Nieuws


30 jaar ontwijkingstechnieken in malware

‘Hackers verbergen dreigingen actief’

AV-bedrijven zijn wel gewend om terug te blikken. Op het afgelopen kwartaal, jaar, desnoods op de afgelopen twee jaar. McAfee maakt het in zijn Labs Threats Report juni 2017 wel heel erg bont door terug te blikken op ‘dertig jaar ontwijkingstechnieken in malware’.

Malware-ontwikkelaars zochten vanaf de jaren ’80 van de vorige eeuw naar manieren om beveiligingsoplossingen te omzeilen. In eerste instantie verdedigde malware zich door een deel van de eigen code te versleutelen, waardoor de malware niet ingezien kon worden door beveiligingsexperts. Inmiddels zijn er honderden, zo niet duizenden anti-security-, anti-sandbox- en anti-analist-technieken die door hackers en malware-auteurs worden gebruikt en die veelal kant-en-klaar op het dark web te koop zijn.

Dit rapport maakt duidelijk dat hackers zich steeds meer bezig houden met het verbergen van complexe dreigingen die enterprise-omgevingen voor langere perioden aanvallen”, zegt Vincent Weafer, vicepresident McAfee Labs. “Er worden ook totaal nieuwe aanvalsmethoden ontwikkeld, zoals verschuilmethoden die zich specifiek richten op beveiligingstechnieken die gebaseerd zijn op machinaal leren.”

Steganografie
In het Threats Report belicht McAfee de opkomst van steganografie als techniek om detectie te voorkomen. Steganografie is een methode om berichten te verbergen in computerbestanden, zoals afbeeldingen, geluid, video of tekst. Malware-auteurs maken hier vaak gebruik van om detectie door beveiligingssoftware te voorkomen.

De eerste toepassing van deze technologie in een cyberaanval was de Duqu-malware in 2011. De te verbergen informatie werd in een afbeelding geïnjecteerd, die vervolgens naar het aan te vallen systeem werd gestuurd. Eenmaal aangekomen werd de verborgen informatie uitgepakt zodat het gebruikt kon worden door de malware. Een op deze manier behandelde afbeelding is door het menselijk oog of door beveiligingstechnologie heel moeilijk te detecteren.

McAfee Labs denkt dat netwerk-steganografie de nieuwste vorm van deze techniek is. Hierbij worden lege velden in TCP/IP-headers gebruikt om informatie te verbergen. Deze methode wint aan populariteit omdat hackers hiermee onbeperkte hoeveelheden informatie over het netwerk kunnen sturen.

Fareit
Het Threats Report Fareit gaat ook uitgebreid in op de wachtwoordendief Fareit. Deze verscheen op het toneel in 2011 en heeft zich sindsdien op verschillende manieren verder ontwikkeld. Er is een groeiende consensus dat Fareit gebruikt werd bij de aanval op het Amerikaanse Democratic National Committee, in de aanloop naar de presidentsverkiezingen van 2016. Fareit verspreidde zich via phishing-mails, DNS-besmetting en exploit kits. Iemand die een mail met een Word-document, JavaScript of een ingepakt bestand als bijlage ontving en deze opende, zorgde ervoor dat Fareit het systeem kon infecteren. Vervolgens werden gebruikersgegevens en wachtwoorden opgespoord en naar centrale servers gestuurd, waarna extra malware naar het aangevallen netwerk kon worden gestuurd.

“Mensen, bedrijven en overheden worden steeds afhankelijker van systemen die alleen maar door wachtwoorden zijn beveiligd”, vervolgt Weafer. “Omdat het vaak ook nog eens om zwakke wachtwoorden gaat die makkelijk gestolen kunnen worden, wordt dit een steeds populairder aanvalspunt voor hackers. We denken dan ook dat dit soort aanvallen in de toekomst zullen toenemen. Pas als we overstappen op tweefactorauthenticatie zal deze weg worden afgesneden.”

Actuele trends
Zoals je mag verwachten in een ‘juni-rapport’ passeren ook de actuele trends de revue. Zo registreert McAfee Labs momenteel 244 nieuwe cyberdreigingen per minuut. Dat zijn er ruim vier per seconde. Wereldwijd is het aantal infecties van mobiele toestellen in het eerste kwartaal van dit jaar met 57 procent gestegen. De hoeveelheid malware voor MacOS nam met 53 procent toe. Ransomware groeide in het afgelopen jaar met 59 procent tot 9,6 miljoen varianten.


Lees meer over