Blog over PC Beveiliging
Berichten tagged drive-by-download
Noodpatch voor zeer ernstig Java-lek!
17 apr
Sun heeft een noodpatch voor een zeer ernstig lek in Java uitgebracht, dat hackers op dit moment actief misbruiken voor het infecteren van internetgebruikers. Update 20 verhelpt drie beveiligingslekken in Java, waaronder een probleem in javawebstart. Of dit ook het lek is dat onderzoekers Tavis Ormandy en Ruben Santamarta ontdekten is onbekend, aangezien Sun geen toegang tot de bugmelding geeft. “Sommige bugs worden vanwege security redenen niet aan de Bug Database toegevoegd”, zo laat het bedrijf weten.
Trojan-Downloader.JS.Gumblar.x
06 feb
Qua bekendheid lijkt Conficker de grootste bedreiging op het internet, maar desondanks is de, relatief onbekende, Gumblar Trojan de absolute nummer één. Wat betreft de gevarenklasse steekt Gumblar ook met kop en schouders boven de huidige bekende dreigingen uit.
Gumblar is een infectie die wordt opgelopen door middel van een ‘Drive-by-download’, het slachtoffer bezoekt een website die besmet is met malafide code van Gumblar (vorige slachtoffer). Indien het slachtoffer niet in het bezit is van de nieuwste Adobe reader en Adobe Flash updates slaat Gumblar toe. De PC wordt besmet, Gumblar plaatst zichzelf in de browser, wijzigt de Google zoekresultaten (enkel Gumblar-geïnfecteerde resultaten worden getoond) en opent een Backdoor naar 78.109.29.112 (een botnet dat al langer geassocieerd wordt met Malware redirects) . Tevens gaat Gumblar op zoek naar FTP gegevens welke worden verzonden naar een server. Vervolgens maakt een andere server geautomatiseerd verbinding met de FTP en doorloopt alle mappen op de FTP. Bestanden met de extensie .php, .htm en, .js worden geïnjecteerd met malafide code.
De PHP code zou hiermee kunnen beginnen:
if(!function_exists(''tmp_lkojfghx'')){if(isset($_POST[''tmp_lkojfghx3'']))
De HTML code kan er als volgt uitzien:
<script><!--(function(){var dxDt=''%'';var vEBei=''va<72
Gumblar lijkt het voornamelijk te hebben voorzien op bestanden met ‘config’ in de bestandsnaam. In de map /Images/ wordt het bestand Image.php aangemaakt wat waarschijnlijk de backdoor functie van Gumblar huisvest. Ook wordt er een IFRAME geplaatst in de HTML bestanden. De webbrowser probeert gegevens te downloaden van www.gumblar.cn, bigtopartists.cn of martuz.cn. De geïnjecteerde code zoekt contact met gumblar.cn/rss en haalt daar een willekeurige op javascript gebaseerde exploit binnen. Aangezien het script dynamisch gegenereerd en zwaar geobfusceerd is, maakt dit detectie extra lastig. Zodra een webmaster de eerste infectie probeert te verwijderen of andere aanpassingen aan .htm, .php en .asp maakt, worden de kwaadaardige scripts opnieuw geïnjecteerd. Afhankelijk van verdere beveiligingslekken op de PC van het slachtoffer worden er meer Malware componenten geïnstalleerd.
Om de volledige infectie te verwijderen, is het noodzakelijk om de infectie van de PC zelf te verwijderen met bijv. MalwareBytes, daarna de FTP wachtwoorden te wijzigen (desnoods voortaan SFTP te gebruiken) en tenslotte de complete website van de server te wissen. Hierna plaats men de (hopelijk aanwezige) schone backup terug op de host.
Computerbedreigingen in 2010 volgens Panda Security
31 dec
Panda Security, voorspelt de computerbedreigingen voor 2010. Zo zegt het beveiligingsbedrijf dat 2010 niet het jaar wordt van de mobiele virussen, maar wel van malware dat inspeelt op het WK voetbal en in toenemende mate het Macintosh-platform last krijgt van malware.
Meer beveiliging in de cloud
In 2009 ondernamen alle grote beveiligingsleveranciers stappen richting beveiliging in de cloud. 2010 wordt het jaar waarin anti-malware bedrijven, die real-time beveiliging willen bieden, deze stap moeten zetten om te overleven.
