Security advisory: Unencrypted storage of confidential information in Keeper® Password & Data Vault v5.3 for iOS


Fox-IT’s penetration testing team discovered a critical vulnerability in version 5.3 of the “Keeper® Password & Data Vault” app for iPhones, iPods touch and iPads.

An update was released today that is said to resolve the issues that we identified.

We urge all users of this application to install this update as soon as they can, because user information that the app is meant to protect, including the user’s master password, was found to be stored unencrypted.

The full advisory (that includes all technical details) can be found below.

Description: Unencrypted storage of confidential information
Affects:     Keeper® Password & Data Vault v5.3 for iOS
Vendor:      Callpod Inc. / Keeper Security Inc.
Tested on:   iOS 6.1 & iOS 6.1.2
Severity:    Critical
Discovery:   Paul Pols / Fox-IT
Reported:    18-March-2013 17:12 CET
Resolved:    04-April-2013, according to the vendor’s legal counsel
Published:   05-April-2013 16:33 CET


Keeper® Password & Data Vault is a popular application that is used to store and access passwords and other confidential information. The iOS application is advertised to secure all confidential information with military-grade encryption (AES). Versions of the Keeper® software are available for multiple platforms including Android, BlackBerry, iOS, Windows Phone, Linux, Mac OS X and Windows.

keeper welcome masterpasswordstatement

Problem Description

Version 5.3 of the Keeper® Password & Data Vault application for iOS has been found to perform various POST-requests to and/or using SSL/TLS that contain confidential information. The unencrypted content of this traffic is subsequently stored as local cache on the file system of the device. The confidential information that is posted and cached amongst others includes the unencrypted version of the master password and the content of entries that are stored within the application.


More specifically, the Keeper® Password & Data Vault application folder was found to contain SQLite3 database files in the following subdirectory /Library/Caches/D4D2433BGC/. This directory is used to store the application’s cache. The confidential information can be retrieved from the table cfurl_cache_response in the SQLite3 database or directly from the file Cache.db-wal. These unencrypted cache files are persistent across reboots.


By obtaining access to the file system of an iOS device, an attacker can retrieve confidential information from the Keeper® Password & Data Vault application directory. The information that can be retrieved includes the master password, e-mail address, the secret question and answer as well as the content of entries in the Keeper® Password & Data Vault application, such as URLs, usernames and passwords.

An attacker can obtain access to the file system of an iOS device by performing a jailbreak. Consequently, the confidentiality of information that is stored by version 5.3 (and possibly earlier versions) of the Keeper® Password & Data Vault application is at risk on iOS devices that can be jailbroken. Any iPhone, iPod touch and iPad running an iOS version up to 6.1.2 can generally be jailbroken.

Vendor response

Fox-IT has reported the vulnerability in Keeper® Password & Data Vault to Keeper Security Inc. within 24 hours of its initial discovery. Unfortunately, Keeper Security Inc. has refused to constructively engage in a responsible disclosure procedure and has requested all further communication to be addressed to the company’s legal counsel.

Keeper Security Inc’s legal counsel has since notified Fox-IT that “that the issue raised […] has been addressed and resolved in the new version of Keeper (Version 6.0) which is available on the App Store”. However, the description of the update on the App Store does not specify this version resolves any security issues. Fox-IT was also notified that the public disclosure of the issues that are described in this advisory may be met with swift legal action.

Our mission at Fox-IT is to make technical and innovative contributions for a more secure society. Given the lack of public information regarding the risks that are associated with the previous version of the application, we regard it as our responsibility to publish a detailed advisory. This will allow the affected users to take protective measures to prevent their confidential data from being compromised (further).


All confidential information that is stored on the device should be encrypted using the master password. If confidential data is stored in a remote location for backup purposes, the copy of the confidential data should also be encrypted using the master password, which should exclusively be known to the user and should not be posted or stored as such. By encrypting the confidential information that is posted to Keeper Security Inc. with the master password, the unencrypted local storage of confidential information would also be prevented.

The caching of traffic that is generated by Keeper® Password & Data Vault appears to be the result of using NSURLRequest without correctly specifying that the content of requests should not be cached. The related key ‘WebKitOfflineWebApplicationCacheEnabled’ in /Library/Preferences/D4D2433BGC.plist was found to be set to ‘true’. The unencrypted local caching of data may be prevented altogether by overriding the NSURLConnection delegate connection:willCacheResponse: and return nil. The suggested cause and solution could not be verified by Fox-IT, since Keeper Security Inc. has refused to cooperate with our investigation.


The local cache directly affects the confidentiality of information that is stored using version 5.3 of the Keeper® Password & Data Vault iOS application. Users of the Keeper® Password & Data Vault for iOS are therefore recommended to update the application to a version that solves the described issues or to use an alternative password manager. The risk that is posed by the unencrypted local storage of confidential information can in part be mitigated by updating the iOS operating system to a version that cannot be jailbroken and setting a device passcode, as this may temporarily prevent an attacker from obtaining access to the file system of a device.

The presence of unencrypted confidential information in the local cache of the Keeper® Password & Data Vault application indicates that an unencrypted copy of the confidential data was posted to a server that is operated by Keeper Security Inc. While the content of the confidential information is secured during transport using SSL/TLS, Keeper Security Inc receives the content of its users’ confidential information in an unencrypted form. It remains unknown which server side security measures Keeper Security Inc. has implemented to protect this information after it has been received. Consequently, the confidentiality of this information is not guaranteed from the perspective of a user. Users are therefore recommended to change any confidential information that has been entered into the affected version of the application, insofar as that is possible.

Please note that Fox-IT has not tested whether older versions of the Keeper® Password & Data Vault application and/or whether earlier iOS versions are affected by the described vulnerability. Furthermore, Fox-IT has not tested if versions of the Keeper® applications on other platforms have also posted their users’ unencrypted confidential information to Keeper Security Inc using SSL/TLS. Lastly, Fox-IT has not verified whether version 6.0 of Keeper® Password & Data Vault for iOS solves the issues that are described in this advisory.


Details regarding the correct usage of NSURLConnection, NSURLRequest and NSURLCache can be found here:

Using NSURLConnection:

Caching & NSURLConnection:


NSURLCache and disk-caching:

RFC 2616:

Seen in the wild: Updated Exploit Kits

In early March, after one of our network sensors flagged an incident at one of our customers, we noticed some traffic going to a rather suspicious .biz domain. When looking into the details of this domain, we found it to be registered to a guy named “Lukas Vask”.


When doing a reverse whois on just the email address, we found that Mister Vask owns 88 domains, 3 ‘.com’, 1 ‘.net’, 70 other gTLD’s and 14 ccTLD’s.
When reviewing the same data some days later we found that he bought another 78 domains.

A small sample list of unique domains used:


Alongside the above unique domains seen, we noticed a simple type of domain obfuscation. Using a combination of 3 to 5 words from the english dictionary with both the .org and .biz TLD’s are registered. Afterwards a letter is added to the end of the domains, which are just ascending letters of the alphabet and again the .org and .biz are also registered.

