Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Virtuele schijf bijlagen kunnen G-mail en Chrome beveiliging omzeilen

Cyber security Envicom todayseptember 12, 2019 6

Background
share close

Virtuele schijfbestanden zijn vergrendelde containers die de onderwerpen binnenin beschermen tegen online of lokale beveiliging maatregelen. De truc kan tegenstanders helpen onzichtbaar malware op de computer van een doelwit af te leveren.

Kwetsbaarheid analist Will Dormann publiceerde vorige week onderzoek naar VHD en VHDX-bestanden die door Windows en het besturingssysteem als een zwarte doos worden behandeld.

De VHD Bubbel

De details wekten de interesse van beveiliging onderzoekers die echte malware gebruikten, ingekapseld in een VHD-bestand om de detectiesnelheid van meerdere antivirus motoren te testen. Producten die normaal gesproken de malware monsters detecteerden, werden blind voor hen.

Dikwijls zijn virtuele schijf containers groot, omdat ze zijn ontworpen om als een harde schijf te werken, maar met VHD kunnen gebruikers ze klein genoeg maken om in een mail bijlage te passen.

Beveiliging onderzoeker JTHL testte een voorbeeld van Agent Tesla info dief in een 7 MB groot VHD-bestand en voerde het in op antivirus scan platforms. De detectie snelheid was te verwaarlozen.

JTHL bereikte deze resultaten echter alleen door het VHD-bestand te scannen zonder het te mounten. Envicom merkte op dat zodra de schijf actief was, de scan functie bij toegang in Windows Verdediger zou ingrijpen en het kwaadwillende onderwerp zou markeren.

Schadelijke VHD omzeilen G-mail en Chrome beveiliging

In een eigen test merkte beveiliging onderzoeker Jan Poulsen op dat niet alleen antivirusproducten door de container worden verblind en een manier vonden om de malware uit te voeren zonder het alarm te activeren.

Hij bouwde een script dat de VHD automatisch koppelde en voerde de malware binnen uit.

De “punten” waarnaar hij in de tweet verwijst, zijn het koppelen van de giftige VHD aan een G-mail bericht, het downloaden van het bestand met Google Chrome en het antivirus ingebouwd in het besturing systeem Windows Verdediger.

Gmail blokkeert sommige bestand typen in bijlagen om veiligheid redenen. Een lijst met verboden extensies bevat uitvoerbare bestanden die schadelijke software kunnen verspreiden. Deze beperking geldt zelfs wanneer de bestanden in een archief zijn gecomprimeerd.

G-mail noch Chrome kunnen echter VHD-containers mounten om de bestanden erin te controleren. Bovendien staat de extensie niet op de zwarte lijst als een potentieel risico stochastisch, omdat ze niet zijn beschouwd als containers voor het leveren van malware.

Hetzelfde geldt voor antivirusproducten, vertelde Will Dormann aan Envicom. VHD en VHDX zijn schijf kopieën, dus ze kunnen zich in elk bestand systeem bevinden dat wordt ondersteund door Windows.

Dit maakt het ontleden van de inhoud ingewikkelder dan in het geval van archieven, waarvoor standaard bibliotheken bestaan ​​om ze uit te pakken.

Stille malware uitvoering

Ontwijking detectie is eenvoudig, maar het lastige deel is om antivirus verdedigingen stil te houden bij het uitvoeren van de malware, en Poulsen heeft een manier gevonden om dit te doen.

In plaats van de afbeeldingen handmatig te monteren, automatiseerde de onderzoeker het proces. Hij gebruikte het ‘schijf deel’ opdracht regel programma voor schijf partitie dat bij Windows wordt geleverd.

Om de een of andere reden werkt dit niet met ‘schijf beheer’, wat een meer populaire keuze is. Beide tools vereisen beheerder rechten op het systeem.

Een hoofd script laadt een bestand met de opdracht om de virtuele schijf te selecteren op de locatie en deze te koppelen.

Poulsen heeft aanvullende instructies toegevoegd voor een vertraging van vijf seconden voordat de malware, een voorbeeld van Agent Tesla, in de VHD wordt uitgevoerd. Natuurlijk kunnen antivirusproducten, zodra de dreiging wordt uitgevoerd, de schadelijke activiteit zien en blokkeren.

Maar het doel van de test was om te controleren of malware die is ingesloten in een VHD-container het niet kan detecteren totdat het wordt uitgevoerd op het slachtoffer gastheer.

De beheerder rechten die nodig zijn om ‘schijf deel’ uit te voeren, zijn niet nodig een hindernis voor een tegenstander. Een kwetsbaarheid voor privilege escalatie kan deze rimpel wegwerken.

Poulsen bewijs-van-concept, maar toch ongepolijst, laat zien dat het planten van goed gedetecteerde malware op een computer zonder een alarm te activeren niet alleen potentieel is, maar ook doodgemakkelijk.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *