Ik heb vermoedelijk een RAT op mijn PC

MrNobody28 schreef op maandag 17 mei 2021 @ 00:52:
Beste Tweakers!

Afgelopen vrijdagnacht is mij iets vreselijk vervelends overkomen. Er is €1700 afhandig gemaakt. De hacker heeft dit op de volgende manier gedaan: Op mijn twitch account ingelogd (2fa was enabled) voor 1700 euro aan bits gekocht via mijn PayPal , deze zijn doorgesluisd.
Gelukkig heeft Twitch mij redelijk snel geholpen en heb ik mijn geld inmiddels terug.

Nu rest mij de vraag, hoe heeft dit kunnen gebeuren? De laatste tijd heb ik wel wat verdachte software gedownload dus mijn vermoeden gaat daar naar toe. (plugins voor Fruity Loops)

Ik denk dus dat er een RAT in mijn pc/laptop zit. De transactie is op zaterdagnacht gebeurd, toen stond mijn PC uit maar mijn laptop stand-by. Toen ik erachter kwam heb ik gelijk de gebruikelijke stappen gezet om mijn geld terug te krijgen en een aantal wachtwoorden veranderd. Mijn laptop heb ik inmiddels een clean install gegeven en daar zie ik eigenlijk niets verdacht meer, maar ik lees wel het e.e.a. Over rootkits?

Op mijn desktop heb ik de data veilig gesteld en ben ik ook klaar voor een clean install. Maar is het daarmee weg? Ik moet zeker weten dat het van mijn pc af is, anders ga ik alleen nog maar bankzaken kunnen regelen via mijn werk laptop (werk zelf als IT-er, maar niet gespecialiseerd in security en networking).

Nu rest mijn vraag, welke stappen kan ik nog ondernemen om er zeker van te zijn dat de RAT van mijn pc af is?

Of... Was de hack wel via een RAT? Dat moet toch bijna wel aangezien mijn twitch account alleen op die devices stond ingelogd, evenals mijn PayPal. En anders had ik 100% een mail ontvangen dat er elders is ingelogd geweest.

Relevante software en hardware die ik gebruik.
Malwarebytes
Windows Defender
AVG

Wat ik al gevonden of geprobeerd heb.
Msconfig opstartprogrammas
Taakbeheer
%appdata% hided files gecheckt
Netstate op mijn verse OS van de laptop gecheckt

Het kan zeker een RAT zijn en het idee dat het via een plugin op Fruityloops binnenkwam is realistisch (zeker als dit van de piratenhaven afkomstig is). In het verleden waren er al voorbeelden van ''gecrackte'' adobe plugins die malware downloadden.

Via de RAT kunnen ze een eventtrigger inschakelen bij bijv. paypal of Twitch, waarbij je desktopactiviteit wordt opgenomen. Als je dan twee authenticatie instelt, dan hebben zij ook de QR code om zelf de code te genereren op hun mobiel.

Tegenwoordig kunnen ''hackers'' ook je computervingerafdruk kopiëren en gebruiken om in te loggen als ''trusted device''. Dus bij zaken als PayPal, Gmail, iCloud heb je geen extra authenticatie nodig, enkel het wachtwoord die vaak ook gecompromitteerd is. Deze vingerafdrukken kunnen ook van je telefoon afkomstig zijn, alhoewel die minder ''populair'' zijn onder criminelen. Deze nieuwe vorm van criminaliteit is op dit moment super populair, maar de autoriteiten zitten er wel bovenop. Het is zegmaar niveautje SilkRoad...
Helaas is dit een soortvan markt geworden waarin mensen gecompromitteerde computers verkopen. Jouw computer zou in dit geval best wat waard zijn gezien de gekoppelde accounts.


Stappen om uit te voeren zijn dus:
1. Op een andere device met lege Windows installatie (met antivirus) je wachtwoord opnieuw instellen en genereer nieuwe QR codes voor twee authenticatie. Eventueel je telefoon opnieuw instellen indien dit ook gecompromitteerd kan zijn.
Volgorde van wachtwoorden veranderen: E-mail (check ook je filters voor evt. doorstuurfilters!) -> Clouddiensten (indien je QR codes opslaat) -> Financiële zaken -> overig

2. Op je eigen laptop met lege Windows installatie ook eens kijken of je een biosupdate kan doen, wellicht dat het een malafide bios rootkit kan overschrijven.

3. Check ook of je partners/mensen die je wachtwoorden oid weten hun systeem kunnen scannen. Sommige partners delen bepaalde twee authenticatie codes indien er ''iets'' gebeurt. Zou ook geen wachtwoorden delen via WhatsApp of laten opslaan bij andere mensen.

