De antivirus voorbij

Els Bellens
Els Bellens Technologiejournaliste bij Data News

Met de recente aanvallen staat IT-security weer volop in de belangstelling. Maar intellectuele eigendommen beschermen wordt er niet makkelijker op. Enkele securitybedrijven proberen het anders aan te pakken.

Het slagveld van moderne misdaad is grotendeels verlegd naar het internet, zegt Chris Phillips, antiterrorisme-expert bij Ipsso: “De misdaad verandert. Je ziet tegenwoordig steeds minder inbraken, minder autodiefstallen. Een groot deel van de diefstallen gebeuren nu online. Dat is namelijk een pak minder riskant.” En dan heeft hij het niet alleen over de fysieke risico’s van pakweg een bankoverval. Ook arrestaties zijn moeilijker, vertelt hij: “Het internet heeft geen grenzen. Iemand in Litouwen kan via Kazachstan proberen binnen te breken op jouw servers. Kan je je voorstellen hoe moeilijk het is om die mensen voor de rechtbank te halen?”

Het businessmodel van ransomware

Wat Phillips, en zowat elke security-expert die we spreken, graag vertelt is dat cybercrime niet langer een hobby is van script kiddies. Het is een ‘business’. “Er zijn verschillende redenen waarom bijvoorbeeld ransomware nu zo voor de hand liggend is, ” vertelt Frederik Van Den Hof, channel systems engineer bij securitybedrijf Palo Alto Networks: “Het is om te beginnen een bewezen zakenmodel. Je kan daar zo’n 325 miljoen dollar mee verdienen op een jaar, voor één malwarecampagne. Het gaat zo ver dat deze bedrijven ondertussen al helpdesks oprichten om hun ‘klanten’ te helpen een bitcoinportefeuille aan te maken. In pakweg Rusland heb je organisaties die als echte bedrijven functioneren. Het is voor hen zaak de markt voor te zijn en nieuwe ransomware uit te brengen voor die wordt ontdekt en tegengehouden.”

Ransomware is een bewezen businessmodel.

Die professionalisering van cybercrime betekent dat u nu aan twee kanten gespecialiseerde teams vindt. De securitybedrijven proberen zo snel mogelijk lekken te dichten en oplossingen te vinden voor nieuwe virussen of malware. En de cybercriminelen proberen net nieuwe codes te schrijven en hebben hun eigen manieren om lekken te vinden en uit te buiten. Het is een wapenwedloop, maar dan met malware. Bottom line is in dit geval de ROI, zegt Rick McElroy, security strategist bij beveiligingsfirma Carbon Black: “Je hebt mensen die ransomware gebruiken om hun huur te betalen. Da’s niet hetzelfde als hacktivisten die jouw bedrijf om een of andere reden niet leuk vinden. Voor deze hackers draait het om ROI. Ze willen zo veel mogelijk computers besmetten om er zo veel mogelijk geld uit te halen.”

En als de doelstelling is om geld te verdienen, zijn het lang niet de individuen en de overheden die het sappigste doelwit vormen. “We zien dat ze ook focussen op bedrijven. Er zijn bijvoorbeeld ransomwares die specifiek zijn toegespitst op het encrypteren van Office documenten en databases”, aldus Frederik Van Den Hof. Maar hij vertelt er meteen ook bij dat die ransomware niet het grootste probleem is. “Ransomware op zich is vooral een symptoom van een gebrek aan security. Vaak zijn dat ‘commodity aanvallen’ die massaal gebeuren. Ransomware toont dat iets gebeurd is, maar het betekent vooral dat iemand op het systeem is geraakt. Ze kunnen net zo goed persoonsgegevens lekken, informatie stelen enzovoort. Je weet nooit wat je verloren bent.”

De cyclus van malware

Door die wapenwedloop rond kwetsbaarheden, en de snelle uitwisseling van hacking tools op ongure platformen op het Dark Web, kan ook de effectiviteit van de meer ‘traditionele’ antivirus en antimalwaresoftware in het gedrang komen, zegt Frederik Van Den Hof: “Traditionele antivirussoftware is gebaseerd op signatures. Die gaat kijken of er een virus in je gedownloade bestand zit. Als daar geen signature voor bestaat, dan mag het bestand gewoon door.”

Dat blacklist systeem is minder efficiënt in een wereld waarin aanvallen supersnel veranderen. Wanneer een nieuw lek wordt ontdekt (een zogeheten zero day kwetsbaarheid), door een van de partijen, dan is het alle hens aan dek om daar ofwel zoveel mogelijk geld uit te halen door computers te infecteren, ofwel om het zo snel mogelijk in de databases van de grote securitydiensten te stoppen. Dat is een strijd die bijna niet te winnen valt. “Van zodra een nieuwe malware wordt gereleased, zie je heel veel infecties. Meestal komt dan de signature voor securityprogramma’s uit, en gaat ook de url van waaruit wordt geïnfecteerd geblokkeerd worden”, zegt Frederik Van Den Hof. “Maar malwareschrijvers weten ook dat die securitymechanismen zo werken, dus ze schrijven scripts die de malware om de dag of zo aan te passen. Functioneel doet de code nog hetzelfde maar door kleine aanpassingen wordt ze niet meer automatisch herkend. Dat maakt het uitdagend om ze met traditionele securityoplossingen tegen te gaan.”

Het is niet dat traditionele antivirus tools slechte producten zijn. Het zit hem in hun architectuur, die niet langer genoeg is.

