Adload malware: een zure apple, even doorbijten

De afgelopen twee maanden heeft SURFcert al meer dan duizend meldingen verstuurd naar de instellingen over besmetting van een device met Adload. Dat zijn er veel meer dan we normaal versturen en zorgt dus voor extra werk bij de CSIRTs in onze community. In deze blog vertellen we wat Adload nou precies is, en waarom we het belangrijk vinden om er zoveel meldingen over te (blijven) sturen.

Wat is Adload en wat is het risico?

De naam Adload klinkt misschien relatief onschuldig: oh, advertenties, maar het is malware. Het richt zich primair op Apple Macs en bestaat al vijf jaar, maar is relatief lang onder de radar gebleven en heeft zich kunnen ontwikkelen om detectie lastig te maken. Op MacOS is het gebruik van virusscanners minder gemeengoed. Dit kan verklaren waarom de verspreiding nu zo breed is en epidemische proporties lijkt te hebben. Het heet Adload, omdat het ooit als doel had om al je browserverkeer door een proxy heen te leiden en advertenties te vervangen door eigen ads, maar is nu een algemene loader voor willekeurig welke malwarecode.

Hier worden we natuurlijk direct ongerust van: er draait malware op de Mac die al het webverkeer van de user kan lezen. Dat is dus een heel groot risico voor de vertrouwelijkheid en integriteit - want ook alle gevoelige applicaties waar de gebruiker op authenticeert zijn tegenwoordig in de browser, en bijvoorbeeld MFA heeft geen effect als de browsersessie compromised is. Gevaarlijk dus voor de gebruiker - en daarmee voor de instelling, omdat die gebruiker natuurlijk inlogt op en werkt met systemen en gegevens van de instelling. Zelfs iemand in het gastennetwerk is waarschijnlijk iemand die samenwerkt met mensen van je instelling.

Extra vervelend is dat Adload recenter ook fungeert als een proxy die door de makers van de malware te koop aangeboden wordt. Een achterdeur binnen je netwerk dus, machines die het internet op gaan om daar misbruik te plegen. Daarmee vormen Adload-machines in jouw netwerk niet alleen een bedreiging voor de jezelf, maar ook voor andere instellingen binnen SURF en in de wereld. Dat willen we natuurlijk absoluut niet.

Wat kan een slachtoffer doen?

Verschillende antivirus-programma's zouden Adload moeten kunnen verwijderen. Bijvoorbeeld Malwarebytes, dat ook een gratis versie heeft.

Wat doet SURFcert?

SURFcert krijgt dagelijks -met dank aan het ShadowServer-project- lijsten met IP's in jullie instellingsnetwerk die contact hebben opgenomen met bekende Adload command&control-servers en dus besmet zijn. Wij maken van elk (nieuw) adres een incident en melden dat aan jullie in een gestructureerd formaat, zodat het besmette systeem opgespoord en weer vertrouwd gemaakt kan worden.

Grafiek aantal besmettingen per dag over 15/09 - 15/11, toont zo'n 300 in de eerste weken en zo'n 100 in recentere weken.
Het aantal Adload-besmettingen binnen het SURF-netwerk over de afgelopen twee maanden

We merken dat het opsporen van het betreffende device een uitdaging kan zijn. Soms zijn meerdere meldingen terug te leiden tot dezelfde client. Of blijkt de logging van een bepaald netwerksegment nog niet voldoende, bijvoorbeeld omdat er gebruik gemaakt wordt van NAT. Voor deze, maar ook toekomstige bedreigingen is het belangrijk dat meldingen altijd teruggeleid kunnen worden naar het betrokken device of gebruiker. SURFcert kan adviseren over hoe de traceerbaarheid te verbeteren; zie bijvoorbeeld onze blog over NAT en PAT

Gezien de grote risico's zoals hierboven genoemd, vinden we het belangrijk dat besmette machines opgespoord (blijven) worden. De vorige malware-epidemie is alweer een aantal jaar terug; wie herinnert zich Emotet of Conficker nog? Ook toen werden we ook geconfronteerd met aanvankelijk grote aantallen meldingen, wat soms aanvoelde als een soort whack-a-mole. Maar door elk geval consequent op te sporen en aan te pakken, zijn die epidemieën uiteindelijk onder controle gekomen. We blijven meldingen sturen totdat de besmettingen weg zijn. We hebben er het volste vertrouwen in dat we met Adload op de goede weg zijn. Het aantal besmette IP's neemt zichtbaar af, zoals te zien is in de grafiek. We moeten nog even door de zure apple heen bijten.

Hoe nu verder?

We horen graag wat je van onze aanpak vindt, en natuurlijk zeker ook als je ideeën hebt over hoe we dit proces verder kunnen verbeteren.

Auteur

Reacties

Dit artikel heeft 0 reacties