Heb je Teamviewer op je PC staan met de standaardinstellingen? Er zijn heel veel mensen die geld kwijt zijn geraakt doordat 's nachts iemand ingelogd heeft.

Had je de 2FA authenticator op je PC staan (bijv. Authy), of op een los apparaat?

Mij verbaast het dat iemand binnen komt ondanks 2FA. Kan het zijn dat @MrNobody28 codes via SMS ontvangt en de hacker een nieuwe sim-kaart heeft aangevraagd?

Het RAT verhaal is misschien wat waarschijnlijker (ik wist overigens niet dat een RAT zoveel schade kan aanrichten), maar ik zou zeker nagaan of mijn scenario klopt. En natuurlijk overal unieke en moeilijke wachtwoorden gebruiken. Je wil niet dat iemand via SMS jouw codes kan ontvangen, zonder dat jij het weet.

MrNobody28 schreef op maandag 17 mei 2021 @ 00:52:
Wat ik al gevonden of geprobeerd heb.
Msconfig opstartprogrammas
Taakbeheer
%appdata% hided files gecheckt
Netstate op mijn verse OS van de laptop gecheckt

Waarom komt in je hele topicstart het woord antivirus niet voor? Waarom heb je geen uitgebreide scan gedaan met één van de talloze antivirus programma's die beschikbaar zijn?

Ligt eraan hoe je een "Clean Install" hebt gedaan. Soms kan een RAT een MBR of verborgen partitie aanmaken waardoor het virus na een herinstall terug kan komen. Je moet dus voor een Windows installatie alle partities wel echt formatteren.

Voor wie net als ik niet wist waar RAT voor staat: Remote Access Tool // Remote Access Trojan.

Via een schone laptop, eerst bij alle finance accounts sessie verbreken en alle trusted devices weggooien. Wachtwoorden overal aanpassen naar unieke ww. en 2FA vernieuwen en inschakelen. Oude laptop niet wissen hier staat mogelijk bewijs materiaal op.

Oon schreef op maandag 17 mei 2021 @ 02:10:
Heb je Teamviewer op je PC staan met de standaardinstellingen? Er zijn heel veel mensen die geld kwijt zijn geraakt doordat 's nachts iemand ingelogd heeft.

Had je de 2FA authenticator op je PC staan (bijv. Authy), of op een los apparaat?

Kan je hier iets meer over vertellen.
Zelf gebruik ik binnen mijn familie Teamviewer op probleempjes te verhelpen als ik even niet langs kan komen.

welke standaard instellingen moeten gewijzigd worden ?

hoi1234 schreef op maandag 17 mei 2021 @ 09:29:
Mij verbaast het dat iemand binnen komt ondanks 2FA. Kan het zijn dat @MrNobody28 codes via SMS ontvangt en de hacker een nieuwe sim-kaart heeft aangevraagd?

Het RAT verhaal is misschien wat waarschijnlijker (ik wist overigens niet dat een RAT zoveel schade kan aanrichten), maar ik zou zeker nagaan of mijn scenario klopt. En natuurlijk overal unieke en moeilijke wachtwoorden gebruiken. Je wil niet dat iemand via SMS jouw codes kan ontvangen, zonder dat jij het weet.

Je kan voor je eigen PC natuurlijk aangeven dat het account ingelogd moet blijven ipv continue 2FA te doen (zoals bij paypal, onthoud deze PC), dan omzeil je heel 2FA als natuurlijk rechtstreeks vanaf zijn PC wordt gehandeld.

...

[ Voor 119% gewijzigd door Ernemmer op 25-05-2021 10:01 ]

HeAdWaVe74 schreef op maandag 17 mei 2021 @ 10:31:
[...]


Kan je hier iets meer over vertellen.
Zelf gebruik ik binnen mijn familie Teamviewer op probleempjes te verhelpen als ik even niet langs kan komen.

welke standaard instellingen moeten gewijzigd worden ?

Ik gebruik ook gewoon nog Teamviewer om een aantal familieleden te ondersteunen (althans, tot kort geleden, want nu kickt Teamviewer me er na 10 seconden uit omdat ze vinden dat ik het commerciëel gebruik )

Je kan onder instellingen -> beveiliging de wachtwoordsterkte op 'geen' zetten, en dan gebruik maken van een toegewezen account, een vast wachtwoord instellen, of de persoon aan de andere kant goedkeuring laten geven iedere keer dat je verbinding maakt.