A small example list of the used words:

We’ve seen the following being used in the wild:



These pages are serving the Nice Pack exploit kit at this time.

Nice Pack Exploit Kit

Previous listings of the Nice Pack exploit kit have used Javascript with the old fashioned try and catch methods which are easily detected by IDS systems. For the new landing page of Nice Pack the creators took some time in figuring out how to sail free from the IDS detection by using even more obfuscated Javascript with no clear usage of known functions. Using a combination of these randomly named variables and functions makes these landing pages harder to detect.

Sample landing page:

Deobfuscated it looks like this:

The NicePack uses a combination of Adobe PDF and Java exploits to drop its malware.
The Java exploit targets CVE-2012-1723. The Adobe PDF exploit could not be determined as it seems the exploit kit is missing files, a 404 is returned when the malicious PDF should be served.

One way of determining if you’re dealing with a NicePack exploit kit domain is by doing a HTTP request on port 443, in the response you get will included a little hint.

Checksums malicious files NicePack:

Sweet Orange Exploit Kit

While taking a look at Mister Vask, we found another type of domain obfuscation used to spread the Sweet Orange exploit kit.
This DGA works similar to the alphabet one but in this case adds an asceding number at the end, we’ve seen the following being used:


The new URL syntax of Sweet Orange looks like this as seen in the wild:


Older versions of the Sweet Orange exploit kit used shorter links for the landing page.

The landing page in this version of Sweet Orange:

The deobfuscated script part:


This part embeds the malicious PDF file located at ‘./tUaZFs’. The PDF targets CVE-2010-0188.The above attempts to exploit java vulnerbilities by loading malicious JAR files which target specific Java versions.The Java archives we’ve seen target CVE-2012-1723 and CVE-2013-0431 .

While most exploit kits check Java and Adobe versions to determine the most suitable way to drop their malware, this one attempts everything anyway and discards any version checking.
The bruteforce approach it seems.

Checksums malicious files SweetOrange:


Getting back to the WHOIS information, it seems the domains for both exploit kits are being registered with the same credentials. Either a fake account or stolen identity is being used by multiple people or the same guys are behind SweetOrange and NicePack.. who knows.

Yonathan Klijnsma & Barry Weymes

Writeup on distributing Citadel malware

Every now and then, an incident occurs in the SOC (Security Operation Center) that really captures everyone involved’s imagination. NBC’s websites getting hacked, is just one case, in point. Image

At 16:43 CET, this afternoon we noticed that the website links to the redkit exploit kit that is spreading Citadel malware, targeting US financials institutions. This version of Citadel is only recognizable by 3 out of the 46 antivirus programs on

It has been shown before (with Dutch news site, for example, along with the recent incidents at the New York Times and Wall Street Journal), targeting media and news websites can vastly improve an attacker’s chances of success. Users presume these large organizations websites to be free from malware. If an attacker can gain access to these web servers, they can use them to distribute malware to every visitor of that web server.


The flow of the attack looks like this:

An iframe (on loads a webpage that tries to download and execute a malicious JAR file as well as a malicious PDF.

hxxp:// & hxxp://

Many more different URLs have been used in the coming hours after the first sign of the attack was detected.

The Citadel malware distributed is configured to manipulate traffic to and from the banking sites of the following banks amongst others:

  • Wells Fargo
  • USAA
  • Citibank
  • Bank of America
  • TD Ameritrade
  • Suntrust
  • Navy Federal Credit Union
  • Citizensbank Online
  • Fifth Third Bank
  • PNC
  • Chase
  • Schwab
  • American Express

The malware was no longer served at 21:28 CET.

This isn’t the first time a major website is compromised and starts spreading malware, and we don’t presume its the last. Be wary.

Barry Weymes et al.

Credit to Yonathan Klijnsma and Lennart Haagsma for discovery.

Oracle getting serious about Java

Recently, Oracle released new a version of Java with a difference. Java/1.7.0_13 is the latest version. Its increased the default security from ‘Medium’ to ‘High’, which restricts execution of unsigned applets. It also introduced a new warning to people executing Java code which checks if Java is using the latest version. You might notice the process jusched.exe running on your Windows PC to do this check. The conclusion here is that Oracle is getting serious about keeping its users up to date.


The above notice will give the users three choices: Update, Block or Continue. ‘Update’ will stop the execution and bring the user to the Java website to download the latest and safest version. ‘Block’ will not allow Java from being executed now and in future. By pressing ‘Block’ the user  Pressing ‘Later’ button the java code will be executed.


Why this updating matters? It matters because these days the majority of machines exploited are because of Java vulnerabilities. Exploit kits used to deliver a malicious payload to a victims computer are the form of a jar file (Java Archive). This usually happens when the victim visits a compromised website or opens a malicious email. A typical exploit kit has some malicious JavaScript that will test for vulnerable Java versions (amongst other things). Once the script has found the vulnerable version, it will automatically try to execute a malicious jar file to gain control of the machine. Some examples of successful exploitation that we have seen at the SOC recently:

  • hxxp:// Java/1.6.0_14
  • hxxp://  Java/1.6.0_20
  • hxxp:// /WtfWQjU.jar Java/1.6.0_37
  • hxxp:// Java/1.6.0_38
  • hxxp:// Java/1.7.0_06


Above shows part of a web interface for a botnet that has over 17500 successfully exploited systems using this blackhole exploit kit, we can see that over 78% of the systems was compromised by a Java exploit. This percentage is common and similar in other exploit kits, showing that Java continues to be the most commonly attacked application.

It would seem that users, don’t update software regularly and this is why the recent move by Oracle is important. Hopefully, this will stop the bad guys (continuously) taking advantage of that fact.

In the wild, we have seen the all types of old Java virtual machines getting compromised, anyone with these versions are obviously vulnerable. It is highly recommended that you either disable/uninstall Java or if you must use it make sure it is always up to date. Oracle’s increased focus on security stems from the need for better security in the software we use everyday, if this doesn’t happen maybe users and organisations will simply not accept it because it is too risky to have installed anymore.

Barry Weymes et al, Security Analyst at the Fox-IT Security Operations Center.

Demystifying Pobelka

A technical intelligence report on the Pobelka botnet operation. January 11, 2013

This technical report describes the Pobelka botnet and puts it in the context of global malware operations. Fox-IT’s InTELL unit provides reports like this on a continuous basis to customers in the financial sector so they know who’s targeting their online banking systems and can prepare countermeasures. This report is classified as public.

Key takeaways of the report are:

  • The initial Dutch report on Pobelka by Surfright and Digital Investigation presents a good view on the Pobelka botnet. The report you are reading contains additional technical details on the botnet and answers some of the questions left by the original report.
  • This report provides a broader context in the ecosystem of botnets, Trojans, exploit kits, and the markets where infected computers are traded.
  • This report details the identity of the people running the Pobelka botnet as well as a description of the origin of the botnet and the common methods of communication used.
  • The Pobelka botnet is one of many botnets active in the Netherlands. Unfortunately it’s not an exceptionally large or influential botnet but rather an average sized one.
  • The Pobelka botnet is just one of the many examples of how a single individual was able to attack Internet users for over a year without much resistance. This is a global issue.
  • The ease at which cybercrime services are available to criminals, makes it trivial for anyone to start in this business. The potential gains for the criminals are large, with little to no chance of successful prosecution.

