Windows-hackingtools van NSA gelekt: is jouw pc besmet?
Het hackerscollectief de Shadowbrokers heeft de voorbije maand verschillende bestanden gelekt die afkomstig zouden zijn van de National Security Agency (NSA) van de Verenigde Staten. In de recentste documenten zitten exploits voor verschillende versies van Windows (Server) die door Hacker Fantastic worden beschreven als een “Microsoft-apocalyps”. Beveiligingsspecialisten zeggen dat de exploits goed geschreven zijn en vermoeden dat cybercriminelen de gelekte tools eveneens gebruiken. Uit onderzoek blijkt dat zo’n honderdduizend pc’s besmet zijn via de exploits.
This isn't a data dump, this is a damn Microsoft apocalypse. #0day #shadowbrokers
— hackerfantastic.crypto (@hackerfantastic) April 14, 2017
Doublepulsar
Veel van de exploits die in de gelekte documenten worden beschreven, maken gebruik van dezelfde payload, Doublepulsar genaamd. Deze payload dringt binnen in de kernel van een systeem en wordt gebruikt om willekeurige dll’s te injecteren. Cybercriminelen en de NSA kunnen hierdoor computers besmetten met malware, waarna ze de eigenaar van de besmette pc kunnen bespioneren.
BinaryEdge ontwikkelde een script waarmee het computers detecteert waarop Doublepulsar aanwezig is. Op 23 april telde de beveiligingsspecialist maar liefst 164.715 geïnfecteerde computers, wat zelfs voor de NSA een erg groot aantal is. Hoogstwaarschijnlijk hebben cybercriminelen de gelekte gegevens van de Shadowbrokers gebruikt om zelf met de hackingtools aan de slag te gaan. Gebruikers die hun pc niet van de recentste patches hebben voorzien, lopen hierdoor groot risico om malware op te lopen.
In zijn blogpost deelt BinaryEdge een top tien van landen met de meeste pc’s die getroffen zijn door de hackingtools. De Verenigde Staten prijkt met grote marge op nummer een, met maar liefst 67.052 besmette computers. Ook Nederland vind je terug in de lijst, met 1.479 besmettingen. In België zijn er daarentegen slechts 117 pc’s geïnfecteerd.
Infectie detecteren
Countercept, een andere beveiligingsfirma, deelt een script op GitHub dat je kan gebruiken om na te kijken of je pc geïnfecteerd is. Het script maakt gebruik van python2 en gaat op zoek naar verkeer afkomstig van Doublepulsar. Aangezien Doublepulsar communiceert met een command and control-server kan het script via deze weg de payload op het spoor komen.
Gelukkig is er een erg eenvoudige methode om Doublepulsar weer van je computer te krijgen. Doublepulsar schrijft immers geen bestanden op de computers die het infecteert. Hierdoor verdwijnt de kwaadaardige software van je pc wanneer je je systeem simpelweg heropstart. De malware die cybercriminelen eventueel met behulp van Doublepulsar op je pc installeren, krijg je daarentegen niet zomaar van je computer. Een goede antivirus is in dat geval noodzakelijk.
Patches
Voorkomen is beter dan genezen. Microsoft heeft daarom de nodige patches uitgerold om zijn klanten tegen het gevaar van Doublepulsar te beschermen. Wie zijn computer up-to-date houdt en gebruik maakt van Windows 7 of nieuwer, hoeft daarom niet langer te vrezen voor de gelekte hackingtools.
In een voorgaand artikel legt onze redacteur uit waarom de NSA waarschijnlijk Microsoft zelf van de exploits op de hoogte heeft gebracht. De timing van de patches zijn te perfect om op toeval te berusten. Bovendien staat de NSA er om bekend lekken te delen met bedrijven, wanneer het niet langer de enige is die de exploits kent. Over kwetsbaarheden die enkel gekend zijn bij de instantie zwijgt de NSA daarentegen in alle talen.
Het hackerscollectief de Shadowbrokers heeft de voorbije maand verschillende bestanden gelekt die afkomstig zouden zijn van de National Security Agency (NSA) van de Verenigde Staten. In de recentste documenten zitten exploits voor verschillende versies van Windows (Server) die door Hacker Fantastic worden beschreven als een “Microsoft-apocalyps”. Beveiligingsspecialisten zeggen dat de exploits goed geschreven zijn en vermoeden dat cybercriminelen de gelekte tools eveneens gebruiken. Uit onderzoek blijkt dat zo’n honderdduizend pc’s besmet zijn via de exploits.
This isn't a data dump, this is a damn Microsoft apocalypse. #0day #shadowbrokers
— hackerfantastic.crypto (@hackerfantastic) April 14, 2017
Doublepulsar
Veel van de exploits die in de gelekte documenten worden beschreven, maken gebruik van dezelfde payload, Doublepulsar genaamd. Deze payload dringt binnen in de kernel van een systeem en wordt gebruikt om willekeurige dll’s te injecteren. Cybercriminelen en de NSA kunnen hierdoor computers besmetten met malware, waarna ze de eigenaar van de besmette pc kunnen bespioneren.
BinaryEdge ontwikkelde een script waarmee het computers detecteert waarop Doublepulsar aanwezig is. Op 23 april telde de beveiligingsspecialist maar liefst 164.715 geïnfecteerde computers, wat zelfs voor de NSA een erg groot aantal is. Hoogstwaarschijnlijk hebben cybercriminelen de gelekte gegevens van de Shadowbrokers gebruikt om zelf met de hackingtools aan de slag te gaan. Gebruikers die hun pc niet van de recentste patches hebben voorzien, lopen hierdoor groot risico om malware op te lopen.
In zijn blogpost deelt BinaryEdge een top tien van landen met de meeste pc’s die getroffen zijn door de hackingtools. De Verenigde Staten prijkt met grote marge op nummer een, met maar liefst 67.052 besmette computers. Ook Nederland vind je terug in de lijst, met 1.479 besmettingen. In België zijn er daarentegen slechts 117 pc’s geïnfecteerd.
Infectie detecteren
Countercept, een andere beveiligingsfirma, deelt een script op GitHub dat je kan gebruiken om na te kijken of je pc geïnfecteerd is. Het script maakt gebruik van python2 en gaat op zoek naar verkeer afkomstig van Doublepulsar. Aangezien Doublepulsar communiceert met een command and control-server kan het script via deze weg de payload op het spoor komen.
Gelukkig is er een erg eenvoudige methode om Doublepulsar weer van je computer te krijgen. Doublepulsar schrijft immers geen bestanden op de computers die het infecteert. Hierdoor verdwijnt de kwaadaardige software van je pc wanneer je je systeem simpelweg heropstart. De malware die cybercriminelen eventueel met behulp van Doublepulsar op je pc installeren, krijg je daarentegen niet zomaar van je computer. Een goede antivirus is in dat geval noodzakelijk.
Patches
Voorkomen is beter dan genezen. Microsoft heeft daarom de nodige patches uitgerold om zijn klanten tegen het gevaar van Doublepulsar te beschermen. Wie zijn computer up-to-date houdt en gebruik maakt van Windows 7 of nieuwer, hoeft daarom niet langer te vrezen voor de gelekte hackingtools.
In een voorgaand artikel legt onze redacteur uit waarom de NSA waarschijnlijk Microsoft zelf van de exploits op de hoogte heeft gebracht. De timing van de patches zijn te perfect om op toeval te berusten. Bovendien staat de NSA er om bekend lekken te delen met bedrijven, wanneer het niet langer de enige is die de exploits kent. Over kwetsbaarheden die enkel gekend zijn bij de instantie zwijgt de NSA daarentegen in alle talen.