click tracking

Nieuwe malware ontdekt

Een dochterbedrijf van Cisco, Talos Security Intelligence, heeft een zeer geavanceerde vorm van malware ontdekt.
cisco malwareEigenlijk is de malware, genaamd Rombertik, ronduit eng te noemen.
De ontwerpers hebben Rombertik namelijk een aantal zeer offensieve en defensieve mogelijkheden
meegegeven. De malware is onder andere in staat om detectie te voorkomen door de MBR te vernietigen.

Analyseren van Rombertik lijkt bijna onmogelijk

Rombertik verspreidt zich zoals een iedere andere gangbare vorm van browsermalware, door zich in een browser te nestelen.Daarvandaan neemt Rombertik allerlei persoonlijke logingegevens en privacy gevoelige informatie over. De vergaarde informatie wordt doorgestuurd naar servers die de informatie op hun beurt weer doorsturen. Dit maakt Rombertik niet speciaal. De meeste vormen van malware werken namelijk zo.

RombertikWat Rombertik zo geavanceerd maakt en onderscheidt van gangbare vormen van malware, is de manier waarop Rombertik zich verzet tegen pogingen om de malware te analyseren of te debuggen. Rombertik is in staat om te waar te nemen dat men het aan het analyseren of debuggen is. Tevens is de malware in staat om de master boot record te vernietigen. De master boot record is noodzakelijk om een computer te doen opstarten.
Er kan alleen nog gebruik te kunnen maken van de computer door opnieuw een besturingssysteem te installeren, waarmee ook een ieder spoor van Rombertik verwijderd wordt. Als de de malware geen toegang krijgt tot de MBR om deze te vernietigen omdat een systeem goed beveiligd is, dan wordt de hele home folder versleuteld met een willekeurige RC4 sleutel.

Simpel analyseren is niet mogelijk

Rombertik heeft door wanneer men middels analysetools in een virtuele omgeving probeert te achterhalen hoe de nieuwe vorm van malware precies werkt. De malware dan voert extreem veel opdrachten uit, waardoor analyse tools totaal worden overladen met overbodige data. Even simpel de logs nakijken om te zien wat Rombertik precies doet is dus niet mogelijk, binnen een mum van tijd worden er een logbestanden gecreëerd van meer dan 100 Gigabytes aan nietszeggende data. Een dergelijk log napluizen is onbegonnen werk.

Wie zit erachter deze malware?

Malware van dit niveau wordt niet gemaakt door een eenzame programmeur achter een huis, tuin en keuken PC.
Het is mogelijk dat cybercriminelen Rombertik hebben ontwikkeld. Gezien de tijd en moeite die in de ontwikkeling van de malware is gestoken is ook dat niet erg waarschijnlijk, cybercriminelen komen met simpelere malware sneller waar ze willen zijn. Het is zeer aannemelijk dat een overheid Rombertik heeft ontwikkeld maar waarom is niet duidelijk, er is namelijk nog niet bekend gemaakt wat de nieuwe vorm van malware exact kan. De manier waarop de malware detectie probeert te vermijden is in elk geval ongeëvenaard. Huidige antivirusprogramma’s zijn nog niet voorbereidt op Rombertik.