10 redenen waarom uw traditionele antivirussoftware niet in staat is malware van de tweede generatie te detecteren [infographic]

Gepubliceerd door Henk-Jan Angerman op

Een tijdje geleden hebben we een artikel gepubliceerd over de 6 belangrijkste kenmerken van geavanceerde cyberaanvallen (Engels). Daarin hebben we besproken dat malware van de tweede generatie vooral een uitdaging vormt voor de beveiligingsindustrie omdat deze moeilijk is te detecteren.

Makers van malware proberen steeds vernuftigere programma's te maken en tegelijkertijd de cyberbeveiligingsindustrie voor te blijven. Ze zijn succesvol omdat ze over de middelen (en vooral de tijd) beschikken steeds weer nieuwe versies te testen en hun tactieken stukje bij beetje aan te scherpen, net zo lang tot malware een systeem maandenlang onopgemerkt kan infecteren.

Er is geen enkele reden om er doekjes om te winden: cyberbeveiligingsspecialisten hebben het er moeilijk mee en voor gebruikers is het soms lastig een goede cyberbeveiliging op te zetten omdat met zoveel dingen rekening moet worden gehouden. De experts zijn zich echter wel degelijk bewust van de uitdagingen en werken aan nieuwe en effectievere methoden voor cyberbeveiliging. Dit is vooral belangrijk omdat er geen wondermiddel bestaat voor het beschermen van online activa.



Detectie is een groot probleem. Mogelijk ziet u dit nog niet zo, maar in feite stelt detectie zowel organisaties als particulieren voor grote uitdagingen. Antivirusproducten lopen nu al achter de feiten aan en zijn niet effectief om malware van de tweede generatie te detecteren en te verwijderen.

Als typisch voorbeeld van de huidige stand van zaken noemen we hier de schadelijke Angler-payload: het duurt ongeveer twee dagen voordat een antivirusproduct deze detecteert. Gedurende deze twee dagen kan er van alles gebeuren, zoals het verzamelen van uw financiële gegevens (referenties voor internetbankieren, gebruikersnamen, wachtwoorden enzovoort) tot het versleutelen van uw gegevens middels een infectie met ransomware. Twee dagen is te lang en reactieve bescherming is simpelweg niet goed genoeg.

Cisco Midyear Security Report 2015 


Nu vraagt u zich misschien af: waarom gebeurt dit?
Hoe malware van de tweede generatie onopgemerkt blijft


Mogelijk ziet u cybercriminelen als eenzame mannetjes die de hele dag achter hun computer zitten te bedenken hoe ze de wereld kunnen veroveren. Dit is deels waar, maar wat u niet ziet, is dat makers van malware grote bedrijven zijn die een winstgevende onderneming willen opbouwen en professionele ontwikkelaars in dienst hebben om nieuwe tactieken voor onopgemerkte aanvallen te ontwikkelen.

Uit het halfjaarlijkse beveiligingsrapport van Cisco van 2015 blijkt hoe sterk cybercriminaliteit zich heeft ontwikkeld:

Achter de meeste ransomware gaan ontwikkelingsteams schuil die in de gaten houden of leveranciers van antivirussoftware updates hebben uitgebracht, zodat de auteurs weten wanneer er een variant is gedetecteerd en ze dus anders te werk moeten gaan. Deze belagers verwerken betalingen met de cryptovaluta bitcoin, zodat transacties door rechtshandhavingsinstanties lastiger te traceren zijn. Veel leveranciers van ransomware beschikken over een uitgebreide klantenserviceafdeling, omdat ze binnen de markt een goede reputatie willen waarborgen (dat wil zeggen dat gebruikers zeker weten dat ze inderdaad weer toegang tot hun versleutelde bestanden krijgen zodra hun betaling is verwerkt).

Om een dergelijke mate van bedrijfskwaliteit te leveren, moeten cybercriminelen er eerst voor zorgen dat hun malware in staat is systemen te infiltreren zonder dat er alarmbellen gaan rinkelen.