Het is een verhaal dat u, toegegeven, vooral hoort bij de makers van antivirus-alternatieven. Maar misschien is er wel iets van aan. Ook de producenten van ‘klassieke’ antivirus zijn namelijk aan het evolueren. Pakketten als McAfee gebruiken ondertussen een heel scala aan filters, van een firewall die effectief samenwerkt met antivirus over reputatiemanagement tot real time detectie op alle endpoints in een bedrijfsnetwerk. Volgens de concurrenten is dat echter niet genoeg.

Op technologiebeurzen als CeBIT valt dan ook een stevige trend naar ‘alternatieve’ securitybedrijven op. Bedrijven die, in plaats van mee te gaan in de wapenwedloop, een meer proactieve manier zoeken om inbrekers te snel af te zijn. Diensten als Fox-IT, Palo Alto Networks, Sophos, Carbon Black en zelfs bedrijfjes als Avecto zoeken nieuwe manieren om endpoints te beveiligen of gebruiken machine learning en een diepere kennis van de modus operandi van malware om kwaadaardige code te detecteren en te neutraliseren, ook als ze al voorbij de firewall is geraakt. In plaats van virussen en malware alleen tegen te houden wanneer ze binnen komen, kijken deze systemen naar wat die code doet en gaan ze die proberen te blokkeren voor ze schade aanricht. “Het is niet dat traditionele antivirus tools slechte producten zijn. Het zit hem in hun architectuur, die niet langer genoeg is. In de begindagen van het internet werkte dat nog, maar nu niet meer,” vat Jessie Harris, systems engineer bij Carbon Black, het samen.

De antivirus voorbij

Hoe werkt die ‘nieuwe generatie’ beveiliging dan? “Palo Alto Networks’ Traps gaat niet naar de file zelf kijken, maar draait als een proces tussen het besturingssysteem en het bestand, ” zegt Frederik Van Den Hof. Als u bijvoorbeeld een besmette pdf hebt gedownload, dan gaat het programma kijken naar wat het bestand probeert te doen. Palo Alto Networks’ endpoint product gaat uit van het principe dat er maar een klein aantal manieren zijn om met malware uw doel te bereiken. De software is dan ook een aaneenschakeling van 28 ‘exploit prevention tools’. Van Den Hof: “Als je kijkt naar exploits (manieren om via code een computer binnen te breken), dan zie je dat er daar constant nieuwe bijkomen. Maar functioneel zijn ze hetzelfde. Ze gebruiken zo goed als allemaal dezelfde basistechnieken. Voor reeds gekende exploits kan een hacker een simpel script gebruiken dat de file bij iedere aanval lichtjes aanpast om hem onherkenbaar te maken. Een nieuwe exploit schrijven is een kwestie van het identificeren van een nieuwe softwarekwetsbaarheid om vervolgens de gekende exploittechnieken hierop toe te passen. Wil je echter een geheel nieuwe exploittechniek gaan maken, dan moet je bij wijze van spreken een doctoraatsthesis schrijven.”

De technieken waarover hij het heeft, draaien dan bijvoorbeeld om het starten van subprocessen van Internet Explorer (zodat de gebruiker ze niet zomaar kan uitzetten), of het injecteren van code in programma’s waar het gedownloade bestand niets te zoeken heeft. “We gaan kijken hoe het bestand opereert. Op die manier kunnen we bijvoorbeeld ook zero day aanvallen tegenhouden, met exploits waarvoor nog geen signatures bestaan.”

De stroper en de jager

Carbon Black gebruikt een gelijkaardige methode maar gooit er machine learning bovenop. “Wij kijken naar de activiteit op uw computers”, legt Rick McElroy van Carbon Black uit. “We gaan daarbij op zoek naar interessante security metadata. Dat gaat niet over wachtwoorden en kredietkaartnummers, maar over de context waarin bestanden draaien.”

Carbon Black’s product, Cb Endpoint Security, is in principe cloud software. De vergaarde data wordt in de cloud verwerkt en vergeleken, en processen die zich vreemd gedragen worden extra in het oog gehouden totdat ze over de schreef gaan. Het werkt zoals ‘event stream processing’, zegt McElroy: “Vergelijk het met je bank, die weet wanneer er mogelijk frauduleuze betalingen op je kaart krijgt.” De software doet hetzelfde voor computerprocessen, zegt McElroy, en het werkt ook voor wat Carbon Black ‘fileless attacks’ noemt. Dat zijn aanvallen die niet, zoals traditionele malware, eerst een bestandje op de computer van het slachtoffer zetten. Ze vormen zowat het stokpaardje van dit securitybedrijf. “Stel dat iemand naar een pagina surft, of een flash video opent. Dat gebeurt heel vaak. Je kan niet vermijden dat werknemers op dingen klikken. Dat proberen we al dertig jaar. Maar dan doet die flash iets raars. In plaats van de video af te spelen, gaat hij dll code naar het geheugen sturen en roept hij PowerShell op. Dan gaan er bij ons belletjes af.”

Je kan niet vermijden dat werknemers op dingen klikken. Dat proberen we al dertig jaar.

Die PowerShell, legt Jessie Harris tijdens een demosessie uit, is een programma dat vaak door system administrators gebruikt wordt in grote bedrijven. “Daarom gaan we het ook niet meteen blokkeren. Het wordt pas een echte dreiging als die PowerShell gebruikt wordt om bijvoorbeeld code te injecteren in WordPad. Dat is een duidelijke manier om een aanval te verbergen, want er is geen enkele reden waarom een sysadmin dat zou doen. Die kan zijn code gewoon lanceren.”

Uiteindelijk proberen al deze bedrijven vooral om via verregaande kennis van hackingmethodes, maar ook gewoon van hoe computers werken, hun klanten veilig te stellen. Het is hopelijk nog even wachten tot de ‘andere kant’ ook daar weer een nieuwe oplossing voor vindt.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content