Wat te doen in geval van een kwaadaardige RAT?
(info van overheid)

MrNobody28 schreef op maandag 17 mei 2021 @ 00:52:
Afgelopen vrijdagnacht is mij iets vreselijk vervelends overkomen. Er is €1700 afhandig gemaakt.[...]

/offtopic
Behalve het oplossen/analyseren van de huidige situatie:
Vergeet niet om ook aangifte te doen zodat dit soort zaken goed in beeld komen bij de relevante partijen.

Je kunt jezelf pas beveiligen als je weet waar je zwakheden zitten en waar er misbruik van is gemaakt.
JE bent nu een beetje met hagel aan het schieten.

Afgelopen vrijdagnacht is mij iets vreselijk vervelends overkomen. Er is €1700 afhandig gemaakt. De hacker heeft dit op de volgende manier gedaan: Op mijn twitch account ingelogd (2fa was enabled) voor 1700 euro aan bits gekocht via mijn PayPal , deze zijn doorgesluisd.

Hoe weet je dit? Heb je hier meer info van? Is er een authenticatie log? Is 2fa request afgegaan?

Gezien je vermoedens van inbraak, en toegang tot je laptop, icm je werk als ict-er.
Heb je ook klant-gegevens of toegang tot data/systemen van je werkgever op deze laptop? Zoja, heb je je werkgever als op de hoogte gesteld van deze inbraak, en indien nodig een melding bij het AP gedaan als er persoonsgegevens van derden gemoeid zijn met die incident?

Een clean install zonder bewijsmateriaal veilig te stellen is daarnaast niet heel handig, nu is het maar afwachten of je daadwerkelijk de bron hebt gepakt, en is het onmogelijk te zien wat er gebeurd is.

Autmatische betalingen enabled bij Paypal en gekoppeld aan Twitch? Bij het opnieuw inloggen van een apparaat bij Twitch moet diegene ook toegang hebben tot de mail om een 6-cijferige reeks in te voeren. Dit heeft Twitch automatisch buiten hun 2FA. De 2FA die je aan moet zetten bij Twitch gaat enkel en alleen over telefoon, dan wel een app.

Zo zijn ook regelmatig wat mensen die bestellingen op hun naam kregen bij thuisbezorgd en een koppeling van Paypal hadden. Zie topic: Iemand deed Thuisbezorgd.nl bestelling via mijn PayPal

MrNobody28 schreef op maandag 17 mei 2021 @ 15:20:
Werkgever heb ik gelijk ingeschakeld, heb nooit iets qua werk op de pc's gedaan.

@laurens0619
Er is geen 2fa request afgegaan.
Sorry ben vooral 'n beetje in paniek geraakt van hoe heeft mij dit kunnen over komen.

Hoe ik er achter ben gekomen is dmv een afschrijving op mijn PayPal.
Heb geschiedenis van de pc en dergelijke gecontroleerd maar die sporen zijn uitgewist.
Ik weet bijna zeker dat het is mis gegaan bij het downloaden van fl studio plugins.

Er zou volgens mijn collega ook een rootkit op de pc kunnen staan. Wat hij dan adviseert is om de boot ssd te vervangen en ook de andere schijven te formateren.

Helaas reikt mijn kennis in deze kwestie niet heel ver. Vandaar dat het misschien over komt als hagel schieten haha.

Maar is je paypal dan niet gewoon gehackt? Had die wel MFA?
Kun je in paypal authenticatie log terugvinden?

https://www.technipages.com/paypal-review-recent-logins

Ok dus Twitch is geautoriseerd om je paypal te gebruiken. De vraag is dus, hoe kwamen ze in je Twitch account?

Als je ingelogd bent op de computer en je hebt een rootkit, dan kunnen ze eenvoudig of vanaf je computer inloggen en de aanval uitvoeren, of het sessie token kopieren om hiermee lokaal "in te loggen".

Vragen:
- Hoe lang blijft je sessie actief op je computer na inloggen op twitch? Hoe vaak moet je de MFA entry opgeven?
- Heb je toevallig een andere app geautoriseerd in je twitch?

https://www.twitch.tv/settings/connections


https://docs.gamesparks.c...witch-authentication.html
https://www.reddit.com/r/...witch_oauth_phishing_faq/

[ Voor 11% gewijzigd door laurens0619 op 17-05-2021 17:20 ]

MrNobody28 schreef op maandag 17 mei 2021 @ 17:14:
Even een update!
Heb een rootkit op mijn laptop gevonden via Kaspersky. Het rare is dat deze staat op de HDD en niet op de boot ssd.

