Products and Services PRODUCTS & SERVICES

Feitjes Vrijdag #6 – Malware ontleed: “Baldr vs The World”

De wereld van kwaadaardige software is een spiegelend universum voor de wereld van legitieme software.

Een deel van de software is zeer goed (in slecht zijn) en het andere deel van de software is heel slecht (wat goed is), en onder dit geheel hangt een leger aan mensen: software ontwikkelaars, sales en marketing mensen, distributeurs, support, et cetera.

En, zoals nieuw onderzoek van SophosLabs ons eraan herinnert, waar mensen naartoe gaan, gaan ook hun menselijke interesse en menselijke tekortkomingen mee.

Het onderzoek in kwestie gaat over Baldr, een nieuwkomer in de wereld van illegale software welke SophosLabs op de voet heeft gevolgd sinds januari.

In simpele woorden, Baldr is een wachtwoord steler, hoewel het in werkelijkheid meer een willekeurige malware dief is met interesse in alles wat hij kan meenemen. Het zou je horloge stelen als het kon.

Achter dit onderzoek zit een belangrijk team aan mensen. De zeer gewaardeerde onderzoekers van SophosLabs wiens taak het is om hun mouwen op te stropen en erachter te komen wat malware doet en hoe het te stoppen is, nadat hun algoritmes zich zo ver mogelijk in de processen hebben geworsteld om onderzoeksresultaten te behalen.

In het geval van Baldr, is het harde werken naar resultaten al vroeg begonnen. In een poging om malware-analisten te frustreren, verbergt de malware zijn geheimen onder verschillende lagen waardoor het heel onduidelijk wordt, dus moesten de SophosLabs techneuten het manueel spelen.

Als je de pech hebt om de Baldr malware op je systeem te krijgen, zal de malware alles grijpen wat ook maar een beetje lijkt op informatie waar bruikbare en waardevolle data aan verbonden is. Ga er niet vanuit dat wij als Benelux regio maar klein zijn en niet geraakt worden, want zoals je kan zien in onderstaande via zijn wij wel degelijk een onderdeel van de targeting van Baldr.

Hoe gaat het in zijn werking?

Het begint met het maken van een profiel van je systeem: het verzamelt eerst veel informatie over de computer, zoals het CPU-model, besturingssysteem, systeemtaal, schermresolutie, geïnstalleerde programma’s en favoriete kleur (dat laatste vat de malware uiteraard niet samen, maar het zou het wel kunnen als het zou willen).

 

 

 

 

 

 

 

 

 

 

Vervolgens doorzoekt het je webbrowsers, waar het opgeslagen inloggegevens opspoort, creditcard informatie, cookies, de domeinen die je bezocht hebt en je zoek geschiedenis.

Daarna pakt het alle FTP-aanmeldingen die het vindt en steelt het inloggegevens van de instant messaging clients en VPN’s van je computer.

Als je op je computer cryptocurrency hebt staan, weet Baldr hoe hij dit kan plunderen uit een reeks verschillende portefeuilles. Het stopt alle gegevens in een gecodeerd bestand en plaatst het via HTTP naar een C2-server (Command & Control), voordat het zichzelf verwijdert in een poging om zijn sporen te verbergen.

Als je denkt dat het niet schadelijker kan…

Dat klinkt al schadelijk genoeg, maar Baldr kan ook worden gebruikt om andere malware van zijn C2-server te downloaden.

Onze kennis van Baldr en zijn C2 infrastructuur werd onbedoeld bijgestaan door een tweede groep mensen naast de SophosLabs onderzoeks: de klanten van Baldr. Om aan te geven dat datalekken in de cloud een spel zijn dat iedereen kan spelen, gaven hun slordige admin vaardigheden SophosLabs een zeer nauwkeurig beeld van de back-end van de malware.

Met een kopie van de C2-code konden de mensen in het lab meer leren over de strategie en motivaties van de malware-auteurs. Ook leerden ze iets over de codeervaardigheden van enkele ontwikkelaars van Baldr en vonden voldoende beveiligingsfouten om te concluderen dat de admin console ‘kwetsbaar is voor een aantal aanvallen’.

Helaas is Baldr geen grap en zijn er genoeg Baldr-operators die weten wat ze doen om een belangrijke bedreiging te vormen. Dit, ondanks de inspanningen van de mensen rond Baldr

De makers van Baldr lijken ruzie te hebben gehad met een van hun grotere distributeurs, en terwijl dit verhaal de pers in is gegaan, lijkt de primaire distributeur gestopt te zijn met het samenwerken met de Baldr ontwikkelaars. Op basis van de aard van dit type criminele bedrijvigheid, wordt vermoed dat Baldr opnieuw te koop zal worden aangeboden, waardoor de distributieproblemen maar van tijdelijke aard zijn.