The author of the report is Michael Sandee, Principal Security Analyst at Fox-IT and the Fox-IT InTELL team.

The intended audience for this report is technically savvy and familiar with botnet analysis and online banking security.

You can download a copy of the report here.

Cyber Security in Nederland op de agenda!

Volgende week, op 6 december, gaat de vaste Kamercommissie voor Veiligheid en Justitie weer vergaderen over de voortgang van onze nationale Cyber Security strategie. Op de agenda staan 8 onderwerpen die in 3 uur behandeld moeten worden. Dat is weinig tijd voor stuk voor stuk belangrijke onderwerpen. Om de discussies efficiënt te laten lopen, leek het me handig om nu alvast wat onderwerpen te behandelen. De stukken van V en J over dit dossier vind je trouwens het snelst bij

Laat ik beginnen met de voorgestelde Meldplicht (security breach notification) en interventiemogelijkheden. Dat balletje is gaan rollen na een motie van Jeanine Hennis n.a.v. het Diginotar incident. Het idee is dat eigenaren/beheerders die voor de samenleving vitale systemen beheren een security incident niet onder de pet houden in de hoop dat het allemaal wel goed komt. Lijkt mij een prima idee. Ik maak altijd graag voor deze vitale systemen de vergelijking met de brandweer. We zouden ook niet willen dat bij een incident in een chemische fabriek de brandweer pas gebeld wordt op het moment dat deze overgeslagen is naar de fabriek er naast. Dus melden lijkt me logisch. En dan? In eerste instantie heeft de getroffen organisatie zelf een verantwoordelijkheid en zal het eigen interne emergency response team moeten optreden. Maar mocht het incident een maatje te groot worden, dan bellen we de alarmcentrale voor digitale branden en dan rukken ze uit?

Tja, dan moeten we wel een digitale brandweer hebben natuurlijk. Hennis ziet daarin terecht een rol voor het Nationaal Cyber Security Centrum . Maar die zijn daar nog niet klaar voor. Ze zullen eerst veel meer mensen moeten aannemen, die 24 uur per dag in een bus kunnen stappen, vol met allemaal nerdy gear om ter plekke daadwerkelijk ondersteuning te bieden. En dat houdt ook in dat ze daadwerkelijk achter de toetsenborden gaan zitten van die organisatie, om de hacker zo snel mogelijk buiten te sluiten en te borgen dat de continuïteit van de dienstverlening van die vitale organisatie niet in gevaar komt. Heel recent heeft de kamer nog wel een ‘Nationaal Crisisplan ICT’ toegestuurd gekregen. Een prachtig plan, maar ook hierin vind ik nog steeds niet welke mensen nu daadwerkelijk achter een toetsenbord kruipen om die digitale brand te stoppen.

Zolang je zelf nog niet echt ‘uitruk-klaar’ bent of ooit wilt zijn, kan je het natuurlijk ook anders regelen. In het Verenigd Koninkrijk hebben ze bijvoorbeeld vier bedrijven geaccrediteerd die in de praktijk deze functie nu al invullen. Voor een overheid tijdens een financiële crisis een perfecte oplossing. Je organiseert namelijk wel de brandweer, maar de rekening wordt bij de getroffen organisatie neergelegd.

Over de meldplicht heb ik nog wel drie vragen:

1) De meldplicht strekt zich uit over zes vitale sectoren. Eén daarvan is de telecomsector. Er wordt dan verwezen naar een meldplicht op grond van de Telecomwet. Het is mij nog niet duidelijk of de overgebleven PKI-overheid bedrijven, zoals DigiNotar was, onder de telecomwet valt. Het zou toch van de zotte zijn, als we naar aanleiding van DigiNotar een meldplicht invoeren waarbij de andere DigiNotars niet onder de meldplicht vallen?
2) Daarmee samenhangend: is het limitatief opnoemen van sectoren wel de goede methode? ICT hangt van ketens aan elkaar. Valt bijvoorbeeld de out-source partner van een energiebedrijf nu ook onder de wettelijke meldplicht? Is het niet verstandiger om de scope van de meldplichtige bedrijven abstracter aan te geven. Bijvoorbeeld, “alle organisaties waarbij door een security breach ernstige maatschappelijke ontwrichting kan plaatsvinden”.
3) En als laatste. Valt onder maatschappelijke ontwrichting bijvoorbeeld ook het stelen van grote hoeveelheden patiëntendossiers, databases met DNA samples, of andere privacygevoelige gegevens?

Soms doet een advies pijn
Een ander punt op de agenda gaat over een wat principiëlere vraag. Waarom durft de overheid in Nederland niet hardop te zeggen tijdelijk even niet van Internet Explorer gebruik te maken, terwijl bekend is dat er op dat moment actief door hackers misbruik van gemaakt wordt. Er zijn landen die dat wel doen zoals bijvoorbeeld Duitsland of talloze experts. De Duitsers adviseerden tijdelijk FireFox of Chrome te installeren. Een handeling die vele malen eenvoudiger is uit te voeren dan het technische advies dat Nederland, maar ook de Verenigde Staten geeft.
De keuze om te adviseren (tijdelijk) niet van een bepaalde leverancier gebruik te maken ligt gevoelig. Dat begrijp ik omdat je in tijden van crisis diezelfde leverancier soms ook keihard nodig hebt. Sharon Gesthuizen heeft als antwoord op haar vragen hierover van Minister Opstelten het merkwaardige antwoord gekregen dat het overstappen naar een andere browser niet een gegarandeerd veilig alternatief is. Op zich klopt dat, maar van Internet Explorer was bekend dat op dat moment de kwetsbaarheid ook daadwerkelijk misbruikt gemaakt werd. Gelukkig was er een patch binnen een paar dagen beschikbaar en viel de schade mee.

Natuurlijk komt ook het Dorifel virus tijdens het overleg aan de orde. Dorifel is het virus dat door ‘een foutje’ van de dader opeens ontdekt werd, omdat netwerken van onder andere gemeentes uitvielen. De NOS liet beelden zien van ambtenaren die weer achter een ouderwetse typemachine zaten te werken. De Minister was nog met vakantie, maar staatssecretaris Teeven liet ons weten dat er niets aan de hand is, omdat de Dorifel uitbraak onder controle was. Dat was dan misschien zo, maar het heeft heel erg duidelijk gemaakt dat virussen maandenlang ongezien in netwerken wachtwoorden kunnen stelen, en dat niemand dat doorheeft. Volgens mij is de wijze les die we hieruit kunnen trekken, dat we actiever op netwerken moeten kijken of er ‘kwaardaardig’ verkeer overheen gaat.