Des te langer malware aanwezig is in een systeem, des te meer vertrouwelijke informatie er kan worden verzameld en des te meer schade er kan worden aangericht. Dit is dus de prioriteit voor kwaadaardige actoren bij het ontwikkelen van nieuwe malware. En creatief zijn ze zeker!

Dit zijn enkele manieren waarop malware tegenwoordig beveiligingssystemen omzeilt, zowel op bedrijfs- als particuliere computers:

  1. 1) Vernietiging van uw harde schijf

    In dit voorbeeld (Engels) wordt uitgelegd hoe malware gegevens kan wissen (data wiping malware):

    Nadat dit proces is voltooid en voordat wordt begonnen met het bespioneren van gebruikers, voert Rombertik een laatste controle uit om er zeker van te zijn dat de activiteiten niet in het geheugen worden geanalyseerd. Als er reden is om aan te nemen dat de spyware wordt geanalyseerd, wordt geprobeerd de Master Boot Record (MBR) van de kwetsbare computer te vernietigen.
    Rombertik start de machine vervolgens opnieuw op en aangezien de MBR nu niet meer op de harde schijf staat, blijft de computer van het slachtoffer zich eindeloos opnieuw opstarten.

    De MBR is de eerste sector van de harde schijf van een computer waarnaar het systeem op zoek gaat voordat het besturingssysteem wordt geladen. Om de MBR te verwijderen of te vernietigen, moet het besturingssysteem opnieuw worden geïnstalleerd, waardoor belangrijke gegevens verloren gaan.

    In gevallen waarbij de malware door beveiligingsexperts of een concurrerende maker van malware wordt onderzocht, vernietigt Rombertik zichzelf en meteen ook de inhoud van de harde schijf van een slachtoffer.

    Zoals u ziet, laten makers van malware zich door niets tegenhouden om hun kwade bedoelingen te realiseren. Al uw gegevens die ze niet nodig hebben, worden door hen vernietigd. Ze kunnen zelfs proberen uw gegevens te vernietigen nadat ze deze hebben gekopieerd en op hun servers hebben opgeslagen. U hebt dus geen enkele garantie wat er gaat gebeuren nadat uw computer is geïnfecteerd.

  2. 2) Plaatsing in een sandbox verhinderen

    Als traditionele antivirusprogramma's een potentieel schadelijk bestand op uw computer tegenkomen, proberen ze dit onmiddellijk te sandboxen. Op deze manier kan de antivirussoftware de niet-vertrouwde code of het niet-vertrouwde programma (bijvoorbeeld van niet-geverifieerde externe partijen, onbekende leveranciers, niet-vertrouwde gebruikers of potentieel schadelijke websites) uitvoeren in een beperkte omgeving, zodat de code of het programma de computer niet kan infecteren.

    Makers van malware proberen dit te voorkomen, onder andere door de malware te vermengen met miljoenen voorbeeldbestanden om de methodologie van de antivirussoftware in de war te brengen. Zo ontregelt de malware de pogingen van de antivirussoftware om de malware te vinden, te blokkeren of te verwijderen.

    Makers van malware gebruiken nog een andere manier om detectie door antivirussoftware te voorkomen: aangezien de sandbox een virtuele omgeving is, zorgen cybercriminelen ervoor dat malware sandboxmechanismen kan detecteren door registervermeldingen, de video- en muiscapaciteit van de computer, bepaalde poorten en processen en nog veel meer te controleren.

    Wanneer de malware detecteert dat deze in een virtuele omgeving (sandbox) wordt uitgevoerd, worden de activiteiten stilgelegd, zodat antivirusproducten mogelijk aannemen dat ze te maken hebben met een veilig bestand en dit dus doorlaten. Dit klinkt misschien ingewikkeld, maar het gebeurt voortdurend.


     
  3. 3) Domain shadowing

    Het is voor cybercriminelen van essentieel belang dat ze de aanvallen en communicatie tussen de payload en hun eigen servers kunnen verbergen. Hiervoor hebben ze een groot aantal URL's nodig om te gebruiken en weer te verwijderen.

