Zephyrnet-logo

Onderzoekers verkennen Hacking VirusTotal om gestolen referenties te vinden

Datum:

Beveiligingsonderzoekers hebben een methode gevonden om grote hoeveelheden gestolen gebruikersgegevens te verzamelen door zoekopdrachten uit te voeren op VirusTotal, de online service die wordt gebruikt om verdachte bestanden en URL's te analyseren.

Met een VirusTotal-licentie van € 600 (ongeveer $ 679) en een paar tools verzamelde het SafeBreach-onderzoeksteam meer dan een miljoen referenties met behulp van deze techniek. Het doel was om de gegevens te identificeren die een crimineel zou kunnen verzamelen met een licentie voor VirusTotal, dat eigendom is van Google en een gratis service biedt die kan worden gebruikt om verdachte bestanden en links te uploaden en te controleren met behulp van verschillende antivirusprogramma's.

Een gelicentieerde gebruiker op VirusTotal kan de dataset van de service doorzoeken met een combinatie van zoekopdrachten voor onder andere bestandstype, bestandsnaam, ingediende gegevens, land en bestandsinhoud. Het SafeBreach-team creëerde het idee van "VirusTotal-hacking" op basis van de methode "Google-hacking", die criminelen gebruiken om te zoeken naar kwetsbare websites, Internet of Things-apparaten, webshells en gevoelige gegevenslekken.

Veel informatiedieven verzamelen inloggegevens van verschillende forums, e-mailaccounts, browsers en andere bronnen, en schrijven deze naar een vaste hardcoded bestandsnaam - bijvoorbeeld "all_credentials.txt" - en exfiltreren dit bestand vervolgens van het apparaat van het slachtoffer naar de aanvallers ' command-and-control-server. Met behulp van deze methode hebben onderzoekers VirusTotal-tools en API's zoals zoeken, VirusTotal Graph en Retrohunt gebruikt om bestanden te vinden die gestolen gegevens bevatten.

"Het is een vrij rechttoe rechtaan techniek, waarvoor geen diepgaande kennis van malware vereist is", zegt Tomer Bar, directeur beveiligingsonderzoek bij SafeBreach. "Het enige dat u hoeft te doen, is een van de meest voorkomende info-stealers kiezen en er online over lezen."

De onderzoekers voerden hun onderzoek uit met bekende malware, waaronder RedLine Stealer, Azorult, Raccoon Stealer en Hawkeye, evenals bekende forums zoals DrDark en Snatch_Cloud om gevoelige gegevens te stelen. Ze ontdekten dat hun methode op schaal werkt.

RedLine Stealer is een vorm van malware die op ondergrondse forums wordt verkocht via een zelfstandige aankoop of abonnement. Het gebruikt browsers om gegevens te verzamelen, zoals opgeslagen inloggegevens, gegevens voor automatisch aanvullen en creditcardgegevens. Wanneer het op een doelmachine draait, neemt de malware een systeeminventaris op die informatie bevat zoals gebruikersnaam, locatiegegevens, hardwareconfiguratie en de details van beveiligingssoftware. RedLine Stealer kan bestanden uploaden en downloaden en opdrachten uitvoeren.

Om te beginnen gebruikten de onderzoekers VirusTotal Query om te zoeken naar binaire bestanden die door ten minste één antivirusengine als RedLine werden geïdentificeerd, wat 800 resultaten opleverde. Ze zochten ook naar bestanden met de naam DomainDetects.txt, een van de bestandsnamen die de malware exfiltreert. Dit leverde honderden geëxfiltreerde bestanden op.

Vervolgens wendden ze zich tot VirusTotal Graph, waarmee gelicentieerde VirusTotal-gebruikers de dataset visueel kunnen verkennen. Daar ontdekten de onderzoekers dat een bestand uit hun zoekresultaten ook was opgenomen in een RAR-bestand met geëxfiltreerde gegevens van 500 slachtoffers - waaronder 22,715 wachtwoorden voor veel verschillende websites. Bijkomende resultaten waren onder meer nog grotere bestanden, die meer wachtwoorden bevatten. Sommige waren voor overheidsgerelateerde URL's, merkten de onderzoekers op.

Het proces van de onderzoekers voor het gebruik van elk van deze tools is gedetailleerd in een verslag van hun bevindingen.

De "perfecte" cybercriminaliteit
Hoewel er tal van info-stealers zijn om uit te kiezen, kozen de onderzoekers vijf veelgebruikte exemplaren vanwege hun grotere kans om door hen geëxfiltreerde bestanden in de VirusTotal-dataset te vinden.

Het SafeBreach-team leerde en verbeterde zijn zoekopdrachten tijdens het verkennen van VirusTotal, zegt Bar. Ze ontdekten bijvoorbeeld dat sommige aanvallers de gegevens van slachtoffers comprimeren in een groot archiefbestand. VirusTotal biedt een manier om te zoeken naar archiefbestanden met vaste hardgecodeerde bestandsnamen, dus als ze een enkel bestand vonden, vonden ze ook gestolen gegevens van honderden slachtoffers, legt hij uit.

"Een crimineel die deze methode gebruikt, kan met zeer weinig inspanning in korte tijd een bijna onbeperkt aantal inloggegevens en andere gebruikersgevoelige gegevens verzamelen met behulp van een infectievrije aanpak", schreven onderzoekers in hun blogpost. "We noemden het de perfecte cybercriminaliteit, niet alleen vanwege het feit dat er geen risico is en de inspanning erg laag is, maar ook vanwege het onvermogen van slachtoffers om zichzelf te beschermen tegen dit soort activiteiten."

De onderzoekers benaderden Google met hun bevindingen en vroegen de bestanden met persoonlijke gegevens op bij VirusTotal. Ze adviseerden ook om periodiek bestanden met gevoelige gebruikersgegevens te zoeken en te verwijderen en API-sleutels te verbieden die die bestanden uploaden. 

SafeBreach adviseerde Google ook om een ​​algoritme toe te voegen dat het uploaden van bestanden met gevoelige gegevens die platte tekst bevatten, of versleutelde bestanden met het decoderingswachtwoord als bijlage, in tekst of een afbeelding verbiedt.

Bron: https://www.darkreading.com/threat-intelligence/researchers-explore-hacking-virustotal-to-find-stolen-credentials

spot_img

Laatste intelligentie

spot_img