Aanvallers verspreiden backdoor via updateproces antivirussoftware eScan
Aanvallers hebben via het updatemechanisme van virusscanner eScan een onbekend aantal organisaties met backdoors en cryptominers geïnfecteerd. Dat laat antivirusbedrijf Avast weten. De antivirussoftware van eScan maakte standaard altijd via http verbinding voor het downloaden van updates. De aanvallers wisten door middel van een man-in-the-middle (mitm) aanval een malafide update bij aangevallen organisaties te verspreiden.
Vervolgens voert de virusscanner de malafide update uit en wordt het systeem geïnfecteerd. De updates werden wel gecontroleerd, maar via een malafide dll die gesideload werd kon de malware worden uitgevoerd. Hoe de aanvallers de mitm-aanval konden uitvoeren is onbekend, maar Avast denkt dat de aanvallers al toegang tot het systeem of het netwerk van de aangevallen organisatie hadden en zo het verkeer konden omleiden. Bij de aanval werden twee soorten backdoors ingezet, gericht op grote bedrijfsnetwerken.
Daarnaast worden besmette systemen geïnfecteerd met een cryptominer die de rekenkracht van de computer gebruikt voor het minen van cryptovaluta. Avast waarschuwde eScan. De virusbestrijder laat weten dat de nieuwste versies van de antivirussoftware gebruikmaken van https voor het downloaden van updates. Volgens Avast hebben de aanvallers mogelijk banden met een Noord-Koreaanse aanvalsgroep.
Leef je uit op een willekeurige Linux mirror .
Wat er ontbrak waren gesignde updates. Als je applicatie/updates/virusdefinities gesigned zijn hoef je geen moeite te doen om een betrouwbaar TLS update CDN te runnen.
Het nadeel van 'gewoon' TLS is dat je of enkele zelf beheerde centrale sites moet runnen - met bv DoS risico , of als je allerlei third-party CDNs gebruikt je steeds minder zekerheid hebt over de betrouwbaarheid van de operators ervan.
De linux distributies en hun updates zijn allemaal gesigned - die kun je gerust updaten van een HTTP mirror , en ongeacht wie die runt.
Je enige risico-moment is de allereerste installatie . Dat image moet je ophalen van een trusted site, of (handmatig) de hash ervan controleren bij de bron.
Die updates waren echter wel gesigneerd: was dat mechanisme hier dan kapot?
Inderdaad. Best pijnlijk. Wat zou de overweging zijn geweest om HTTP te blijven gebruiken. Gemakzucht? Naïviteit? In ieder geval lelijk.
Inderdaad. Best pijnlijk. Wat zou de overweging zijn geweest om HTTP te blijven gebruiken. Gemakzucht? Naïviteit? In ieder geval lelijk.
Nogmaals : kijk naar een willekeurige Linux distro. NIKS MIS MET HTTP .
Zolang de updates zelf gesigned zijn en gecontroleerd worden door de updater.
Die updates waren echter wel gesigneerd: was dat mechanisme hier dan kapot?
Is dat zo ? Met name - zijn de code-updates (en niet alleen de virus definities) gesigned ?
In de analyse van avast waar het artikel naar linkt zie ik niks staan over signing van de dll updates .
https://radar.avrotros.nl/artikel/virusscanner-avast-verkocht-privgegevens-miljoenen-nederlanders-zo-dien-je-een-claim-in-54647
https://radar.avrotros.nl/artikel/virusscanner-avast-verkocht-privgegevens-miljoenen-nederlanders-zo-dien-je-een-claim-in-54647
Hier was avast de partij die een analyse publiceerde en het probleem vond. De kwetsbare scanner was eScan
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.