Uit de beantwoording op de grote verzameling kamervragen rondom Dorifel haalde ik de volgende zin: ‘Een belangrijke stap hiertoe is blijven investeren in mogelijkheden
om digitale aanvallen te detecteren die gericht zijn op de Rijksoverheid’. Ik ben erg benieuwd op welke manier het NCSC daar nu handen en voeten aan gaat geven. Ik hoop dat dit initiatief niet alleen over de rijksoverheid gaat maar ook over vitale organisaties. Misschien wel bij dezelfde organisaties die ook onder de meldplicht vallen? Maar hoe wordt het verder ingericht? Gaat het NCSC zelf de sensoren ophangen bij instanties? Een aantal organisaties zoals KPN en de gemeenten zijn zelf al bezig een SOC (Security Operations Center) in te richten.  Daarnaast zijn er gespecialiseerde bedrijven die monitoring en detectie uitvoeren voor vitale instanties zoals Kahuna en Fox-IT (check dit coole filmpje). Het lijkt me waardevol als het NCSC kan verbinden met die Security Operations Centers. Op die manier kan een actueel dreigingsbeeld van Nederland worden opgebouwd. Het zou erg helpen als er een nationale monitoring protocol zou zijn, waardoor elke organisatie zijn SOC kan aansluiten op het nationale SOC. Het is waarschijnlijk het meest effectieve antwoord op de volgens het Cybersecuritybeeld Nederland grootste dreiging voor ons land: gerichte spionage. In het Verenigd Koninkrijk hebben ze deze stap al genomen.

Wetgeving bestrijding cybercrime
Het volgende punt op de agenda is het voorstel van Minister Opstelten over het digitaal binnendringen in computers door de politie in het kader van een opsporingsonderzoek. Daar is ondertussen al veel over geschreven. Het is geen geheim dat ik al langer (in 2010, en recent)  pleit voor deze bevoegdheid. Het gaat mij dan vooral om de context waarbij een acute ‘verstoring’ in Nederland dreigt en waarbij de gehackte computers onderdeel zijn van de technische infrastructuur van de criminelen. Wat mij betreft vallen daar dus geen privé pc’s van verdachten thuis onder en al helemaal niet om de pc’s van mensen die verdacht zijn van andere delicten zoals moord of drugshandel.

Na de brief van Minister waarin hij zijn voornemen bekend maakt, zijn er veel reacties gepubliceerd die fel tegen de plannen van de Minister zijn. Ik denk dat het heel goed is dat er een debat plaatsvindt over een gevoelig voorstel als dit. Bits of Freedom komt met als belangrijkste tegenargument dat Nederland onveiliger wordt omdat de politie er een belang bij heeft dat ze in computers kunnen inbreken. Dat lijkt me nogal vergezocht. Het argument zou alleen steek houden als op dit moment al de overheid actief op zoek is naar kwetsbaardheden en die met het publiek deelt om ons juist te beveiligen. Het is juist eerder andersom. Het valt mij op dat de landen die nu offensieve activiteiten ontplooien op het internet (Cyberwar) veel beter door hebben hoe kwetsbaar ze zijn, en daardoor veel actiever hun best doen om hun eigen belangen zo veilig mogelijk te maken.
Professor Bart Jacobs heeft een goed artikel geschreven in het Nederlands Juristen Blad. Hij concludeert uiteindelijk dat het een nuttig en verdedigbaar middel kan zijn om een acute cyberdreiging te verstoren. Daarmee zit we behoorlijk op een lijn, alhoewel ik wel hoop dat er af en toe ook een crimineel mee opgespoord wordt.

Het ziet er naar uit dat er een meerderheid zal zijn in de kamer voor een of andere vorm van digitaal binnendringen door de politie. De wet komt er wel, maar de grote vraag is hoe deze er uit gaat zien. Het is volgens mij relevant daarbij de volgende aspecten te bespreken.

1) De scope
Bij welke delicten wordt het middel ingezet? Ik zou dat beperkt willen zien tot alleen die delicten waarbij het ‘cyberelement’ een grote rol speelt. Dus bijvoorbeeld bij een DDoS aanval op ons betalingsverkeer of bij grootschalige verspreiding van kwaadaardige virussen waardoor continuïteit van instanties in gevaar komt. Maar behalve voor acute crisissituaties hoop ik toch ook dat de nieuwe bevoegdheden af en toe kunnen worden ingezet bij het opsporen van criminelen die zeer succesvol zijn in het stelen van geld van onze bankrekeningen. Dat is hard nodig omdat het een criminaliteitsvorm is waarvan het schade bedrag zeer snel stijgt, en het zelden lukt om daders aan te houden. Pas bij enig gevoel van pakkans zal die criminaliteit gaan afnemen.

Het beperken van de bevoegdheden tot de meer ernstige cybercrime delicten zal een uitdaging vormen voor juristen, aangezien de meeste bevoegdheden volgens mij gekoppeld worden aan een maximale gevangenisstraf.

Ik kan me een aantal uitzonderlijke gevallen voorstellen waarbij het ook gerechtvaardigd is om de computer van een verdachte te hacken die buiten deze scope vallen. De promovendus Jan Jaap Oerlemans heeft daar vorig jaar al een artikel aan gewijd. Dat is bijvoorbeeld bij het vermoeden dat de computer van de verdachte versleuteld is en dat die computer essentieel is bij het oplossen van een misdrijf. Maar dan hoeft de politie-spyware natuurlijk niet zo ver te gaan dat alles op de computer op afstand kan worden bekeken. Het zou dan alleen de wachtwoorden moeten verzamelen. Pas na een huiszoeking worden die onderschepte wachtwoorden gebruikt om de harde schijf te kunnen analyseren. Dit laatste lijkt me een veel betere oplossing dan de eveneens door de Minister voorgestelde ontsleutelplicht. Het dwingen van verdachten tot het afgeven van een sleutel is een heel slecht plan. Daar heb ik al eerder een blog aan gewijd. Het vastlopen bij kinderporno onderzoeken is belangrijkste argument voor de Minister om met de ontsleutelplicht te komen. Het nieuwe onderzoek van Koops over de ontsleutelplicht richt zich vooral op de juridische haalbaarheid van een ontsleutelbevel ten opzichte van het Nemo-tenetur beginsel. Koops komt tot de (juridische) conclusie dat dit inderdaad zou kunnen. Daarmee zegt hij niet dat per se het meest effectieve of een noodzakelijk middel is.

Ik hoop niet dat de politieke conclusie wordt dat we dit daarom automatisch maar moeten invoeren. Volgens mij is het zinvol om het totaal palet van bevoegdheden nog eens tegen het licht te houden, en dan pas te concluderen hoe hard we deze bevoegdheid nou eigenlijk echt nodig hebben.

Er ligt al een voorstel voor een bevoegdheid digitaal binnendringen. Dat biedt natuurlijk ook mogelijkheden om aan wachtwoorden te komen nog voordat een inval plaats vindt. Mocht dat niet via het internet lukken, bestaat nu al de mogelijkheid om op basis van 126l sv een keyboard sniffer te plaatsen om wachtwoorden te achterhalen.