    Dit doen ze door middel van domain shadowing, een techniek die in het halfjaarlijkse beveiligingsrapport van Cisco van 2015 uitgebreid is gedocumenteerd:

    Hierbij maken auteurs van exploit kits inbreuk op de account van de houder van een domeinnaam en registreren ze vervolgens een subdomein onder het echte domein van de gecompromitteerde gebruiker. Tenzij gebruikers hun accountgegevens herzien, weten ze niet dat deze subdomeinen bestaan. Deze subdomeinen zijn op de kwaadaardige servers gericht en het zijn er heel veel, ze hebben een snelle omlooptijd en ze zijn bovendien willekeurig, zodat ze moeilijk te blokkeren zijn.

    Bovendien lijkt de Angler exploit kit binnen deze omzeilingstechniek een van de meest gebruikte methoden te zijn.

    Domain shadowing is niet nieuw, maar het gebruik van deze techniek neemt sinds december 2014 toe. Uit onderzoek van Heimdal Security blijkt dat sindsdien meer dan 75% van de bekende activiteit binnen subdomeinen door makers van exploit kits kan worden toegeschreven aan Angler. De exploit kit kan door bestanden te misbruiken een groot aantal verschillende kwaadaardige payloads uitvoeren, waaronder de ransomware Trojan Cryptowall.

  4. 4) De Fast Flux-techniek

    Makers van malware zetten vaak meer dan een omzeilingsmethode in om detectie nog moeilijker te maken. Fast Flux is een veelgebruikte methode waarbij cybercriminelen een enorme hoeveelheid IP-adressen gebruiken die zijn gekoppeld aan een enkele, volledig gekwalificeerde domeinnaam.

    Vervolgens wisselen ze constant en snel van IP-adres door de DNS-records te wijzigen, zodat de daadwerkelijke infectiehaard niet door automatische systemen kan worden gedetecteerd.

    Fast Flux gebruikt doorgaans botnets (netwerken van via internet verbonden computers die zijn aangetast en nu andere computers aanvallen zonder dat hun eigenaren zich hiervan bewust zijn) om phishingcampagnes, websites vol malware en andere infectiehaarden te verbergen die zich op een groot aantal slachtoffers tegelijk richten.

    Hoewel ook dit geen nieuwe methode is, is het onder kwaadaardige actoren wereldwijd nog steeds een populaire manier van werken.

  5. 5) Gebruik van versleutelde payloads

    Versleuteling biedt uitstekende bescherming voor gegevensprivacy en -beveiliging, maar kan grote problemen veroorzaken als dit door cybercriminelen wordt gebruikt.

    Wanneer een maker van malware bijvoorbeeld besluit om de payload te versleutelen die wordt gebruikt om de computers van de slachtoffers te infecteren, vertraagt dit de detectie door antivirusproducten en is er meer tijd voor het implementeren van de malware, variërend van dataminingsoftware tot ransomware.

    Versleutelde payloads worden meestal achteraf pas geïdentificeerd, waardoor het voor de malware gemakkelijk is het systeem van het slachtoffer over te nemen totdat het reactieve beschermingssysteem in werking treedt.

  6. 6) Polymorf gedrag

    Versleuteling is niet de enige misleidingstechniek die ervoor zorgt dat malware lastig te vinden is. Cybercriminelen weten dat zij doorgaans sneller kunnen handelen dan de leveranciers van beveiligingsproducten en dus vertrouwen zij op tactieken zoals het wijzigen van bestandsnamen en het comprimeren van bestanden.

    Deze wijzigingen hebben geen invloed op het functioneren van de malware, maar maken deze wel onopvallender.



  7. 7) Gebruik van literatuur om exploit kits te verbergen

    Wat heeft klassieke literatuur te maken met cybercriminaliteit? Het klinkt misschien vreemd, maar volgens het halfjaarlijkse beveiligingsrapport van Cisco van 2015

    gebruiken sommige makers van exploit kits 19e-eeuwse literatuur om hun 21e-eeuwse onheil te zaaien. Sommigen integreren tekst, bijvoorbeeld van Sense and Sensibility van de schrijfster Jane Austen, in openingspagina's waarop hun exploit kits worden gehost.

