Hydraq Trojan
De Hydraq Trojan (ook Trojan.Hydraq genoemd) is een standaard backdoor trojan horse.[1] Het is een soort malware dat de mensen voor het eerst te zien kregen begin het jaar 2010. Dit virus verwierf mediabekendheid doordat het gebruikt werd als wapen in de cyberaanval: Operation Aurora. De hackers hadden in Operation Aurora grote organisaties als doelwit, waaronder Google. Ze voerden een zero-day attack uit op een beveiligingslek in Internet Explorer om toegang te krijgen tot de computersystemen van verscheidene bedrijven waarop men malware installeerden. De Hydraq Trojan was dan in staat om intellectuele eigendom te stelen en door te sturen naar een externe server.[2]
| Hydraq Trojan | ||||
|---|---|---|---|---|
| Basisinformatie | ||||
| Technische naam | TROJ_HYDRAQ.A [Trend] Win32/Aviror.B [Computer Associates] | |||
| Type | Trojan | |||
| Bestandsgrootte | 81,920 bytes | |||
| Aangetaste systemen | Windows 2000 Windows 7 Windows Server 2003 Windows Server 2008 Windows Vista Windows XP | |||
| Ontdekking | 11 januari 2010 | |||
| Update | 11 januari 2010 14:59:20 | |||
| Dreigingsanalyse | ||||
| Niveau | Laag | |||
| Aantal besmettingen | 0 - 49 | |||
| Aantal websites | 0- 2 | |||
| Verspreiding | Laag | |||
| Bedreiging beheersen | Makkelijk | |||
| Verwijdering | Makkelijk | |||
| Schade | ||||
| Schadeniveau | Middelmatig | |||
| Functie | Opent een achterdeur in de aangetaste computer | |||
| Verspreiding | ||||
| Verspreidingsgraad | Laag | |||
| ||||
Functie
bewerkenOp basis van de functionaliteit van deze trojan, kan er verondersteld worden dat het de bedoeling is om een "achterpoortje" te openen in de aangetaste computers. Via deze weg kan de hacker alle nodige informatie stelen dat te vinden is op die computer. Eens de Hydraq Trojan geïnstalleerd is op een bedrijfsnetwerk, kunnen ze meer dan één computer aantasten. De hoeveelheid informatie dat dan wordt gestolen, zal veel groter zijn dan gedacht[1].
De hackers volgden, bij het Hydraq Trojan-incident, dezelfde modus operandi zoals bij de meeste aanvallen. Er wordt een e-mail verstuurd naar een individu, of een kleine groep individuen, in een organisatie. Ze zorgen ervoor dat de e-mail er legitiem uitziet door deze e-mail te verzenden via een e-mailadres dat ze kennen. Om de malware te kunnen installeren, moet men zorgen dat het individu de link of de bijlage opent. Wanneer hij dit opent, wordt de malware geïnstalleerd op de computer.[1]
Capaciteiten
bewerkenHet "achterpoortje" laat de hacker toe om de volgende activiteiten uit te voeren:
- Aanpassen van de tokenprivileges.
- Status, besturing, end-processen en services controleren.
- Creëren, aanpassen, en verwijderen van registersubkeys.
- Ophalen van een lijst met partities.
- Lezen, schrijven, uitvoeren, kopiëren, attributen veranderen en/of verwijderen van bestanden.
- Herstarten en uitschakelen van de computer.
- Vanzelf deïnstalleren door het verwijderen van de subkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[FOUR RANDOM CHARACTERS].
- Informatie verzamelen over de aangetaste computers, zoals:
- Client-IP
- Computernaam
- Informatie over de versie van het besturingssysteem
- Processorsnelheid
- Grootte RAM-geheugen (in MB)
- Wissen van alle gebeurtenislogboeken.
- Controleren of %System%\acelpvc.dll aanwezig is. Indien wel, dan laadt het het DLL-bestand en wijzigt het.
- Controleren of %System%\VedioDriver.dll aanwezig is.
- Openen, lezen, en verwijderen van het bestand %System%\drivers\etc\networks.ics.
- Download een extern bestand, sla het op als %Temp%\mdm.exe, en voer het uit.[1]
Het laatste item, in de bovenstaande lijst, maakt het mogelijk om updates en/of andere kwaadaardige software te installeren op de aangetaste computer. Men weet dat een van de onderdelen van deze trojan is gebaseerd op de code van VNC. Door dit onderdeel heeft de hacker de mogelijkheid om een live-feed van een desktop te streamen naar een externe computer. De hacker kan op deze manier de activiteiten van elke gebruiker real-time observeren.[1]
Heden
bewerkenIn 2012 zijn er nieuwe Hydraq Trojan-aanvallen ontdekt en dezelfde manier om computers te infecteren wordt gebruikt zoals de vorige generatie. Symantec beweert dat Hydraq Trojan nooit is weggeweest. Echter, in tegenstelling tot de aanvankelijke aanvallen, waren deze gericht op organisaties binnen de VS. De nieuwe aanvallen hebben minstens twintig verschillende landen als doelwit. "De instanties als doelwit zijn ofwel degenen die intellectuele eigendom bezitten, of die kunnen worden gebruikt als aanwinst in de toekomstige malwarecampagnes. Zelfs als een organisatie zichzelf als immuun beschouwt, konden ze worden aangetast om de aanvallers te helpen in hun campagnes", waarschuwde de blog.[2]
Zie ook
bewerkenExterne link
bewerken- ↑ a b c d e (en) Symantec (2010) - The Trojan.Hydraq Incident. Gearchiveerd op 8 mei 2019.
- ↑ a b (en) Infosecurity Magazine (2012) - Hydraq trojan is back (well, it never went away)