De politie is pas recent goed begonnen met een landelijk onderzoeksteam op het gebied van kinderporno. Het uiteindelijke doel daarbij is zowel producenten als slachtoffers op te sporen. Ik ben heel blij om te zien dat eindelijk geinfiltreerd gaat worden in de kinderporno netwerken.

Misschien doen we er beter aan over een jaar nog een keer te kijken of het ontsleutelbevel nou echt nodig is. Ik durf er op te wedden dat het nieuwe team met de hackwet, infiltratie en direct afluisteren al een heel eind komt.

Een tweede uitzonderingssituatie doet zich voor als de verdachte gebruik maakt van anonimiseringstechnieken die het Internet biedt, zoals TOR-services. Via deze techniek kan je bijvoorbeeld een criminele marktplaats voor wapens on-line brengen zonder dat je het echte on-line ip-adres, waar het op draait, hoeft prijs te geven. Effectief betekent het dat de politie geen enkel spoor in de fysieke wereld heeft om de mensen achter de marktplaats te vinden. Het enige wat ze overblijft, is door in te breken in de marktplaats een echt ip-adres of andere sporen te vinden waar ze via traditionele middelen weer verder mee kunnen.

2) internationale aspecten -politie on-line gaat altijd over het ‘buitenland’

In bijna alle digitale onderzoeken zien we sporen van criminelen die zich in een snel tempo door cyberspace en daarmee door verschillende landen verplaatsen. Bij de gangbare projectie van ip-adressen uit cyberspace op landen ontkomt de Nederlandse politie er niet aan om in elk onderzoek ondersteuning te vragen aan andere landen. Het mag helder zijn dat dat zeer vertragend werkt, en dat medewerking erg afhankelijk is van bereidwilligheid en expertise van het andere land. Wat daarbij vaak nog een rol speelt, is dat we ondersteuning moeten vragen van landen waarbij zowel slachtoffer als dader helemaal geen betrokkenheid hebben met het bevraagde land. Althans, niet anders dan dat ze daar een (virtuele) computer huren voor 15 dollar per maand.

Los van het wetsvoorstel digitaal binnendringen, is het in een bredere context noodzakelijk dat het helder wordt voor de opsporing wat we gaan hanteren als ‘buitenland’ als het opsporingshandelingen in cyberspace betreft. Dat geldt trouwens niet alleen voor het strafrecht, maar zal voor het optreden van ons aanstaande cyberleger net zo goed relevant worden. In de literatuur wordt nogal eens verwezen naar de verschillende ‘lagen’ of ‘building blocks’ van cyberspace. Bijvoorbeeld Lance Strate spreekt over ‘three building blocks’ of cyberspace. Hij maakt daarbij een verschil tussen de fysieke cyberspace, die bestaat uit de computers en kabels er om heen, en een conceptuele vorm van cyberspace. Die laatste is in mijn ogen veel relevanter voor de opsporing. Ook al zou een fysiek in China staan, dan nog moet de Nederlandse politie daar gewoon onderzoek op kunnen doen.
Wat precies die conceptuele laag in cyberspace is, kunnen we het nog heel lang over hebben. De fysieke laag van cyberspace lijkt in ieder geval met het ontstaan van clouds en het leveren van online criminele dienstverlening als een service steeds minder relevant te worden. Al is het maar omdat niemand met zekerheid kan zeggen in welk land een ip-adres staat.

Wanneer het kan, moet de politie natuurlijk wel zoveel mogelijk samenwerken met andere landen. In veel gevallen helpt lokale kennis in het onderzoek en kunnen zij gegevens vorderen over bijvoorbeeld betalingen voor criminele servers waar je op afstand niet bij kan. Maar, ook al kan de lokale overheid geen toegevoegde waarde leveren, is een notificatie van de opsporingshandeling aan dat land altijd op zijn plaats.

Nederland moet zelf het voortouw nemen bij grensoverschrijdend opsporen via internet. Afwachten op wereldwijde consensus lijkt mij geen haalbare weg. Andere landen zullen minder snel de noodzaak van nieuwe wetgeving zien, omdat ze zelf nog niet het gevoel van urgentie ervaren als wij hier in Nederland.

3) Waarborgen
Een digitale doorzoeking in mijn persoonlijke computer(s) vind ik een grotere inbreuk op mijn privacy dan een doorzoeking van mijn huis. Ik vertelde dat laatst bij een presentatie aan een groep (seniore) politiemensen en die snapten daar helemaal niets van. Voor hen voelt dat blijkbaar niet zo. Ze gebruiken hun computers op een andere manier dan ik. Een inkijkje in mijn computer vertelt veel meer over me dan je ooit in mijn huis kan vinden. Ik ben zo iemand die nooit mail weggooit, dus je kan vele jaren terugkijken. Ik doe alles via e-mail, skype, irc en log dat ook nog allemaal. Filmpjes die ik bekeken heb, hebben vast ook sporen achtergelaten. Kortom voldoende materiaal om het me bij een verhoor erg moeilijk te maken ook al heb je niets over het delict, waar ik van verdacht wordt, kunnen vinden.

Daarom vind ik het dus belangrijk dat er een rechter (-commissaris) in het proces zit die, voordat hij zijn handtekening onder een last zet, daadwerkelijk aanvoelt wat de impact is van zo’n digitale inbraak (proportionaliteit) en er echt geen ander minder ingrijpend middel is om aan bruikbare sporen voor een veroordeling te komen (subsidiariteit). Voor een telefoontap kan elke rechter dat wel afwegen. Hij belt immers vast zelf ook wel eens. Die lijn kan je niet doortrekken voor een RC voor wie het internet niet meer is dan een handige manier om jurisprudentie te zoeken. Ik pleit dan ook voor een rechtbank (met bijbehorende RC’s) die gespecialiseerd is in zaken waarbij de rol van cyberspace relevant is. Mijn hoop is ook dat die rechters wel snappen dat je een jongen van 17 jaar niet zijn Internet moet ontnemen zoals met de KPN hack verdachte gebeurd is. Uiteindelijk is zo’n gespecialiseerde rechtbank hopelijk niet meer nodig. Dat is wanneer alle rechters net zo vertrouwd zijn met het internet als de slachtoffers en daders in hun zaken.

Een aantal andere aspecten zijn ook belangrijk met dit soort gevoelige bevoegdheden. Notificatie achteraf lijkt mij vanzelfsprekend logisch en de hack zelf moet volledig worden opgeslagen door de computer(s) van de hackende diender te tappen. Mocht speciale software worden ingezet die draait op de PC van een verdachte, dan moet deze goedgekeurd worden door de Keuringsdienst van de KLPD.  Net zoals gedaan wordt met de technische middelen die worden ingezet in het kader van andere bijzondere opsporingsbevoegdheden zoals ‘direct afluisteren’ en ‘stelselmatige observatie’. Deze speciale dienst kijkt trouwens alleen naar integriteits- en authenticiteitsaspecten. De confidentialiteit lijkt me in dit kader minstens zo belangrijk. Het moet immers niet zo zijn, dat door de actie van de politie anderen ook mee kunnen kijken in de computer van de verdachte.

