211service.com
De nieuwste dreiging: een virus dat speciaal voor jou is gemaakt
Het Flashback-computervirus kreeg eerder dit jaar bekendheid als de eerste malware die vooruitgang boekte tegen het relatief onaangeroerde besturingssysteem van Apple, Mac OS X, dat op het hoogtepunt van de uitbraak de machines van zo'n 600.000 slachtoffers infecteerde.
Maar computerwetenschappers en beveiligingsprofessionals maakten zich meer zorgen over een ander aspect van de malware. De auteurs van Flashback gebruikten een techniek die Hollywood vaak gebruikt om te voorkomen dat film- en muziekbestanden worden gekopieerd - ze voegden functies toe die het virus aan elk geïnfecteerd systeem bonden. Het gebruik van die techniek weerhield beveiligingsbedrijven ervan het virus in hun labs te gebruiken.
Nieuw onderzoek toont aan dat een verfijning van de techniek geautomatiseerde analyse van malware bijna onmogelijk zou kunnen maken. Paul Royal, een onderzoekswetenschapper met de Informatiebeveiligingscentrum van het Georgia Institute of Technology , is van plan om het werk te onthullen op de Black Hat-conferentie deze week in Las Vegas.
Royal en zijn collega's van Georgia Tech laten zien dat een vorm van kopieerbeveiliging, host-identiteitsgebaseerde versleuteling genaamd, kritieke delen van een malwareprogramma kan versleutelen met sleutels die zijn gebaseerd op informatie die is verkregen uit het systeem van een slachtoffer, waardoor het nog moeilijker wordt om het exemplaar op een verschillende automaat.
Het analyseren van de schadelijke software die criminelen gebruiken om de computers van mensen te infecteren, is een tijdrovende, maar noodzakelijke operatie. De makers van antivirussoftware verzamelen regelmatig monsters van malware en gebruiken vervolgens geautomatiseerde analyse om een verzameling identificerende kenmerken te genereren, gewoonlijk een handtekening genoemd.
Hoewel een individuele analist de beperkingen kan omzeilen die worden opgelegd door malware-auteurs - op dezelfde manier waarop kopieerbeveiligingen voor films kunnen worden omzeild door piraten - zal het voorkomen dat beveiligingsbedrijven grote hoeveelheden bestanden automatisch verwerken, hun vermogen om aanvallers bij te houden schaden.
Voor het antivirusmodel bemoeilijkt dit het aanzienlijk om de hoeveelheid malware van de brandweer te nemen en deze op te splitsen in een subset die praktisch kan worden geanalyseerd door een menselijke analist, zegt Royal.
Omdat antivirussoftware afhankelijk is van het gebruik van dergelijke handtekeningen om malware te vangen, proberen online criminelen regelmatig de analyse moeilijker te maken. In het afgelopen decennium hebben aanvallers bijvoorbeeld polymorfisme gebruikt - een techniek om programma's te wijzigen telkens wanneer ze naar een nieuwe machine worden gekopieerd - om identificatie moeilijker te maken. Deze trend is de afgelopen jaren versneld (zie Het antivirustijdperk is voorbij).
De database met malware die wordt onderhouden door Symantec omvat ongeveer 19 miljoen handtekeningen . In zijn jaarlijkse Internet Security Threat Report dat eerder dit jaar werd uitgebracht, verklaarde Symantec dat zijn geautomatiseerde analysesystemen in 2011 403 miljoen unieke varianten van kwaadaardige programma's analyseerden, een stijging van 41 procent ten opzichte van de 286 miljoen die in 2010 werden geanalyseerd. Zonder automatisering zou deze taak veel moeilijker.
Als malwarejongens een stadium kunnen bereiken waarin, zelfs als je het [bestand] hebt, het aan een bepaalde machine is gekoppeld, dan maakt dat ons leven ingewikkelder, zegt Roel Schouwenberg , senior onderzoeker voor Kaspersky , een ander softwarebeveiligingsbedrijf. Kaspersky verwerkte in 2011 meer dan een miljard monsters via zijn geautomatiseerde systemen.
Als Flashback een indicatie van de toekomst is en automatisering de aanval van te analyseren bestanden niet langer kan opruimen, dan zouden antivirusbedrijven hun kosten omhoog kunnen zien schieten.
Vanuit ons perspectief analyseren we honderdduizenden monsters per dag, zegt Dean De Beer, chief technology officer van BedreigingGRID , een servicebedrijf voor malwareanalyse. Nu gooien ze deze curveball, en we moeten achterover leunen en zeggen: 'Wat moeten we doen om ervoor te zorgen dat we het monster kunnen verzamelen?'
Antivirusbedrijven zouden kunnen proberen om dergelijke malware te verijdelen door een virtuele machine te maken die identiek lijkt aan het systeem van het slachtoffer. Maar dit zou bij gebruikers privacyproblemen kunnen veroorzaken. Om de analyse moeilijker te maken, zouden malware-auteurs functies kunnen creëren die opdrachten van de command-and-control-servers interpreteren met behulp van een sleutel die is gemaakt op basis van informatie over de netwerklocatie van de computer. Deze techniek staat bekend als lokalisatie van instructieset en zou commando's die bedoeld zijn voor een machine in San Francisco onherkenbaar maken voor een machine in Boston.
Antivirusbedrijven hopen dat Royal de discussie op een hoog niveau houdt om te voorkomen dat aanvallers nauwkeurig advies krijgen over hoe ze hun vermogen om malware op geïnfecteerde machines te vergrendelen, kunnen verbeteren. Flashback was vervelend, zegt Schouwenberg. Als het gesprek gaat over hoe je dit de aanvaller heel gemakkelijk kunt maken, dan zit ik daar niet op te wachten.
Royal hoopt dat de presentatie dient als een waarschuwing dat verdedigers dit probleem snel moeten oplossen. Deze presentatie is geen reden om je malware-analysetools weg te gooien, zegt hij. Het moet een waarschuwing zijn. We moeten ons allemaal voorbereiden.