De Hydraq Trojan (ook Trojan.Hydraq genoemd) is een standaard backdoor trojan horse.[1] Het is een soort malware dat de mensen voor het eerst te zien kregen begin het jaar 2010. Dit virus verwierf mediabekendheid doordat het gebruikt werd als wapen in de cyberaanval: Operation Aurora. De hackers hadden in Operation Aurora grote organisaties als doelwit, waaronder Google. Ze voerden een zero-day attack uit op een beveiligingslek in Internet Explorer om toegang te krijgen tot de computersystemen van verscheidene bedrijven waarop men malware installeerden. De Hydraq Trojan was dan in staat om intellectuele eigendom te stelen en door te sturen naar een externe server.[2]

Hydraq Trojan
Basisinformatie
Technische naam TROJ_HYDRAQ.A [Trend]
Win32/Aviror.B [Computer Associates]
Type Trojan
Bestandsgrootte 81,920 bytes
Aangetaste systemen Windows 2000
Windows 7
Windows Server 2003
Windows Server 2008
Windows Vista
Windows XP
Ontdekking 11 januari 2010
Update 11 januari 2010 14:59:20
Dreigingsanalyse
Niveau Laag
Aantal besmettingen 0 - 49
Aantal websites 0- 2
Verspreiding Laag
Bedreiging beheersen Makkelijk
Verwijdering Makkelijk
Schade
Schadeniveau Middelmatig
Functie Opent een achterdeur in de aangetaste computer
Verspreiding
Verspreidingsgraad Laag
Portaal  Portaalicoon   Computer
Informatica

Functie

bewerken

Op basis van de functionaliteit van deze trojan, kan er verondersteld worden dat het de bedoeling is om een "achterpoortje" te openen in de aangetaste computers. Via deze weg kan de hacker alle nodige informatie stelen dat te vinden is op die computer. Eens de Hydraq Trojan geïnstalleerd is op een bedrijfsnetwerk, kunnen ze meer dan één computer aantasten. De hoeveelheid informatie dat dan wordt gestolen, zal veel groter zijn dan gedacht[1].

De hackers volgden, bij het Hydraq Trojan-incident, dezelfde modus operandi zoals bij de meeste aanvallen. Er wordt een e-mail verstuurd naar een individu, of een kleine groep individuen, in een organisatie. Ze zorgen ervoor dat de e-mail er legitiem uitziet door deze e-mail te verzenden via een e-mailadres dat ze kennen. Om de malware te kunnen installeren, moet men zorgen dat het individu de link of de bijlage opent. Wanneer hij dit opent, wordt de malware geïnstalleerd op de computer.[1]

Capaciteiten

bewerken

Het "achterpoortje" laat de hacker toe om de volgende activiteiten uit te voeren:

  • Aanpassen van de tokenprivileges.
  • Status, besturing, end-processen en services controleren.
  • Creëren, aanpassen, en verwijderen van registersubkeys.
  • Ophalen van een lijst met partities.
  • Lezen, schrijven, uitvoeren, kopiëren, attributen veranderen en/of verwijderen van bestanden.
  • Herstarten en uitschakelen van de computer.
  • Vanzelf deïnstalleren door het verwijderen van de subkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[FOUR RANDOM CHARACTERS].
  • Informatie verzamelen over de aangetaste computers, zoals:
  • Wissen van alle gebeurtenislogboeken.
  • Controleren of %System%\acelpvc.dll aanwezig is. Indien wel, dan laadt het het DLL-bestand en wijzigt het.
  • Controleren of %System%\VedioDriver.dll aanwezig is.
  • Openen, lezen, en verwijderen van het bestand %System%\drivers\etc\networks.ics.
  • Download een extern bestand, sla het op als %Temp%\mdm.exe, en voer het uit.[1]

Het laatste item, in de bovenstaande lijst, maakt het mogelijk om updates en/of andere kwaadaardige software te installeren op de aangetaste computer. Men weet dat een van de onderdelen van deze trojan is gebaseerd op de code van VNC. Door dit onderdeel heeft de hacker de mogelijkheid om een live-feed van een desktop te streamen naar een externe computer. De hacker kan op deze manier de activiteiten van elke gebruiker real-time observeren.[1]

In 2012 zijn er nieuwe Hydraq Trojan-aanvallen ontdekt en dezelfde manier om computers te infecteren wordt gebruikt zoals de vorige generatie. Symantec beweert dat Hydraq Trojan nooit is weggeweest. Echter, in tegenstelling tot de aanvankelijke aanvallen, waren deze gericht op organisaties binnen de VS. De nieuwe aanvallen hebben minstens twintig verschillende landen als doelwit. "De instanties als doelwit zijn ofwel degenen die intellectuele eigendom bezitten, of die kunnen worden gebruikt als aanwinst in de toekomstige malwarecampagnes. Zelfs als een organisatie zichzelf als immuun beschouwt, konden ze worden aangetast om de aanvallers te helpen in hun campagnes", waarschuwde de blog.[2]

Zie ook

bewerken
bewerken
  • (en) WIRED: Operation Aurora