Ondertussen ben ik al mijn apparaten aan het scannen en het wachtwoord van de router aanpassen.

Laten we hopen dat het alleen m'n laptop is...

Ja dat kan gewoon, ook met silent startup die niet in msconfig/taakbeheer verschijnt. Qua aangifte kunnen ze enkel informatie opvragen via de ISP/VPN provider met het IP adres wat je eerder vond, want denk dat je het meeste bewijs al gewipet hebt tijdens de reinstall e.d.

Bij van zware infectie verdachte systemen kan je ook nog een standalone bootable antivirus scan uitvoeren
Lifewire: 15 Best Free Bootable Antivirus Tools
Zelf gebruik ik in zulke situaties ook de al eerdere genoemde Kaspersky Virus removal tool vanuit een bootable WinPE omgeving.

MrNobody28 schreef op maandag 17 mei 2021 @ 23:56:
Alleen ben ik nog wel achterdochtig als ik met dat apparaat m'n netwerk op ga, of daar nog gevolgen aan kunnen zitten...

Tip: dit soort risico's moet je niet eens meer willen nemen als het vermoeden er is.

Kies voor je gemoedstoestand voor het blijft knagen.

Ik zou misschien eens een google alert inzetten op je gegevens. Je zegt zelf dat je Netflix, Videoland enz gebruikte, in principe moet je alle accounts die gelogd zijn op de laptop moeten resetten, liefst dan van een alternatieve bron. Om zo de kans te verkleinen dat nog iets van de accounts gecompromised is.

Daarnaast kun je nog altijd een upgrade van je router doen om 'verdacht' verkeer te signaleren. Als er dan nog iets gaat pollen naar een c2c host, dan zou je de kans hebben dat het gezien gaat worden.

Maar ook daar zou ik niet te hoge verwachtingen van hebben in het consumenten segment.

Heb je een wachtwoord manager op je laptop staan? Of zijn er wachtwoorden gewoon opgeslagen in de browser(s)? Want in beide gevallen, kun je er vanuit gaan dat de aanvaller toegang heeft tot hem. Maar als je een wachtwoord manager hebt, dan zou ik eerst zeker zijn dat daar niet nog toegang tot is. Kijk bij diverse opties waar ingelogd is. Bv gmail geeft de mogelijk om ingelogde sessies weer te geven.

Ik zou zelf ook noteren welke acties je hebt gedaan, uiteindelijk raak je tussen de bomen het bos ook wel kwijt.

MrNobody28 schreef op maandag 17 mei 2021 @ 11:47:
Bedankt voor alle reacties!!

Even wat vragen beantwoorden die ik voorbij zie komen. Ik heb inderdaad ook wat scans gedaan met malwarebytes, AVG en windows defender. Hier kwam wel wat uit, maar had het toen verwijderd.

Wat werd er precies gevonden? Juist dit soort informatie is belangrijk om een eventueel probleem te achterhalen. Ook je stelling over 2FA vind ik wat onduidelijk. Heb je al contact gezocht met Paypal? Is daar ook iets in onderzoek? Gebruik je zwakke wachtwoorden of hergebruik je jouw wachtwoorden wellicht op andere websites?

HEUR:Rootkit.Agent.gen is een generieke benaming voor iets wat door heuristic analysis. Dat kan ook een false positive zijn. Je ziet vaak dat bv cracks en andere schimmige zaken dit soort meldingen ook triggeren. In welk bestand zat het? Heb je dat bestand nog? Je kan het uploaden naar bv Jotti Malware Scanner of Virus Total om het bestand door een grote hoeveelheid scanners te laten analyseren.

MrNobody28 schreef op dinsdag 18 mei 2021 @ 09:30:
@Bor Device/Harddisk1/DR1 was de locatie van het bestand
Harddisk1 is mijn HDD.
Ik had mijn HDD voor de scan geformatteerd.
Toen de detectie plaats vond heb ik het bestand verwijderd, juist omdat ik dacht, het is een geformatteerde schijf. Dat is imo al verdacht.
Ik draai nu nogmaals een scan om te zien of het bestand er weer staat.

Lijkt het je anders verstandig om de laptop een dag terug te zetten (als ik die mogelijkheid heb) toen het bestand er nog wel op stond? Of gaat deze er dan niet meer zijn...

Er is dus geen enkel spoor meer te achterhalen van het precieze pad?

Norton 360 is ruk, maar dit is gebaseerd op ervaringen met Norton SystemWorks uit 1998, dus wellicht niet helemaal accuraat.