Malware-lawine
De hoeveelheid malware blijft exponentieel groeien. Doordat cloud-gebaseerde technologieën, zoals Panda’s Collective Intelligence, sneller reageren, genereren malware-ontwikkelaars steeds meer bedreigingen om detectie te vermijden. Malware wordt voornamelijk ontwikkeld voor financieel gewin. Daarnaast worden verschillende nieuwe valse anti-virusprogramma’s (rogueware), bots en bank Trojans verwacht.
Social engineering
Cybercriminelen focussen zich op social engineering-technieken om computers te infecteren. Deze zijn vooral gericht op search engines (BlackHat SEO) en sociale netwerken, evenals ‘drive-by-download’-infecties via webpagina’s.
In het geval van sociale netwerken waren er al verschillende wormen en Trojans voor Twitter en Facebook. Malware-ontwikkelaars blijven zich in 2010 focussen op sociale netwerken om een grote hoeveelheid gebruikers te infecteren. Malware-ontwikkelaars blijven zich in 2010 focussen op sociale netwerken om een grote hoeveelheid gebruikers te infecteren.
Ook wordt een grote hoeveelheid malware verwacht, gericht op het wereldkampioenschap voetbal in Zuid-Afrika. Verkoop van valse tickets en junk e-mail behoren hiertoe. Gebruikers moeten wantrouwig zijn over elk bericht gerelateerd aan grote evenementen als deze.
Windows 7
Windows 7 zal een grote impact hebben op de ontwikkeling van malware. Eén van de redenen hiervoor is de wijdverspreide acceptatie van dit besturingssysteem. Doordat alle nieuwe computers uitgebracht worden met Windows 7, 64-bit, passen cybercriminelen hun malware aan deze nieuwe omgeving aan. Het kan enige tijd duren, maar in de komende twee jaar wordt een grote verschuiving verwacht richting dit platform.
Mobiele telefoons
2010 wordt niet het jaar van malware op mobiele telefoons. De reden daarvoor is dat de computer een homogeen platform is, met 90 procent van de computers die Windows gebruiken in combinatie met Intel. Dit betekent dat elke nieuwe Trojan of worm 90 procent van de computers op de wereld kan besmetten. De omgeving van mobiele telefoons is heterogeen, met verschillende leveranciers die allemaal andere hardware en operationele systemen gebruiken.
Het is dus onwaarschijnlijk dat we in 2010 een wijdverspreide malware-aanval zien op mobiele telefoons. Er zal pas een voedingsbodem voor cybercrime zijn als er slechts twee of drie platformen zijn en er financiële transacties gebeuren met mobiele telefoons.
Mac
Het marktaandeel van Mac is de laatste jaren gestegen en dus aantrekkelijker geworden voor cybercriminelen. Mac’s worden net zoals pc’s gebruikt om toegang te verkrijgen tot sociale netwerken, e-mail en het internet. Dit zijn de belangrijkste systemen die worden gebruikt door cybercriminelen om malware te verspreiden. Daardoor is een Mac niet langer veilig voor malware. Criminelen weten of het gebruikte systeem een Mac is en hebben malware ontwikkeld specifiek voor dit besturingssysteem. Panda Security signaleerde al verschillende aanvallen in 2009 en verwacht er nog meer in 2010.
De cloud
Cloud-gebaseerde diensten worden niet enkel gebruikt voor beveiliging. Zonder het te beseffen, gebruiken we steeds meer diensten die geleverd worden vanuit de cloud. Denk aan Hotmail, Gmail en Flickr. Cloud-gebaseerde diensten worden echter niet alleen gebruikt voor opslag, maar ook voor het verwerken van data. De cloud helpt bedrijven kosten te besparen en groeit daarom enorm in populariteit. Daarom voorspelt Panda Security dat aanvallen op cloud-gebaseerde infrastructuren en diensten toenemen.
Cyberoorlog
In 2009 uitten overheden over de hele wereld hun bezorgdheid over potentiële cyberaanvallen die economieën of kritieke infrastructuren aantasten. In 2009 werden verschillende webpagina’s in de Verenigde Staten en Zuid-Korea aangevallen, vermoedelijk door Noord-Korea. In 2010 verwacht Panda Security gelijkaardige politiek gemotiveerde aanvallen.