Omdat het een gevoelig middel is, lijkt me verantwoording in de vorm van frequentie en effectiviteit van het middel geen overbodige luxe.  Door dit soort informatie geheim te houden, creëer je als staat onnodig het gevoel van controlestaat te zijn. De Amerikaanse aftaprechtbank publiceert jaarlijks een rapport van meer dan 300 pagina’s over de taps waaronder ze een handtekening gezet hebben. Zo kan het dus ook!


Fox-IT discovers security bugs in Oracle Software

In its latest quarterly Critical Patch Update, Oracle has acknowledged and repaired two security bugs identified by Sjoerd Resink, Senior IT Security Expert at Fox-IT.

The bugs were discovered during one of Fox-IT’s penetration testing assignments in version of Oracle Application Server’s Single Sign-On component.

The first security issue, numbered CVE-2012-3175 by the Common Vulnerabilities and Exposures index, is rated as a 4.3 CVSS risk by Oracle and would allow an attacker to use web applications based on Oracle Application Server as an “open redirect”, i.e. to abuse the public’s confidence in a site to send people a link to a trusted website that would actually result in an automatic redirect to another, potentially malicious, web site. Attackers could also abuse such a vulnerability in specifically targeted phishing attacks (“spear phishing”).

The second bug (CVE-2012-0518), is actually a collection of three “Cross-Site Scripting” or XSS vulnerabilities in Oracle Application Server. It is also risk-rated at 4.3 by Oracle but is potentially more serious (in our opinion, the CVSS vulnerability scoring system tends to under-rate XSS issues). By sending people specially-crafted links to a web application based on Oracle Application Server, attackers can run Javascript code in the context of the vulnerable application. This means that an attacker can control how an application looks, and what an application does, if a user goes to the application through the attacker’s malicious link. It enables attackers to obtain passwords and/or take control of user sessions in the application in whatever way (s)he chooses.

One of the XSS issues is also undetected by Microsoft Internet Explorer’s XSS filtering feature. Another of the 3 XSS issues we reported to Oracle appears to have been first discovered in 2009 by the “Hackers Center Security Group” because it is described accurately on this web page.

Fox-IT recommends that all installations of web applications based on Oracle Application Server be upgraded with the latest Oracle Critical Patch Update as soon as possible.

Mogen we terugslaan?

Nederlandse overheid komt met cyberwetgeving

Terughacken als wapen tegen cybercrime kan niet zonder wettelijke basis. Het werkt wel, mits met de juiste voorwaarden omkleed en alleen als uiterst middel gebruikt, om burgers tegen cybercriminelen te beschermen. Nu is hét moment voor de politiek om problemen en oplossingen in cyberspace in kaart te brengen en zich aan een ‘zeerecht’ voor het internet te wagen, vindt directeur Ronald Prins van Fox-IT. Zijn opinie.

‘Sinds het aantreden van minister Ivo Opstelten van Veiligheid en Justitie in 2010, oefenen de diensten die verantwoordelijk zijn voor de opsporing en vervolging van cybercrime, druk uit om meer bevoegdheden te krijgen om buitenlandse internetcriminelen aan te pakken. Nu exact twee jaar later heeft de, inmiddels demissionair, minister in een brief aan de Tweede Kamer aangekondigd met cyberwetgeving te komen.’ Bij Fox-IT kijken we met belangstelling uit naar deze nieuwe wet. Want ondanks dat we vaak weten waar de buitenlandse servers staan van waaruit cyberaanvallen worden gepleegd, kunnen we nu niets doen zonder wettelijke basis. Nederland ervaart veel overlast van cybercrime. De huidige regelingen om deze groeiende vorm van criminaliteit te handhaven zijn beperkt en niet effectief genoeg om criminelen te stoppen en burgers te beschermen. Het internet is per definitie een terrein dat los van nationale grenzen staat en dat moeten we ook zo houden. Maar het mag niet betekenen dat strafbare feiten zonder consequenties gepleegd kunnen worden. Immers, de slachtoffers zijn échte mensen, met reële schade, en geen virtuele figuren in een virtuele wereld. Wetgeving, vergelijkbaar met het internationaal zeerecht, helpt burgers te beschermen en maakt cybercrime voor daders minder aantrekkelijk.

Wachten op medewerking

Het Bredolab botnet, 2010: via de servers bij een bedrijf in Nederland worden zo’n 30 miljoen geïnfecteerde computers aangestuurd door een crimineel vanuit het buitenland. De Nederlandse politie heeft dit botnet een halt toegeroepen door in te breken op de Nederlandse servers en de functionaliteit van het botnet zelf gebruikt om de besmette computers op te schonen.

Anders ligt het bij de recente uitbraak van het Dorifel-virus: de verdachten zijn niet direct op te pakken. Reden: de politie heeft niet de bevoegdheid om in de buitenlandse computers van cybercriminelen in te breken, bewijsmateriaal te verzamelen en de command and control servers onschadelijk te maken.

Met meer bevoegdheden om de acute dreiging van het recente Dorifelvirus offline te halen, had de politie dit binnen een paar uur kunnen doen. Nu heeft het stopzetten van nieuwe besmettingen dagen moeten duren. Als samenleving vinden we het onacceptabel dat gemeenten, bedrijven en overheidsinstellingen niet meer konden werken omdat het Dorifel-virus zich kon blijven verspreiden. Dit alles alleen doordat een hostingprovider in het buitenland niet direct meewerkte met het verhelpen van het probleem.

Een verzoek naar het buitenland duurt weken zo niet maanden en dat is maar één stap in het onderzoek. Informatie is vaak al weg omdat iedere willekeurige partij in ieder willekeurig land een notice and takedown kan doen of dat de crimineel zelf zijn sporen opruimt. De data op een server wordt steeds vaker versleuteld opgeslagen waardoor een kopie van een server geen tot weinig waarde heeft. Wel zijn gegevens over welke informatie de dader heeft gestolen en wat mogelijk is gebruikt/misbruikt is, alleen beschikbaar op systemen van de aanvaller. Sporen die wijzen naar de dader zijn vaak alleen te achterhalen door in zijn eigen infrastructuur in te breken.