MrNobody28 schreef op woensdag 19 mei 2021 @ 00:51:
Ondertussen aan het kijken voor een virusscanner. Ik lees veel positieve ervaringen met Norton 360 Deluxe. Wat vinden jullie van deze AV?

Ik raad aan om gewoon Windows Defender te gebruiken. Dat is een uitstekend product geschreven door mensen die Windows door-en-door kennen. Third party antivirusproducten hebben twijfelachtige meerwaarde, ook al probeert de marketingafdeling je te overtuigen van het tegenovergestelde.

Dan laat ik de rant over third party AV dat je systeem saboteert nog achterwege.

Trap vooral niet in de val nu te denken iets te moeten aanschaffen zodat het 'beter' wordt. Je eigen gedrag proberen aan te passen (plugins uit dubieuze bron halen) is véél belangrijker - de kans dat een goed gepackte RAT langs eender welke AV glipt is reeel ongeacht welk product dat is. Er niet op dubbelklikken is het belangrijkste.

Als je uit de logs van je huidige AV vist wat er nu precies waar gevonden werd dan kun je daar misschien nog nuttige lering uit trekken (dwz. bevestiging dat het met zo'n plugin meekwam).

Heb een tijdje terug in hetzelfde schuitje gezeten, kan onderschrijven dat geen enkel tool wat ik gebruikt heb (virusscanner) in staat was alles te detecteren.
Uiteindelijk deepdive gedaan met tools als gmer, ms sysinternals etc om de locaties van 'verdachte, steeds terugkomende processen uit te zoeken en deze handmatig verwijderd.

Ben daar wel een paar uur zoet mee geweest maar het heeft gewerkt.

Omdat ik heel snel in de gaten had dat ik opeen verkeerde lnk geklikt had (en netwerk eraf gegooid heb) is er verder niets gestolen, wel heb ik nu overal 2fa aangezet waar dat nog niet aanstond en alles (vooral PP) gaat nu altijd met key vanuit authy op telefoon, geen trusted devices...

Bottomline van mijn ervaring: zowel defender, als welk ander tool wat ik geprobeerd heb zal nooit alle delen van een rootkit verwijderen...

Anoniem: 37334 schreef op woensdag 19 mei 2021 @ 01:34:
Norton 360 is ruk, maar dit is gebaseerd op ervaringen met Norton SystemWorks uit 1998, dus wellicht niet helemaal accuraat.

😂 ja dat was verschrikkelijk vroeger, zo traag!
Maar het Norton van nu zou ik wel durven aanbevelen. Heb zelf goede ervaringen met Norton 360 en testresultaten zijn ook goed. Vaak kun je best voordelige pakketten krijgen met meerdere licenties.
Ik denk alleen niet dat je dit moet doen puur omdat je hoopt dat die meer gaat vinden. Wellicht wel ten opzichte van AVG en Malwarebytes, maar Kasperky is behoorlijk gelijkwaardig aan Norton en die zullen onderling weinig verschil geven qua scanresultaten.

MrNobody28 schreef op maandag 24 mei 2021 @ 00:24:
Mijn laatste korte update.
Aangifte gedaan, zal verder niet veel meer mee gebeuren verwacht ik.
Een Google melding van verdachte software op mijn laptop heb ik niet voorbij zien komen, Google wist er dus al van blijkbaar haha.
Ook is hier een betaalmethode mbt Google Ads aangemaakt, verder geen kosten op gehad maar ik snap niet waarom iemand dat gedaan heeft. Dat Google Ads account heb ik verwijderd en de betaalmethode ook. Op m'n laptop dus de rootkit aangetroffen, de laptop helemaal schoon gemaakt maar ik ga hem niet meer gebruiken voorlopig.
Norton op al mijn apparaten geïnstalleerd, just in case.
Alle apparaten ook even nagelopen maar niets kunnen vinden verder. Wel voor de zekerheid clean installs gedaan. En natuurlijk alle wachtwoorden vervangen.

Geld terug gekregen van Twitch, heel fijn.
PayPal verwijderd, ook al ligt het daar niet aan, ik wil geen koppelingen meer hebben maar een fysieke creditcard.
Pittige week gehad, beetje paranoïde achtige gedachte maar dat zal na verloop vast weg trekken.

Ik wil iedereen die hier gereageerd heeft bedanken, mede door jullie tips ben ik er goed vanaf gekomen.

Mooi geregeld zo! Heb je ook de Norton power eraser scan gedraaid als extra check?