Fighting Malware

De laatste tijd moet ik nog wel eens het nut van anti-virus of beter gezegd anti-malware software verdedigen. Halve waarheden, verdraaide argumenten en wat al meer ter onderbouwing dat het allemaal wel zonder kan, komen dan ook ter tafel. Snel weet ik enkele voorbeelden ter verdediging naar voren te brengen. Maar afhankelijk van de standvastigheid van de persoon in kwestie, eindigt de discussie soms in een ordinaire welles/nietes. De grootste optimist beweert zelfs dat deze voorbeelden maar moeilijk aan te tonen zijn en dat het eigenlijk allemaal een hoax is van de anti-virus bedrijven.

Anti-malware bedrijven leven van de angst die heerst onder haar afnemers. En elke melding van een besmetting is gratis reclame. Daarentegen gaat het mij te ver om dit af te doen als een hoax. Anti-malware software blijft in mijn ogen toch een noodzakelijke maatregel tegen kwaadaardige en onwenselijke software.

Het gevoel voor noodzaak is naar alle waarschijnlijkheid afgenomen omdat individuen niet meer echt geconfronteerd worden met de destructieve werking van weleer. Nee, malware dient nu een hoger doel en daarbij moet het zeker niet opgemerkt worden. Sterker nog het hogere doel is niet eens altijd direct bekend, denk hierbij bijvoorbeeld aan Confiker en Stuxnet. Dit type malware is passief aanwezig en wacht op instructies vanuit haar ‘controlroom’.

Om ons adequaat tegen malware te wapenen, is enige inzage in de werking gewenst. Echter malware laat zich niet algemeen omschrijving en bovendien laat een malware bouwer zich zeker niet dwingen om zijn destructieve product te bouwen volgens een vast stramien. Nee, in zijn ogen zijn alle mogelijkheid geoorloofd. Daarentegen zijn er toch algemene patronen te herkennen.

Besmetting

Het louter opPasturen of ter download aanbieden van malware als executable is te doorzichtig. Daarom ‘verstopt’ men de malware bijv. in een webpagina of simpel in een PDF bestand. Eenmaal overgehaald moet de malware nog geactiveerd worden, wederom is totale onzichtbaarheid geboden. Vaak wordt een kwetsbaarheid misbruikt.

Patroon 1: Activering

Bij activatie zal de malware eerst zorgen voor assimilatie van het werkstation en zorgen voor verdere verspreiding. Ook zal het meteen zijn destructieve werking ten uitvoer brengen (wat dat ook zou mogen zijn). Bij een botnet-virus zal het direct contact opnemen met de ‘controlroom’ en wachten op commando’s.

Patroon 2: Assimilatie

Na activatie zal de malware eerst zorgen voor totale assimilatie van het apparaat. Het zal ervoor zorgen dat het onvindbaar wordt voor anti-malware applicaties. Soms zorgt het er zelfs voor dat een kwetsbaarheid niet of nauwelijks meer verholpen kan worden.

Patroon 3: Verspreiding

Na assimilatie zal de malware zorgen voor verdere verspreiding. Het zal opzoek gaan naar overige computers in zijn netwerk met een verhoogde netwerkbelasting tot gevolg. Ook hier speelt een kwetsbaarheid een grote rol.

Bescherming

Dit alles gezegd hebbende ligt de primaire bescherming dan ook voor de hand: zorg voor een actieve en bijgewerkte anti-malware applicatie op de computer. Maar minstens zo belangrijk is wel het reduceren van het aantal de kwetsbaarheden op de computer en dit beperkt zich niet enkel tot het besturingsysteem maar ook van de overige applicaties. Een mooie applicatie die dit automatisch voor je doet is de Personal Software Inspector van Secunia.

En verder

Eigenlijk zijn de genoemde patronen, zij het moeilijk, toch wel herkenbaar. Ze manifesteren zich als ongewoon en afwijkend gedrag en dit valt op. Anders gezegd als de computer afwijkend gedrag vertoont, kan dit een reden zijn voor verdere inspectie. Voor grote organisaties wordt focus op afwijkend gedrag de nieuwe remedie tegen malware.

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Cyberwar ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security
Dit bericht werd geplaatst in IT Overall, Security en getagged met , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s