    Het toevoegen van passages van een klassieke tekst aan een openingspagina van een exploit kit is een effectievere verduisteringstechniek dan de traditionele methode, waarbij willekeurige tekst wordt gebruikt. Het gebruik van tekst van meer eigentijdse media zoals tijdschriften en blogs is ook een effectieve strategie. Met deze teksten is de kans namelijk groter dat de internetpagina wordt aangemerkt als veilig wanneer deze wordt gelezen door antivirus- en andere beveiligingsoplossingen.

    Gebruikers die op een internetpagina ineens een stuk tekst over Elinor Dashwood of Lizzie Bennet onder ogen krijgen, vinden dit misschien vreemd maar zien geen direct gevaar. Aangezien mensen dus niet direct reageren, hebben belagers meer kansen om hun producten hun werk te laten doen.

    Het gebruik van bekende werken in plaats van willekeurige tekst is nog maar één voorbeeld van hoe kwaadaardige actoren steeds slimmere methoden gebruiken om detectie te voorkomen.

  8. 8) Gebruik van Tor en het Invisible Internet Project (I2P)

    Tor is welbekend omdat het wordt gebruikt door internetgebruikers die hun internetverkeer om verschillende redenen, zowel goede (onderzoek betreffende cyberbeveiliging) als slechte (cybercriminaliteit), willen verbergen. Het is dus niet vreemd dat makers van malware dit anonieme netwerk gebruiken om hun communicatie te verbergen; denk hierbij bijvoorbeeld aan de informatie die wordt uitgewisseld tussen een payload en een schadelijke server.

    Volgens het halfjaarlijkse beveiligingsrapport van Cisco van 2015 zijn dit de malwarefamilies die Tor het meest gebruiken voor distributie en vermenigvuldiging:



    Bovendien wordt I2P of het Invisible Internet Project (onzichtbare internetproject) voor dezelfde doeleinden gebruikt, maar bevat het ook pseudonieme en veilige functies zoals chat, bloggen en bestandsoverdracht. Dit is een voorbeeld van een darknet, namelijk 'een overlaynetwerk waartoe alleen toegang kan worden verkregen middels specifieke software, configuraties of autorisaties, waarbij vaak gebruik wordt gemaakt van niet-standaard communicatieprotocollen en poorten'. (Bron.)

  9. 9) Gebruik van Microsoft-macro's

    De Microsoft-macro is een notoire besmettingsbron die cybercriminelen al jaren gebruiken en die nog steeds populair is. Microsoft heeft deze functie geblokkeerd zodat macro's niet meer automatisch kunnen worden uitgevoerd, maar dit biedt gebruikers geen bescherming tegen social engineering.

    Om gebruikers ertoe aan te sporen macro's zelf uit te voeren is meer kennis en inspanning nodig dan bij geautomatiseerde aanvallen, maar de resultaten zijn vaak veel rendabeler en de gevolgen voor de gebruiker zijn dikwijls vele malen erger. Om ervoor te zorgen dat ze niet worden opgemerkt, wijzigen kwaadaardige actoren de bedreigingen snel en vaak, zodat detectieprogramma's steeds weer opnieuw moeten beginnen.

    Dridex, een van de gevaarlijkste soorten bankingmalware, maakt gebruik van Microsoft-macro's om de systemen van gebruikers te infecteren. Dit is een overzicht van een aantal relevante details over hoe dit in zijn werk gaat (op basis van het eerdergenoemde rapport van Cisco):

    Onze onderzoekers hebben opgemerkt dat de spamcampagnes die als dekmantel fungeren om de Dridex-payload binnen te krijgen, doorgaans van korte duur zijn, meestal maar een paar uur, en dat ze ook regelmatig muteren om detectie te voorkomen. Hoewel antivirusoplossingen nuttige beveiligingsfuncties hebben, zijn ze er niet op berekend om deze kortstondige campagnes te detecteren. Tegen de tijd dat een campagne is gedetecteerd, hebben de aanvallers de inhoud van de e-mail, de gebruikersagenten, de bijlagen en de verwijzingen alweer gewijzigd. Vervolgens starten ze de campagne opnieuw, waardoor antivirussystemen worden gedwongen de campagne opnieuw te detecteren.

