goed gelukt is!"

Handel en wandel op de markt

Campobasso zegt dat de modellen die hij en zijn team maken een goed beeld kunnen schetsen van wat er gebeurt op illegale marktplaatsen. "We hebben een model gemaakt dat betrouwbaar kon voorspellen welke producten op de markt werden verkocht. We zagen bijvoorbeeld dat als een product, zoals een bot, op de markt komt, het snel moet worden verkocht." Hij denkt dat dat vanwege antivirussoftware gebeurt. "Als een product lang bekend is, wordt het geflagd door antivirusprogramma's en is het waardeloos."

'Genesis was een professionele dienst met wiki's en een ticketsysteem.' Wat hem vooral opviel aan Genesis is niet alleen dat het unieke informatie aanbood, maar ook dat de website erg professioneel was. "Ze hadden een professionele dienst waarbij ook veel aandacht was voor de bots zelf. Genesis Market had wiki's, een ticketsysteem en bracht updates voor hun software uit." Zo'n professionaliteit, zegt hij, ziet hij soms wel bij andere generieke marktplaatsen, maar Genesis en de fingerprintingtechnologie die het verkocht, waren uniek. Dat hielp mee met de populariteit van de website, hoewel die een van de enige in zijn soort bleef. "Veel van de onderdelen die de bots van Genesis bevatten, moest je vroeger zelf uitvoeren. Je moest de malware kopen, de phishingcampagne opzetten, de e-mailadressen zoeken... Bij Genesis kon je dat allemaal uitbesteden."

Driekoppige draak

Campobasso denkt dat het neerhalen van Genesis Market een voorspelbaar patroon gaat volgen. "Genesis bleek een waardevol verdienmodel te hebben. Klanten waren er tevreden. Er zal daarom zeker een nieuwe markt opkomen." Hij zegt van nog een andere marktplaats te weten die ongeveer hetzelfde doet als Genesis. "Die kan ik alleen niet goed testen, want de site zit achter een betaalmuur. Zulke toegang kopen we niet voor ons onderzoek." Het kan daarnaast ook zo zijn dat Genesis Market een doorstart maakt. "De FBI heeft de domeinnaam in beslag genomen, maar niet het .onion-domein. De infrastructuur is er nog."

Hoewel het neerhalen van een marktplaats lijkt op het afhakken van een kop van een draak, denkt Campobasso niet dat zulke acties zinloos zijn. "Er is altijd een effect van het neerhalen. Niet alleen is de markt dan even niet meer beschikbaar, maar klanten zullen dan ook huiverig zijn om in de toekomst met dezelfde markt in zee te gaan, tenzij de beheerders kunnen aantonen dat die markt veilig is. Dat geldt ook voor andere markten, waarbij gebruikers eerst zullen wachten op veel positieve reviews." In de tussentijd zullen ze dan minder actief zijn en de markten minder gebruiken. "Maar als er ergens vraag naar is, dan blijven de kopers komen. En die vraag zal er altijd zijn."

Reacties (32)

Coolstart 8 mei 2023 12:48

Wat me opvalt is dat je altijd een bestand moet downloaden en openen.

"Zodra een slachtoffer een bepaalde malware downloadde, verzamelde en bundelde die malware alle informatie over een gebruiker vanuit de browser."

"Het onderzoek dat Keuper deed, begon ironisch genoeg met een gebruiker die een geïnfecteerde versie van een antivirusprogramma downloadde."

Je moet als gebruiker toch al wel wat stappen ondernemen om zo een geïnfecteerde versie van een antivirusprogramma te downloaden. Dat staat sowieso niet op een officiele site en ook niet in een App store van Mac of Windows. Je zal ook wel wat beveiligings boodschappen van us OS moeten negeren om verder te gaan.

Ik lees op hun Blog het volgende: "The infection we investigated started (ironically) because the victim wanted to activate his or her anti-virus product. Rather than paying for a subscription, the victim downloaded an illegal activation crack. This ended up uninstalling the original AV product and installing malware instead…"

Dit wijst erop een gebruiker die er alles aan doet om zich in de problemen te werken. Maar in het voorbeeldje hieronder zal je ook slimmere mensen ten prooi kunnen vallen.

Linus tech tips case
Een andere aanvalsvector is een e-mail met een PDF dat eigenlijk als een .exe file is. Soms lijkt de e-mail afkomstig te zijn van een normale bron. Een eerste Red flag is de bestands grootte. Een gewone PDF is vaak maar een paar KB als het over tientallen megabytes gaat dan zou ik hem testen op wallware. Dat kan via sites zoals https://www.virustotal.com/gui/home/upload.

