zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Onderzoek legt technieken malware-ontwikkelaars bloot

12 augustus 2013 - Malware wordt steeds geavanceerder. Door het toenemende vermogen om meerdere vormen aan te nemen, is malware in staat zich te verbergen of te vermenigvuldigen en de beveiliging van de host uit te schakelen. Een nieuw rapport van FireEye beschrijft de technieken die ontwikkelaars van malware gebruiken bij het omzeilen van file-based sandboxes.

In het rapport ‘Hot Knives Through Butter: How Malware Evades Automated File-based Sandboxes’  staan de resultaten van een onderzoek naar de technieken die gebruikt worden door malware-ontwikkelaars.



Malware detectie
Deze technieken behoren meestal tot één of meerdere van de volgende categorieën:
• Menselijke interactie: de malware is wel aanwezig, maar wordt pas actief zodra het menselijke interactie detecteert. Een goed voorbeeld is de in 2012 door FireEye ontdekte UpClicker Trojan: deze vorm van malware gebruikt muisklikken voor het detecteren van menselijke activiteit. Na één klik op de linkermuisknop communiceert deze malware met kwaadaardige CnC-servers.
• Configuratie: sandboxes imiteren de computer die ze beschermen, maar zijn nog steeds geconfigureerd naar een aantal vastgestelde parameters. De meeste sandboxes houden een bestand voor slechts enkele minuten in de gaten voordat ze doorgaan naar het volgende bestand. Cybercriminelen wachten buiten de sandbox en vallen aan zodra het monitoringsproces van het betreffende bestand is voltooid.
• Omgeving: malware probeert vaak gebruik te maken van een fout in het systeem, een fout die meestal alleen aanwezig is in bepaalde versies van applicaties. Als een vooraf gedefinieerde configuratie binnen een sandbox een bepaalde combinatie van een besturingssysteem of applicatie mist, reageert de malware niet en ontwijkt het daarmee detectie.
• Klassieke VMware ontduikingstechnieken: VMware is een populaire virtualisatietool en bijzonder eenvoudig te herkennen aan de karakteristieke configuratie. Ontwikkelaars van malware maken hier dankbaar gebruik van. Voorbeeld: door de kenmerkende configuratie van VMware kan malware verschillende VMware-diensten bekijken voordat het overgaat tot actie.

Effectieve detectie
"In het huidige cybercrime-landschap bieden traditionele sandboxes niet langer beveiliging tegen geavanceerde aanvallers," zegt Zheng Bu, senior director research en co-auteur van het rapport. "Malware is steeds beter in het detecteren van het verschil tussen een echte en virtuele omgeving en past hier vervolgens het gedrag op aan om detectie te voorkomen. Effectieve detectie is daarom noodzakelijk. Dit kan met behulp van een multi-flow-analyse: een analyse van de context van het gedrag en de samenhangende ongelijksoortige fases van een aanval. Deze methode is gedurende het onderzoek ook gebruikt."
Het begrijpen van de technieken die malware-ontwikkelaars gebruiken om beveiligingssystemen zoals file-based sandboxes te ontwijken, biedt een security professional de mogelijkheid om een potentiële Advanced Persistent Threat (APT) aanval beter en sneller te identificeren.

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

 Nederland scoort hoog op phishing en malware
 Elke drie minuten vindt er een geavanceerde cyberaanval plaats
 Vijf manieren om verdachte IP-clients op te merken en te beoordelen
 Vier malwares die u geld kunnen kosten
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Human Design op de werkvloer voor teameffectiviteit en bedrijfsgroei
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10