De opkomst van ransomware heeft het grote publiek getoond wat iedereen in de security industry eigenlijk al tien jaar weet: het omzeilen van Anti-Virus software is voor kwaadwillenden zeer eenvoudig. Ransomware is een vorm van malware (malicious software) dat bestanden van slachtoffers gijzelt en pas na betaling weer beschikbaar maakt.
Resultaten uit het verleden bieden geen garantie voor de toekomst
Anti-Virus heeft lange tijd alleen met een zogenaamde “checksum” gewerkt. Hierbij wordt de complete inhoud van (potentiële) malware geverifieerd aan eerder ontdekte malware. Malware ontwikkelaars hebben hier altijd misbruik van gemaakt door in de malware een paar regels code aan te passen. Hierdoor zal de checksum niet meer kloppen en wordt de malware niet gedetecteerd door de Anti-Virus. Pas na een aantal besmettingen met de nieuwste vorm van malware kunnen Anti-Virus leveranciers een nieuwe checksum aan hun databases toevoegen. En zo is dit tot op de dag van vandaag een oneindig kat en muis spel gebleven.
Ransomware ontwikkelaars pakken het tegenwoordig nog slimmer aan. Zij weten dat de Anti-Virus leveranciers tijd nodig hebben om malware te analyseren en vervolgens de checksum te verwerken in hun databases. Deze malware schrijvers testen in hun eigen laboratorium door hen ontwikkelde ransomware op de diverse Anti-Virus software en zorgen er vervolgens voor dat hun nieuwste versie ransomware niet gedetecteerd wordt.
Vervolgens maken zij ook ten volle gebruik van de voordelen van de cloud. Het is namelijk heel eenvoudig geworden om de ransomware in een keer tegelijk naar heel veel slachtoffers tegelijk te emailen. Deze slachtoffers krijgen direct de mail met (links naar de) malware binnen en beginnen met klikken op de bijlagen of linkjes in de emails. Op dat moment wordt de malware dus nog niet herkend door Anti-Virus. Vanaf dat moment kunnen Anti-Virus leveranciers beginnen met het analyseren van de malware. Mits het bij ze gemeld wordt natuurlijk! Aangezien dit een uitermate technische aangelegenheid is, zal het analyseren vaak enkele uren in beslag nemen. Het kan ook voorkomen dat het analyseren vele malen langer duurt. De ransomware schrijvers hebben in de tussentijd vrij spel: ze profiteren van de tijd tussen het verzenden van de emails en het opnemen van nieuwe checksum in de Anti-Virus software. Ondertussen doet de wet van de grote getallen zijn werk: als je miljoenen emails verstuurd, dan zijn er altijd voldoende systemen die je kunt gijzelen en waar losgeld voor gevraagd kan worden. Lucratieve business dus!
Oude wijn in nieuwe zakken
Leveranciers van Anti-Virus software hebben inmiddels nieuwe producten ontwikkeld die ze onder de noemer “Endpoint Security” en “Endpoint Protection” verkopen. Termen zoals “advanced machine learning” en “zero day detection” worden hierbij gebruikt om het geheel zeer indrukwekkend en modern te laten lijken. Hoewel deze termen het in de marketing goed doen en vertrouwenwekkend overkomen op een gewone computer gebruiker, borduren Anti-Virus leveranciers gewoon voor op wat ze al jaren deden. In feite zijn deze “nieuwe” producten gebaseerd op de patroonherkenning die ze al jaren inzetten. Resultaten van analyses van oude malware wordt ingezet in de hoop nieuwe malware te vinden. Probleem hierbij blijft dat malware schrijvers nog steeds de mogelijkheid hebben om de Anti-Virus software in hun eigen laboratorium te installeren en eenvoudig nieuwe technieken kunnen testen om die te omzeilen.
Defense maatregelen: je hebt ze al gekocht!
Helaas beloven Anti-Virus leveranciers met hun producten een vals gevoel van veiligheid. De producten bieden geen veiligheid of bescherming, in ieder geval slechts ten dele. Gelukkig zijn er steeds meer organisaties in gaan zien dat er voor andere maatregelen in plaats van of naast Anti-Virus gekozen moet worden. Met eenvoudige oplossingen die aanwezig zijn in het Windows besturingssystemen zelf zijn al een hele hoop bedreigingen de pas af te snijden. Denk hierbij aan AppLocker waarmee programma’s niet zomaar meer opgestart mogen worden. Een ander voorbeeld zijn software restrictie policy’s of uitzetten van Office macro’s. Met het uitvoeren van een aantal simpele clicks, zonder aanvullende investeringen in software, kan veel vooruitgang geboekt worden met het preventief beschermen tegen de uitvoer van malware.
Anti-Virus als paard van Troje
Er is echter nog een probleem met Anti-Virus software dat de afgelopen jaren steeds prominenter is geworden. Anti-Virus software bevat door de complexiteit waarmee malware gecontroleerd moet worden inmiddels zelf ook veel zeer ernstige kwetsbaarheden. Bekende onderzoekers van onder andere Google’s Project Zero hebben dit de afgelopen periode in bijna alle Anti-Virus software aangetoond. Naast dat de software veel kwetsbaarheden bevat, werd ook duidelijk dat deze leveranciers totaal geen moeite hebben gestoken in het beschermen van hun software door mitigatie maatregelen. Indien een lek gevonden wordt is dit dan ook gelijk eenvoudig te misbruiken. Dit doordat er geen rekening gehouden hoeft te worden met mitigatie maatregelen die in gangbare software juist wel aanwezig zijn.
Het zogenaamde directe aanvalsoppervlak vanaf het internet is de afgelopen paar jaar steeds kleiner geworden. Denk bijvoorbeeld aan het standaard uitschakelen van Flash (een veel misbruikte aanvalsmethode) in populaire browsers zoals Google’s Chrome of alle mitigatie oplossingen in Windows 10. Online criminelen hebben daardoor nieuwe aanvalsmethodes nodig. En wat is dan beter om, de ironie ten spijt, de “end point security” software te misbruiken die iedereen geïnstalleerd heeft om dit juist te voorkomen?
Geen Anti-Virus gebruiken dus?
Na het lezen van deze bijdrage zou je bijna denken dat we het gebruik van Anti-Virus afraden. Dat is absoluut niet het geval. Er zijn echter wel situaties waarin Anti-Virus zinloos is en daardoor zonde van het geld. Voor veruit de meeste organisaties geldt dat zij wel baat hebben bij Anti-Virus omdat in ieder geval de oude malware gedetecteerd wordt. Organisaties zullen zich in onze visie echter veel meer moeten focussen op het op orde brengen van de defense maatregelen. Je moet er vanuit gaan dat nieuwe malware een keer je netwerk binnen komt, hoe zorg je er dan voor dat het geen schade kan veroorzaken? Welke verdedigingsmechanismen zijn er in het netwerk aanwezig die kwaadaardige software de pas afsnijdt? Wij geloven erin dat je systemen beter beveiligt door dat juist op orde te hebben.
Dit artikel is geschreven in samenwerking met Robert van Hamburg, senior security engineer bij Guardian360