Vervolgens gaat het script opzoek naar session tokens in uw browser. Die tokens houden je op webplatformen ingelogd zonder dat je continu uw wachtwoord moet invullen of 2FA gebruiken. Zeer handig maar zodra er malware op uw PC staat gaan ze uw browser sessie clonen. Met uw gestolen session token en de gestolen meta data 'finger print' zodat de beveiligingsmechnanismen van Youtube niet getriggered wordt.

Als de aanvallers al zo ver gevorderd zijn kan je eigenlijk enkel rekenen op extra beveiligingslagen in de webapp die je gebruikt. In het geval van Linus Techtips hack liet Youtube het toe om alle video's te deleten en de account naam te veranderen zonder dat je uw wachtwoord moest invullen om uw goedkeuring moest geven via een 2FA app.

Deze video legt het mooi uit.

Hoe je uzelf kan beschermen:
- Bestanden die je download (PDF of andere files via mail of afkomstig van vrienden of torrent) kan je scannen met tools zoals https://www.virustotal.com/gui/home/upload alvorens je ze opendoet. Zo ben je extra zeker dat de inhoud veilig is.
- Installeer een browser extensie zoals guardio die uw downloads screened en voorkomst dat je op een ad of mail link klikt die je naar een malafide site stuurt. (die er voor de rest zeer bekend en goed uitziet).

De browser extensie kost €10/maand zorgt er wel voor dat de kans dat infectie kans van Kant-en-klare malware zoals in dit artikel beschreven staat bijna tot nul herleid worden. Als je voor uw job toegang hebt één of meerdere belangrijke accounts is dat aan te raden.

Bijna tot nul herleid... Die malware is erg slim en soms zo nieuw dat de beste anti-virus het niet herkent. Het beste is dat je ook dit doet: Schakel de functie "Apps installeren vanuit externe bronnen" uit: Deze functie maakt het mogelijk om apps vanaf andere locaties dan de Microsoft Store te installeren. Zo kan jij of iemand in uw famillie in geen geval per ongeluk een PDF openen die vermomd is als een .exe extensie.

Als via een sales mail of een via ad op een site terecht komt of de bijlage wil downloaden kan je best ook even de URL checken op leeftijd. Als die URL maar 3 dagen of weken oud is is dat een hele rode vlag ;-) Dat kan via: https://who.is/

!mark @Coolstart • 8 mei 2023 14:54

Een andere aanvalsvector is een e-mail met een PDF dat eigenlijk als een .exe file is. Soms lijkt de e-mail afkomstig te zijn van een normale bron. Een eerste Red flag is de bestands grootte. Een gewone PDF is vaak maar een paar KB als het over tientallen megabytes gaat dan zou ik hem testen op wallware.

Er zijn genoeg use-cases waarbij PDF's compleet legitiem meerdere of zelfs tientallen MB's zijn

Nee het echte probleem in deze aanvalsvector is hier naar mijn mening toch echt Microsoft die 'Extensies voor bekende bestandstypen verbergen' standaard aanzet op elke Windows installatie. Een PDF vermomd als .exe bestand ziet er daardoor in de verkenner uit als 'Handleiding.pdf' en dan lijkt het alsof er niets aan de hand is terwijl de daadwerkelijke naam Handleiding.pdf.exe is

Het is praktisch de eerste instelling die ik op elke PC/laptop installatie direct uit zet mede om deze rede.

[Reactie gewijzigd door !mark op 22 juli 2024 18:04]

Falcon @!mark • 8 mei 2023 15:41

De gebruiker krijgt toch nog echt dan eerst nog een dialoog of hij echt wil doorgaan. Het valt op een gegeven moment gewoon niet meer extra dicht te timmeren. Soms moet een gebruiker het dan ook maar voelen en de consequenties ondergaan.

arjan1995 @Falcon • 9 mei 2023 08:23

De sales persoon die zo'n sponsorship.pdf.exe heeft geopend zal er vast niet bij nagedacht hebben en gewoon op 'doorgaan' hebben geklikt.

Misschien heef de persoon gedacht dat het bevestigen nodig was om het contract te bekijken o.i.d.

Helaas is niet iedereen even technisch onderlegd als wij.