Minister Opstelten erkent dat er behoefte is aan nieuwe regels voor grensoverschrijdende bestrijding en voorkoming van cybercrime. Hij constateert ook dat wetgeving en internationale afspraken zijn achtergebleven. Het is daarom goed te merken dat het vorige Kabinet de samenwerking wil versterken met landen die voorop lopen met cybersecurity. Zoals een aantal Europese landen, de Verenigde Staten, Australië en in Azië bijvoorbeeld Singapore. Maar concrete oplossingen zijn nog niet in zicht. Dat is misschien ook niet zo vreemd als je je bedenkt hoe gevoelig het uitgangspunt van nationale soevereiniteit in sommige landen ligt. Want hoe halen we het in ons hoofd om te gaan grasduinen in computers die in andere landen staan? Volgens mij heeft de angst hiervoor alles te maken met hoe je tegen het internet en zijn grenzen aankijkt. Als een server in de Oekraïne staat, zich alleen op Nederlandse slachtoffers richt, alleen impact in Nederland heeft en vanuit Nederland te bereiken is, dan heeft de Nederlandse justitie er meer zeggenschap over dan het land dat toevallig de stroom voor de server levert. Het is wel een vraag die je per incident goed moet stellen. Betreft het bijvoorbeeld een gehackte server van een keurig Oekraïens bedrijf, dan moet je er een stuk voorzichtiger mee omgaan. In dat geval heb je ook best een goede kans dat het bedrijf na het belletje de server onmiddellijk uitschakelt.

Moeten we andersom tolereren dat buitenlandse politiediensten op computers in Nederland rondkijken? Dat zou dan een logisch gevolg zijn. Als het bijvoorbeeld gaat om een gehuurde virtual private server van zo’n twintig euro per maand, gehuurd door een Oost-Europese criminele organisatie, dan is het verstandig dat het andere land de opsporing zelfstandig afhandelt. Het is natuurlijk wel zo prettig als er op zijn minst een notificatie naar de autoriteiten gaat, dat er een online ‘huiszoeking’ heeft plaatsgevonden.


Het gaat om bevoegdheden die niet alleen voor Nederland gelden, maar ook de ruimte bieden om ‘niet-identificeerbare’ computers in het buitenland binnen te treden. Nederland is het eerste land dat dit zo expliciet en vergaand in de wet wil regelen. Waarom is het mogen terughacken van belang? Omdat veel digitale delicten alleen digitale sporen achterlaten. Je moet dus ‘door het internet heen kunnen kijken’ om uiteindelijk tot echte identiteit te achterhalen en een verdachte te kunnen aanhouden. Als het een Nederlands spoor betreft, komen we een heel eind. Maar zodra het bijvoorbeeld gaat om een rij aaneengeschakelde proxyservers die uiteindelijk uitkomt in de Oekraïne, ben je op dit moment zeker een aantal weken bezig met rechtshulpverzoeken.

Geen paardenmiddel

In geval van een aanval op de nationale veiligheid, bijvoorbeeld op de vitale infrastructuur in Nederland, ben ik van mening dat het soms nodig is om zonder toestemming van buitenlandse autoriteiten ‘terug te hacken’. Ik realiseer me dat dit een bijzondere bevoegdheid is. Zowel het schenden van privacy als het schenden van de soevereiniteit van andere landen zijn zorgpunten. Ik hoop daarom ook dat daarmee goed rekening wordt gehouden bij het definitief vaststellen van de wet. Het moet in mijn ogen niet zo zijn dat de politie dit paardenmiddel mag inzetten voor elk onderzoek waar het wel ‘handig’ lijkt. Het mag pas ingezet worden als afgewogen is dat minder ingrijpende middelen echt niet werken en een noodzaak voor snel ingrijpen bestaat. Het moet toch mogelijk zijn om in internationaal verband afspraken te maken over het bestrijden van cybercriminaliteit? Vergelijk het met het internationale zeerecht: als een Nederlands schip in internationale wateren wordt aangevallen, komt onze marine ook in actie. Dat zou op internationale internetterritoria ook moeten gelden.’

Ronald Prins,
Directeur Fox-IT

Observations on the recent Java 0-day exploits in the wild

Recently the Internet has been abuzz with news of an unpatched (0-day) exploit for the latest version of Java. The vulnerability is critical because it can exploit a fully patched version of Windows, Linux or Mac OS X. Also, it can do all this without users knowledge or consent. All that is needed is have Java 7 installed and a visit to a website that contains a malicious Java applet. A patch from Oracle that addresses this vulnerability may not be released until the 16th of October.

In the past week, Fox-IT detected attempts to exploit the Java vulnerability on a large scale. The perpetrators did not use the code that everyone is concentrating on. In this case some malicious JavaScript was first used to load the Java archive into the clients Java virtual machine. Subsequently, it was checked if the client was running Java 7, which is the version of Java that is vulnerable. If the system is vulnerable, it was attacked with custom exploit code. Once the jar is executed, a malicious exe is downloaded and then the computer is compromised. It is reassuring to know that even if someone attempts to compromise systems in a new way and uses a known methodology to do so, it can still be detected; as was the case here.

The executables that were dropped by the exploit code consisted of a new sample of the Hermes Trojan, and various versions of ZeuS including Citadel, Ice-IX, Gameover-ZeuS and other customized versions. Analysis of the Hermes sample, as well as the command and control servers that it was configured to connect to, has shown that the perpetrator of this attack was previously responsible for the large scale infections by Dorifel using a Citadel botnet, as described previously on our blog.

Interestingly enough, the exploit code that was used to exploit unsuspecting visitors appears to have been compiled on August 17th, which predates most known exploits for this vulnerability, even the one referenced in other blog posts related to a targeted attack using an exploit kit from East-Asian origin. The timeline makes it interesting, as it is even closer to the date that the VulnDisco Java 0-day was announced on the 10th of August. It could very well be that the vulnerability was circulating in the underground and some people picked it up along the line, or even that someone ripped it from VulnDisco.

The variety of malware that was distributed suggests this exploit kit is used as a service, which was recently discovered when large amounts of traffic were sent to it originating from compromised OpenX servers that are used for advertorial purposes. One of the compromised OpenX servers was amongst others used by Much more effort was put into this exploit to make sure that it would not be detected by Anti Virus products when compared to the other exploits in the wild. Additionally, the domains that were used by the exploit kit were changed frequently to avoid blacklisting and the IP addresses were often rotated as well. The domains were sub-domains of the popular DynDNS service:,,,, and The type and variety of malware that was distributed to various countries, suggests that it was likely that it was actively offered in the Russian-speaking underground community in the past weeks.

The unpatched Java vulnerability poses a severe security risk, as the software is widely used on systems in corporate, consumer and governmental environments. The vulnerability can be exploited to compromise Windows, Mac OS X and Linux systems. Given the amount of systems that can be affected, the readily available exploit code and the expectation that the vulnerability will not be patched for a significant amount of time, it is only a matter of time before this vulnerability will be exploited in even greater numbers. Also with the 0-day exploit having been added to the most popular exploit kit out there, Blackhole, we expect that the exposure of systems will become even higher as will the success rate of exploitation.

To protect oneself it is recommended to uninstall Java, unless it is used for tasks that are essential. In those cases, it is recommended to disable Java in the web browsers that are installed on the system. References to guides how to disable Java in some of the most used browsers: ChromeFirefoxSafari.

Update 31-8: Oracle has issued an update to Java 7 which addresses the vulnerability. More details here.

