Jaarlijks passeert er heel wat malware de revue. Het ene stukje kwaadaardige code is al interessanter dan het andere. In mijn zoektocht naar de nieuwste bedreigingen kwam ik het afgelopen jaar vijf specimen tegen die zich onderscheiden van de rest, soms omwille van hun succes, soms omwille van lachwekkende incompetentie.
Beste komische aanvaller
In mei 2017 kregen werknemers van olie- en energiebedrijven over de hele wereld e-mails binnen waarvan de bijlages uitstekend verstopte malware bevatten. De mail in kwestie zag er uit alsof hij verstuurd was vanuit een groot oliebedrijf in Saudi Arabië. Voor de ontvangers leek het bericht bijgevolg afkomstig van een betrouwbare bron. De bijlage zelf, een eenvoudig Word-document, wekte op het eerste zicht evenmin argwaan.
Wie het document echter opende, liet twee venijnige stukken malware toe in zijn systeem. Een keylogger met de naam Hawkeye. En een trojan gekend onder de noemer Netwire. Gewapend met verregaande toegang tot geïnfecteerde systemen, kon de crimineel achter de aanval in theorie een aardig centje bijverdienen.
We kwamen de malware in kwestie vrij snel op het spoor. Net zoals andere malafide software kon de verantwoordelijke de malware bedienen via een ‘command en control’-server. De inloggegevens waarmee de malware verbinding maakte met die SMTP-server, waren echter leesbaar in de code. Dat maakte het wel heel eenvoudig voor een onderzoeker om zelf in te loggen op de server.
Het viel al snel op dat vooral bedrijven in het Midden Oosten waren getroffen. In totaal viseerde de aanval 4.000 organisaties, met tientallen succesvolle infecties tot gevolg.
Het meesterbrein achter de aanval gaat lopen met de Cyber Oscar voor beste komische aanvaller, net omdat hij achteraf gezien toch niet al te verstandig bleek. Om te beginnen was de aanval opgebouwd met vrij te verkrijgen malware. Een abonnement op de gebruikte code kost amper 50 dollar. Vervolgens bleek de aanvaller erin geslaagd ook zijn eigen machine met de malware te infecteren. Tot slot liet de trojan toe om via de command en control-server screenshots te nemen.
Onze onderzoekers bemachtigen al snel een screenshot van ene mijnheer S.O uit Nigeria, die inlogde op z’n eigen Facebookprofiel. De slogan op dat profiel: Get rich or die trying. Cool.
Check Point gaf de schuldige aan bij de Nigeriaanse overheid, die geen actie ondernam.
Beste campagne in een vreemde taal
De Oscar voor de beste malwarecampagne in een vreemde taal gaat naar China, waar de Chinese overheid gelukkig meer actie ondernam dan de Nigeriaanse. Negen mensen vlogen daar de gevangenis in nadat ze de browser-hijacker Fireball hadden verspreid. Fireball stuurde browserverkeer om langs een eigen zoekmachine, die op zijn beurt een tracking pixel toevoegde aan de browser, samen met een backdoor trojan.
De hijacker zat gebundeld in freeware van Rafotech, een bedrijf waarvan de website mysterieus verdween toen de malware werd ontdekt. Rafotech probeerde adverteerders binnen te halen door uit te pakken met zijn immense bereik. Dat dit bereik van gehackte gebruikers kwam, vermeldde de firma er niet bij.
In totaal bereikte de infectie naar schatting 50 tot 250 miljoen machines, goed voor 20 procent van de bedrijfsnetwerken. Of de schuldigen zullen genieten van hun winst in de Chinese gevangenis, valt te betwijfelen.
Beste korte campagne
WannaCry is ongetwijfeld de sterspeler van de afgelopen tijd. De WannaCry-infectie begon met het lek van de EternalBlue-kwetsbaarheid vanuit een NSA-server. In april 2017 maakten de Shadow Brokers het lek publiek, en in mei startte de WannaCry-campagne. De verspreiding ging aanvankelijk als een lopend vuurtje, tot een beveiligingsonderzoeker gekend onder de naam Malwaretech een stopknop ontdekte in de WannaCry-malware zelf. Voordat het cryptovirus de computer van een slachtoffer versleutelde, contacteerde het een niet geregistreerd domein. Door simpelweg het domein wel te registreren neutraliseerde Malwaretech het virus.
Na de initiële aanval volgden er nog enkele golven met telkens een gelijkaardige stopknop ingebouwd, waardoor WannaCry na zijn explosieve start nooit meer echt tractie kon vinden. Een Oscar is gezien de snelle en totale impact desalniettemin terecht.
Beste techniek
De cryptocurrency-miners winnen een gezamenlijke Oscar voor beste techniek. Ze slagen er in om de hardware van hun slachtoffers te misbruiken om digitale munten te ‘minen’. Omdat Bitcoin minen te traag gaat, mikken ze meestal op Monero. De twee vectoren zijn erg populair. Met de eerste meer traditionele aanval wordt een systeem besmet met een uitvoerbaar bestand, dat vervolgens alle beschikbare rekenkracht inzet om te minen voor rekening van de hackers. De EternalBlue-exploit waarvan WannaCry gebruik maakte, wordt ook door dergelijke infecties uitgebuit.
Het tweede type aanval draait gewoon in je browser. Aan de hand van Javascript dat op een website draait, wordt je pc zo ingezet om geld te minen wanneer je bepaalde pagina’s bezoekt. In één specifiek geval ontdekten we een besmette website die je computer misbruikte via Javascript om te minen, terwijl er via een drive by download een exe werd geladen om verder te minen als je de site zou afsluiten. Cryptominers zijn in korte tijd zo groot en populair geworden, dat ze de Oscar dubbel en dik verdienen.
Beste malware in een ondersteunende rol
De laatste van onze Oscars gaat naar het Mirai-botnet. Mirai richtte zich volledig op de overname van IoT-toestellen. Dat deed het niet door één of andere fantastisch slimme kwetsbaarheid uit te buiten, maar door gewoon te profiteren van de laakbare beveiliging van veel IoT-toestellen.
Het botnet dat Mirai kon samenstellen was gigantisch, en bleek groot genoeg om delen van het internet voor korte tijd offline te halen (onder andere door een aanval op DNS-provider Dyn). De bouwer vond er uiteindelijk niet beter op dan de broncode voor Mirai vrij te geven, waardoor er intussen tal van kopieën bestaan. Eén succesvolle kopie werd zelfs gebouwd door een crimineel die vooraf ‘hoe bouw ik een botnet’ had gezocht via Google. Wederom geen genie dus. Mirai toonde wel aan hoe gevaarlijk een groot botnet kan zijn, zelfs wanneer het niet uit traditionele computers bestaat.
Christof Jacques, Senior Security Engineer bij Check Point