Anoniem: 1890360 @!mark • 9 mei 2023 04:03

Nee het echte probleem in deze aanvalsvector is hier naar mijn mening toch echt Microsoft die 'Extensies voor bekende bestandstypen verbergen' standaard aanzet op elke Windows installatie.

Dat is iets wat ik werkelijk nooit begrepen heb en altijd het eerste wat ik omzet, bij nieuwe installatie of bij vrienden en bekenden waar ik aan de computer kom.

pbb @Anoniem: 1890360 • 9 mei 2023 11:51

Waarvoor is die extensie nodig? Je hebt naast de kolom met bestandsnaam, een hele kolom "Type" waar staat of iets een "Applicatie" of een "Acrobat PDF document" of "Afbeelding" ofzo is. Een heel stuk zichtbaarder en begrijpelijker voor een leek. Voor velen is dat "exe" maar cryptisch wat ze moeten begrijpen. Bovendien zelfs met extensies kan er nog "[bestandsnaam].jpg[spatie][spatie][spatie x 100].exe" staan, ook dan zien ze het niet. Ik begrijp dat geneuzel over die extensie echt niet...

batjes @!mark • 8 mei 2023 21:58

Want toen extenties nog standaard aan stonden was er niets aan de hand.

Zonder extenties is beter, de meeste gebruikers letten daar toch niet op. dubbele extenties vallen ineens wel op. Hoeveel mensen ten tijde van XP in de jpg.exe bestanden trapte die massaal via MSN rondgestuurd werden, foi.

Nu staat er ineens wel jpg achter, valt al stuk meer op.

Wel extenties, geen extenties, headers. Welk systeem je ook kiest, ze zijn geen van allen foolproof en uit te buiten.

CivLord

@!mark • 9 mei 2023 08:53

De enigen die een dubbele extensie op zullen vallen zijn degenen die al verstand van zaken hebben. De standaardgebruiker zegt het helemaal niets.

Anoniem: 454358 @Coolstart • 8 mei 2023 17:17

hoeveel mensen downloaden nog programma's als photoshop en office invl activatie crack via een torrent?
dat zullen er nog heel wat zijn denk ik.

spikedradiator @Coolstart • 8 mei 2023 20:32

Een andere aanvalsvector is een e-mail met een PDF dat eigenlijk als een .exe file is.

Als via lokaal veiligheid (software restrictie) iedereen inclusief administrator op basis gebruiker word gezet wordt geen enkele executable meer uitgevoerd ook niet door een gebruiker met admin rechten of de admin zelf.Wat gevaarlijker is zijn de wel bekende zero days. Zoals bijvoorbeeld CVE-2021-28550. Dan nog worden de rechten overgenomen van de huidige (basis) gebruiker, ik neem aan dat niet iedereen als admin werkt.Er zijn folders waar een gewone gebruiker (onterecht) schrijfrechten heeft maar nog steeds niets kan uitvoeren wat niet is geinstalleerd door de administrator.Het enige wat hout snijd vanuit het perspectief van een aanvaller is een exploit die system rechten overneemt. Wil je iets installeren zet je iedereen behalve de admin op basisgebruiker en daarna zet je de instelling weer terug.

pbb @spikedradiator • 9 mei 2023 11:58

iedereen inclusief administrator op basis gebruiker word gezet wordt geen enkele executable meer uitgevoerd

Echt wel, ander zou een gebruiker geen enkel programma meer op kunnen starten. De begrenzing zorgt ervoor dat je geen informatie en bestanden op bepaalde locaties kunt lezen of schrijven. Maar een executable starten is geen enkel probleem voor een standaard begrensde gebruiker. Je kunt zelfs software installeren, maar dan in bijvoorbeeld je AppData folder in plaats van onder Program Files. (Dit wordt ook door steeds meer programmas gedaan.)

spikedradiator @pbb • 11 mei 2023 19:32

Precies, er zijn zelfs folders waar "gewone" gebruikers ook schrijrechten hebben naast de AppData folder en daar wordt nog wel eens misbruik van gemaakt. Maar dat is te controleren met de access right check tool van wininternals en simpel aan te passen.

Stijnvi @Coolstart • 8 mei 2023 21:30

Een andere aanvalsvector is een e-mail met een PDF dat eigenlijk als een .exe file is. Soms lijkt de e-mail afkomstig te zijn van een normale bron. Een eerste Red flag is de bestands grootte. Een gewone PDF is vaak maar een paar KB als het over tientallen megabytes gaat dan zou ik hem testen op wallware. Dat kan via sites zoals https://www.virustotal.com/gui/home/upload.