Update 3-9:  The earlier mentioned compilation date of the 17th of August was not related to the actual 0day exploit directly, we shared the samples with the industry and Moshe Basanchig from Trustwave responded that the earlier files found, only appeared to exploit CVE-2012-1723, and not CVE-2012-4681. All Jar files were exploiting CVE-2012-1723 and used the same obfuscator and had similarities due to the CVE-2012-1723 exploit and referenced ProtectionDomain, hence my confusion. Only the files from the 27th of August and onward exploited CVE-2012-4681 for 1.7 versions of Java and CVE-2012-1723 for other versions. Thanks to the excellent practical analysis of Immunity’s Esteban Guillardoy  it was easy to verify. Sorry for any confusion this might have caused.

It is interesting as the exploit kit appeared to gain traction on the 22nd of August and has distributed a large variety of malware which we expected to be related to the java 0day exploit, but it is not. While this exploit kit is definitely of a managed variant it also has some different properties. For example, another centrally managed exploit kit commonly referred to as Redkit, allows one to upload an executable and send traffic (visitors) to the exploit kit. The individual customers are differentiated using a numbered file which corresponds to the customer account and after successful exploitation the relevant customer malware is installed. Also the Bomba exploit kit (2010) and Incognito exploit kit (2011) are references of this type of service.

In this case however there is no distinguishing of customers to the exploit kit, all traffic has an identical landing page, and the only difference being made is the geo-location and relevant malware offered for that country is installed. This type of service is called a loads service where a customer pays for an X amount of infections for a certain country or list of countries. Another example of such a loads service was the Bredolab related loads service in 2010, which had huge volumes of traffic being converted into infected systems.

Still I am surprised by the amount of different malware that has been distributed by this service using dyndns domains, since it was only recently started, so it remains a mystery to me why it is suddenly so popular. The seemingly randomly generated domains which lead to this exploit kit are generated by a javascript domain generator which used a set of keywords and selects 4 keywords based on input parameters which are Hour, Day, Month and Year. The domain generator which was in use, is no longer used at this moment as the domains are not active.

The keywords used:
fox v junk five n r man out yes u qw solve but ea x im low zero go one too seven zeta do four key dry nine wide park hi a echo six two code

Generated domains:
date: 0:00 28-8-2012
domain: hxxp://foxwidecodea .dyndns-at-home .com
date: 1:00 28-8-2012
domain: hxxp://vparkfoxecho .dyndns-at-home .com
date: 2:00 28-8-2012
domain: hxxp://junkhivsix .dyndns-at-home .com
date: 3:00 28-8-2012
domain: hxxp://fiveajunktwo .dyndns-at-home .com
date: 4:00 28-8-2012
domain: hxxp://nechofivecode .dyndns-at-home .com
date: 5:00 28-8-2012
domain: hxxp://rsixnfox .dyndns-at-home .com
date: 6:00 28-8-2012
domain: hxxp://mantworv .dyndns-at-home .com
date: 7:00 28-8-2012
domain: hxxp://outcodemanjunk .dyndns-at-home .com
date: 8:00 28-8-2012
domain: hxxp://yesfoxoutfive .dyndns-at-home .com
date: 9:00 28-8-2012
domain: hxxp://uvyesn .dyndns-at-home .com …

The last domain in the list can be seen in the wireshark traffic log as seen in the blog, with a matching timestamp.

Barry Weymes, Michael Sandee et al.

XDocCrypt/Dorifel – Document encrypting and network spreading virus

Another day, another malware, and today it was an unknown Delphi application which encrypts your office documents on your non-root and non-CD/DVD drives and prepends it with a copy of itself, turning a document into an executable. Great, everybody loves these kinds of things as your entire IT dependant organization will grind to a complete halt if it hits your organization. So, how did people get infected by this? Well as it seems it was not a drive-by exploit on a large news site or some compromised advertisement server which caused this malware to run, but instead an already existing ZeuS variant named Citadel which downloaded and executed “a.exe”.

Should you worry about all those encrypted document files on your network…, what you should really worry about, is that there apparently was/is a trojan (ZeuS/Citadel) on your network that was doing active C&C communications and has been leaking all kinds of information from your organization for days, weeks or perhaps even months. And apparently none of your IT security defenses has removed it, has blocked it and neither has signaled you that there was something wrong on that system. If you were hit, you will likely start asking yourself some questions now… A properly configured IDS would have picked up the attack earlier and you would have been notified of the event.

Communication to the following IP addresses might indicate malicious behavior on your system:

So the big question is, why did it encrypt files… because it is not ransomware as it has no ransom note, the answer is, because they can. Interesting are also the references to the FGint library and RSA crypto, which was probably a failed experiment on behalf of the author. But RSA was not used for the encrypted documents, no it was something much more common in malicious software, actually the most common crypto apart from plain xor… RC4.

So, how would you recover such a file? Well the best method would be to use the RC4 key and use the standard RC4 implementation and decrypt the crypted document. You can find this from the separator “[+++scarface+++]” at offset 0x24a00 or 0×25000 depending on the infector version, and not forgetting to skip the last 7 0-bytes, otherwise Office will likely complain when opening the file. The RC4 key appears to be consistent in all versions: \x0d\x0a\x05\x0f\x59\x7b\x38\x5a\x5b\x36\x31\x69\x7e\x0d\x0d\x09

An alternative method for the less adventurous, or perhaps more adventurous users, if you actually run the file, it will decrypt and save a copy of the document to the same filename with “–.doc” appended to it and open it in the default application for that file type. In case nothing else works, or perhaps in case of modified crypto in newer versions and failing tools, this might be a quick way to recover an important file. Note: we do not advise this, but if you have to do this, please do it in a virtual machine without network connectivity. The actual function in the executable used for this is:

You can see in the function the separator of the file scarface, but encrypted with another common encryption function in malicious software, rot13. Other interesting strings are “SayHellotomyLittleFriend” a quote from the movie Scarface and “BreakingBad” a TV series.

The big question is of course, what is the purpose of this Trojan, one might suspect it is ransomware, but without a ransom note I guess that would be a no go. The fact that it infects shares means that it will spread to other systems that open the infected ‘documents’ on a share. Additionally HTTP based connection functionality suggests that the Trojan has additional download tasks and likely executes additional payloads on systems that have been infected. Given the Modus Operandi of this operation, it is likely that it downloads the Citadel Trojan and this entire attack was just to increase the size of the botnet through spreading of network shares. Currently however there appears to be no task defined and no additional malware is downloaded.

The interesting thing with this attack is that it appears to target NL pretty badly with over 2200 infections during the night, with the majority of the infections taking place in The Netherlands and only around 100 in Denmark and only few in other countries. The loader panel can be observed below:

All together it is a pretty interesting attack, which is obviously very visible due to the fallout with encrypted documents. And also due to the large amount of public sector organizations which were heavily affected by this attack.

Thanks to SurfRight for infected office document samples and the blog at for listing a lot of the information during the attack shared with the public.


SurfRight has provided a decryptor.

McAfee extra.dat file:

TrendMicro has detections for Dorifel / QUERVAR here.