  10. 10) Inactief blijven

    Dit soort omzeiling is tijdgerelateerd. Dit betekent dat de malware alleen wordt uitgevoerd of de handelingen van de gebruiker alleen vastlegt als het systeem op zijn kwetsbaarst is. Dit gebeurt bijvoorbeeld tijdens het bootproces. Gedurende de rest van de tijd kan de malware inactief blijven, waardoor deze niet wordt opgemerkt door traditionele beveiligingsoplossingen.

Hoe u uzelf kunt beschermen tegen niet-detecteerbare malware


Dat u het niet ziet, wil niet zeggen dat het er niet is. Malwarebedreigingen zijn alomtegenwoordig en zelfs voor de meest ervaren specialist vaak moeilijk op te merken. Alle hierboven beschreven omzeilingstactieken vallen antivirusproducten niet of nauwelijks op en dus zult u zelf aan de slag moeten om veilig online te zijn.

Ten eerste moet u proberen uw aanpak te veranderen, van reactief naar preventief.

Houd er ten tweede rekening mee dat preventie een aantal dingen inhoudt, namelijk:

  • uw software up-to-date houden, inclusief uw besturingssysteem;
  • de juiste tools voor cyberbeveiliging gebruiken om internetverkeer te filteren en potentiële bedreigingen tegen te houden, waardoor de kansen op infectie aanzienlijk worden teruggedrongen; 
  • gevaarlijke weblocaties vermijden, zoals torrentwebsites, verdachte banners of andere soorten websites die er onbetrouwbaar uitzien. Als u 's avonds liever niet door donkere steegjes loopt, moet u dit soort websites ook niet bezoeken;
  • op de hoogte blijven van ontwikkelingen om potentiële cyberaanvallen te detecteren die via phishing-e-mails, geïnfecteerde banners, spam-e-mails, social engineering en meer worden uitgevoerd. Hebt u uw kinderen geleerd niet met vreemden te praten? Waarom zou u dan een e-mail beantwoorden van iemand die u niet kent of op een e-mailbijlage klikken alleen omdat iemand u heeft gezegd dit te doen?

Cybercriminelen hebben altijd een voorsprong. Zorg ervoor dat ze u niet kunnen pakken en weet hoe u uzelf kunt beschermen.

Heimdal


Conclusie


Makers van malware weten dat de meeste gebruikers voor bescherming vertrouwen op antivirusproducten en bovendien weten ze heel goed wat ze moeten doen om detectie te voorkomen. Ze handelen in rap tempo en beschikken over de nodige middelen om niet alleen hun doelen te bereiken, maar ook om traditionele beveiligingsproducten ertoe te dwingen om bij elke nieuwe kwaadaardige campagne weer helemaal opnieuw te beginnen.

Reactieve beveiliging is niet langer voldoende. We zeggen niet dat u uw antivirusproduct maar aan de kant moet zetten, maar we raden u wel aan om ook andere soorten beveiliging in te zetten als u cyberaanvallen wilt afslaan. Proactieve bescherming is essentieel en gaat de komende jaren voor zowel organisaties als thuisgebruikers een cruciale rol spelen. Als u zich nu aanpast aan de nieuwe situatie, kunt u veel beter omgaan met alle veranderingen dan de mensen die denken dat cyberbeveiliging niets met hen van doen heeft.

Als eerste stap kunt u proberen de tactieken te visualiseren die cybercriminelen gebruiken om hun cyberaanvallen zo lang mogelijk onopgemerkt uit te voeren, waarbij uw systeem wordt blootgesteld aan een enorm aantal bedreigingen met potentieel negatieve gevolgen. En de tweede stap? Die kent u al!

10 redenen waarom uw traditionele antivirussoftware niet in staat is malware van de tweede generatie te detecteren [infographic]


Oudere posts Nieuwere posts


Scroll To Top