Ik heb het even gecontroleerd, en de installer van Firefox is slechts 342 KB, en die van Bitwarden 712 KB.
De installer van het volledige Microsoft Office pakket is weliswaar groter, maar zelfs die is maar krap meer dan 7 MB.
Recent heb ik nog legitieme PDF's ontvangen van 1 MB, 400 KB, 600 KB en 2 MB.
Een PDF van 7MB is ook niet ondenkbaar.
Je kunt dus flink wat installers kwijt in een relatief kleine PDF.

DavidAxe @Coolstart • 9 mei 2023 00:29

Waarom zou men zo'n dure browser extensie nodig hebben als een beetje standaard antivirus pakket hetzelfde doet?
Ik betaal geloof ik zo'n €50 per 1 (of 2) jaar voor mijn Bitdefender abonnement. Daarmee kan ik ook nog eens 10 PC's beveiligen.
Daar zit ook een browser extensie in die volgens mij hetzelfde doet.

[Reactie gewijzigd door DavidAxe op 22 juli 2024 18:04]

dutch_camel 8 mei 2023 09:04

Dit zou iedereen moeten lezen die zegt: Ik heb niets te verbergen.

Je hebt zeker wel wat te verbergen. 'Vroeger" was het opbouwen van een persoonlijk dossier van een gebruiker tijdrovend. Tegenwoordig kan dat allemaal geautomatiseerd. In de tijd dat je een glas cola inschenkt, heb je bij wijze van spreke een compleet dossier van meerdere personen/doelwitten.

Goed een waardevol artikel.

DigitalExorcist @dutch_camel • 8 mei 2023 12:06

Men verward 'privacy' vaak met 'geheimhouding'.

Iedereen wéét exact wat er gebeurd als je op de WC zit, en tóch zit je er met de deur dicht... iedereen heeft privacy nodig. Maar niet iedereen heeft perse geheimen die strikt bewaard moeten blijven.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 18:04]

crazyboy01 @DigitalExorcist • 8 mei 2023 12:26

Inderdaad, om dit voorbeeld naar het digitale te trekken: als iemand kan zien welk pornografisch materiaal je hebt gekeken, dan is dat een beetje beschamend, maar voor de meeste mensen is dat toch echt en geval van 'ze doen maar'. Dat verandert wanneer je webcam is aangezet en je bent opgenomen tijdens het kijken.

Maar puur over 'dossiers' en privacy, even niet gekeken naar de specifieke doelen van criminelen. Nee, ook met het verhaal in de reactie hierboven zullen mensen niet veranderen. Mén weet al dat al hun data wordt verzameld, dat ze overal worden getracked en dat niets veilig is - door grote én kleine partijen. Dat boeit ze helemaal niets, zeker niet non-IT mensen. Het enige wanneer het ze boeit, is wanneer zij in hun dagelijks leven schade oplopen, zoals bijvoorbeeld het scenario dat ik net beschreef met de webcam of bv gelekte foto's en in bepaalde gevallen gestolen accounts of geld. Maar puur een dossier van je data is in de basis voor mensen die écht niets te verbergen hebben geen ding waar ze ook maar één nacht van wakker zullen liggen. Hooguit een zaak van 'liever niet'. Sterker nog, ik heb al zovaak malware aangetroffen bij vrienden die er eigenlijk alleen maar oprecht om lachen hoe stom en onhandig ze toch weer zijn, al leg ik ze uit wat er kan gebeuren.

Tis P. @dutch_camel • 8 mei 2023 11:17

Mee eens, soms is privacy ook gelijk aan veiligheid.

Anoniem: 454358 8 mei 2023 11:02

Interessant artikel, vroeg of laat worden die mensen allemaal wel een keer opgepakt.

Vraag me altijd af hoeveel tweakers bij een dergelijke 'organisatie' werken, van al die coders die ze hebben zullen er af en toe ook een tweaker bij zitten. Die dit dan ook weer leest

Anoniem: 361276 @Anoniem: 454358 • 8 mei 2023 11:16

Dat is nou net een van de problemen de pakkans is ontzettend laag, daarom is het voor criminelen een lucratieve manier om snel geld te verdienen met relatief weinig risico.

