Een Russisch softwarebedrijf heeft een nieuwe tool gepresenteerd om versleutelde harde schijven toch te kunnen uitlezen. De Elcomsoft Forensic Disk Decryptorbiedt toegang tot informatie op schijven die met BitLocker, PGP en TrueCrypt versleuteld zijn. Naast het uitvoeren van allerlei brute-force aanvallen is de voornaamste methode voor het achterhalen van de encryptiesleutels het uitlezen van geheugendumps. 

"De voornaamste en enige zwakte van versleutelde containers is de menselijke factor. Naast zwakke wachtwoorden, moeten versleutelde volumes worden aangekoppeld voor de gebruiker om toegang tot de versleutelde gegevens te hebben. Niemand wil elke keer zijn lange, complexe wachtwoorden intikken als ze een bestand willen lezen of schrijven", zegt Vladimir Katalov op het Elcomsoft-blog. 

Dump
Volgens het softwarebedrijf zijn de sleutels via geheugendumps te achterhalen. Voor het maken van deze dumps zijn verschillende forensische tools beschikbaar, maar zou ook een FireWire-aanval zijn te gebruiken in het geval de computer is uitgeschakeld. De Disk Decryptor kan namelijk de encryptiesleutels ook uit het hibernation-bestand halen. 

"Het is belangrijk dat versleutelde volumes zijn aangekoppeld op het moment de geheugendump wordt verkregen of de computer in slaapstand gaat, anders worden de encryptiesleutels vernietigd en kan de inhoud van de versleutelde volumes niet zonder het originele wachtwoord worden ontsleuteld. 

Snelheid
Is de geheugendump succesvol, dan kan de Disk Decryptor de versleutelde schijf als een schijfletter op het systeem van de onderzoeker aankoppelen. Daardoor kunnen allerlei andere forensische tools er snel en eenvoudig toegang toe krijgen. 

"Dit lijkt misschien niet veilig, en mag door bepaald beleid niet worden toegestaan, maar soms is snelheid en gemak alles", stelt Katalov. De Disk Decryptor kost omgerekend 225 euro.

Bron: security.nl

Cybercriminelen die honderdduizenden systemen in Nederland en Duitsland konden aansturen via het Pobelka-botnet, waren niet alleen inlogdata aan het inzamelen, maar ook informatie over de structuur van interne netwerken. Deze informatie kan ingezet worden voor vervolgaanvallen.

Dat concluderen SurfRight en Digital Investigation in een onderzoek naar het Citadel-malwareplatform en het Pobelka-botnet dat gebruik maakt van Citadel. Aanleiding voor de research naar de schadelijke software was een malware-aanval via de website van De Telegraaf. De onderzoekers kwamen al snel uit op een command-and-control-server die verder is onderzocht. Daaruit bleek dat het Pobelka-botnet meer dan 264.000 zombies telde die vooral in Nederland en Duitsland waren te vinden. Niet alleen computers van bedrijven waren veelal onopgemerkt besmet geraakt, maar ook veel overheidssystemen.

Uit een analyse van gestolen data bleek dat de aanvallers met buitgemaakte inloggegevens op webpagina's van onder andere uitgevers konden inloggen om zo kwaadaardige code die naar malware verwees te kunnen plaatsen. Er werden onder andere logingegevens aangetroffen voor systemen van De Telegraaf. Ook via de sites van Weeronline.nl en RTV West werd de afgelopen maanden malware verspreid. Verder werd op de command-and-control-server configuratiedata aangetroffen om geld te stelen bij drie Nederlandse banken: ING, ABN Amro en ASN Bank.

Volgens Surfright en Digital Investigation had het Pobelka-botnet niet alleen koppelingen met de Dorifel-malware, een virus dat onder andere bij de overheid voor problemen zorgde, maar de criminelen zouden het botnet ook gebruikt hebben om interne netwerken en alle aangesloten apparatuur in kaart te brengen. Deze informatie zou doorverkocht kunnen zijn aan derden, bijvoorbeeld schurkenstaten, zo stellen de schrijvers van het onderzoek. Concreet bewijs wordt daarvoor echter niet aangedragen.

De Citadel-malware, een compleet malwareplatform dat voor enkele duizenden dollar op de zwarte markt te koop is en van professionele support voorzien kan worden, blijkt vernuftig in elkaar te steken. De malware kan zich goed verstoppen voor vrijwel alle gangbare antivirussoftware en het weet zich in alle bekende browsers te nestelen. Dat cybercriminelen met het op Citadel gebaseerde Pobelka-botnet zo gericht, ongemerkt en op grote schaal in Nederland konden opereren, is volgens de onderzoekers dan ook te danken aan de geraffineerde en professionele wijze waarop de Citadel-malware is opgebouwd.

bron: tweakers.net

Van de 300 miljoen Android-toestellen zijn er 1 miljoen met malware geïnfecteerd, aldus Amerikaanse onderzoekers. Dan Guido, CEO van Trail of Bits en onderzoeker Mike Arpaia lanceerden het Mobile Exploit Intelligence Project, waarbij ze mobiele malware onderzochten. Het onderzoek liep van december 2011 tot maart 2012. In totaal werden zo'n 100 aanvalscampagnes ontdekt. 

Deze 100 aanvallen werden uitgevoerd door 81 unieke malware-exemplaren. Van deze 81 exemplaren probeerden er slechts 16 root-rechten te krijgen en het toestel volledig over te nemen. "Het verhogen van rechten is de eenvoudigste route voor aanvallers om je gegevens te stelen', laat Guido tegenover BizTechMagazine weten. "En het helpt dat alle code om dat te doen zo goed als gratis kunnen krijgen." 

Exploits
Alle aanvallen die de onderzoekers in het wild tegenkwamen gebruikten slechts drie unieke exploits om de kwaadaardige app meer rechten te geven, en alle drie zijn door één enkele auteur gedocumenteerd. 

Het aantal malware-exemplaren lijkt klein in verhouding met die van andere platformen, zoals Windows. Volgens Guido moet het echter anders worden gezien. "Ons onderzoek heeft aangetoond dat van de 300 miljoen Android-toestellen die er zijn, er op ongeveer een miljoen malware is aangetroffen. Dat is een behoorlijk aantal." 

Veel Android-toestellen gebruiken nog de oudere Gingerbread-versie van het Android-platform, die al sinds 9 februari 2011 bestaat.

Bron: Security.nl