DigitalExorcist @Anoniem: 454358 • 8 mei 2023 12:45

Tsja. Als je bij de AIVD wil solliciteren, wordt je geacht daar al niets over te melden. Dus het praten over solliciteren zélf wordt al streng afgeraden. Best kans dat er tweakers tussen de genoemde partijen zitten maar die het veiligheidshalve niet eens mógen zeggen.. je vestigt dan wel een soort aandacht op jezelf die je niet perse wil.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 18:04]

Pixeltje

8 mei 2023 07:53

Leuk artikel! Met veel plezier gelezen. Ik ben niet wereldvreemd maar ik blijf me afvragen waarom er zoveel vraag naar dit soort meuk is, en waar het digitale equivalent van ‘mijn en dijn’ is gebleven. #ouwelul?

DigitalExorcist @Pixeltje • 8 mei 2023 12:05

Om die reden ben ik vorig jaar de cybersecurity ingegaan. Heb nu 25 jaar IT-ervaring en vond het hoog tijd voor een andere tak van sport...

En inderdaad, het is machtig mooie materie. Grof gezegd heb je een paar verschillende soorten 'actoren' die zich hiermee bezig kunnen houden:

1) Staatsactoren, vaak ingehuurd (via-via) door een overheid voor cyberspionage. Denk aan technologie, of baanbrekend onderzoek

2) Activistische groepen, willen vaak verandering zien in de wereld - bijv. het lamleggen van oliemaatschappijen of banken om zo een statement te maken / verandering 'af te dwingen'.

3) Terrorsime, probeert met name publieke infratstructuur (waterschappen, energie, verkeer) te ontregelen om zo een land te verlammen of in het ergste geval te resulteren in doden en gewonden (daar zijn nog niet echt praktijkvoorbeelden van overigens)

4) Gauw-geld-verdienen: standaard malware/cryptolockers met als doel het krijgen van inkomsten. Gewoon voor de lol. Dit is momenteel wel de grootste groep zo'n beetje.. je kunt 'RaaS' (Ransomware-as-a-service) aanschaffen en binnen een uurtje een aanval opstarten en geld cashen .. maar soms zijn het ook complete 'bedrijven' incl. HR, helpdesk, finance afdelingen, alles erop en eraan.

5) Scriptkiddies: ongestructureerd maar moeilijk te voorspellen en te volgen. De jochies (m/v) die het leuk vinden om op Shodan rond te hangen en alles proberen binnen te komen wat daar te vinden valt, gewoon voor de grap..

PanaLover 8 mei 2023 06:23

Interessant artikel, ondanks de hele lap tekst, van voor tot achter met plezier gelezen.

Yzord 8 mei 2023 07:34

Persoonlijk vraag ik mij af of het heel snugger is om de gehele opbouw van deze market zo online te zetten. Dan is het wachten totdat er een kloon komt wat via Monero wordt opgezet qua opbouw en waarbij de secret key de c&c adres in gecodeerd heeft zitten. Daar de secret key alleen bekend is tussen koper en verkoper.

Nu werd een btc adres gebruikt welke zo online te vinden is via de blockchain, maar de secret key van XMR is niet online te vinden en als bouwer van een nieuwe Genesis market zou ik eens daar naar kijken en wellicht met de makers van XMR bespreken

Vic-Green @Yzord • 8 mei 2023 10:35

Ik denk niet dat het via XMR kan werken.

thibaultvdb @Yzord • 8 mei 2023 13:39

Alle markten zijn monero only aan het gaan. Het is een kwestie van tijd.

Baserk 8 mei 2023 13:44

Mooi artikel. Hulde.
Informatief, prettige diepgang.
Merci.

dieguyvanit 8 mei 2023 14:13

Foutje denk het afhakken van de kop van een draak levert toch minstens 1 dode draak op.
Denk dat je de Hydra zocht zoals in de mythen van Hercules.

https://historiek.net/hydra/96/

"Hoewel het neerhalen van een marktplaats lijkt op het afhakken van een kop van een draak, denkt Campobasso niet dat zulke acties zinloos zijn."

dutchgio @dieguyvanit • 8 mei 2023 17:19

Het is ook niet echt een gezegde volgens mij, die zin lijkt inderdaad niet te kloppen.

TheAncientDovah 10 mei 2023 10:40

Beetje jammer dat ik geen linkje zie naar het onderzoek. Als er mensen nog meer willen lezen over het onderzoek van Campobasso, dan kan dat hier gevonden worden: https://doi.org/10.48550/arXiv.2303.03249

bizerk88 10 mei 2023 21:00

Wat een topartikel. Bedankt voor jullie harde werk. Podcasts luister ik ook elke week met plezier naar.

Op dit item kan niet meer gereageerd worden.

Kant-en-klare malware te koop