Virussen, wormen, Trojaanse paarden en andere malware heeft de afgelopen jaren een stormachtige ontwikkeling doorgemaakt, die vooral te danken is aan de financiele verdiensten van het virusschrijven. Inmiddels werken virusschrijvers, spammers en andere cybercriminelen samen en zijn diensten op verzoek beschikbaar.

Wat zijn de drijvende krachten achter de explosieve groei van malware? Wie zit erachter en welke tactieken gebruiken ze? Hoe reageren aanbieders, en waar moeten bedrijven, onderzoekers en eindgebruikers voor de toekomst rekening meehouden. Auteur Dancho Danchev geeft in dit onderzoek op bovenstaande vragen antwoord. Hieronder een samenvatting van de belangrijkste punten.

Huidige stand van malware
Wormen zijn kwaadaardige code die zich alleen of door bestanden te infecteren, via netwerken verspreiden, en dit door of zonder menselijk handelen kunnen doen. Malware is echter meer dan alleen wormen, het is een verzameling van kwaadaardige software elk met z'n eigen unieke features. Malware vandaag de dag kenmerkt zich door de volgende punten:

• Modulair: Veel wormen zijn modulair opgebouwd, waardoor ze makkelijk kunnen worden aangepast of uitgebreid. Zo kunnen P2P mogelijkheden en verspreiding via Instant Messaging eenvoudig worden toegevoegd.
  
• Krachtiger en schadelijker: Volledige controle over een geinfecteerde host en netwerkverbinding, het blokkeren van bekende firewalls, anti-virus updates en software, het elimineren van concurrerende malware, ontvoeren van bestanden, rootkit eigenschappen en het genereren van inkomsten voor de auteur zijn slechts het topje van de ijsberg.
  
• Homogene doelgroep: Microsoft Windows en Internet Explorer blijft de voornaamste doelgroep van virusschrijvers, die op deze manier de meeste computergebruikers kunnen bestoken.
  
• Op verzoek: Er bestaat een electronische markt voor virusschrijvers waar vraag en aanbod van 0day malware en andere criminelen code elkaar vinden.
  
• Heeft een worm voldoende slachtoffers, dan dienen die als springplank voor het verspreiden van nieuwe code, waardoor via andere manieren PC's geinfecteerd kunnen worden.
  
• Competitief: Doordat veel computers beter beschermd zijn, vechten virusschrijvers om de controle van kwestbare machines, waarbij malware andere malware kan verwijderen.
  
• Stiekem: Via lekken, content spoofing en zonder veel interactie van gebruikers kan malware zich snel en stiekem verspreiden.

Digitale Afpersing
In 2005 zagen we een toename in het aantal zaken waarbij bedrijven en websites via DDoS-aanvallen werden afgeperst. Vooral goksites waren het slachtoffer, die vaak voor grote evenementen onderstaande e-mails ontvingen. Ook in 2006 zullen criminelen deze techniek gebruiken om ondernemingen af te persen.

From: friends@compromised-email.com
To: customer-service@hostremoved.com
Subject: first leter
Your site is under an atack and wil be for this entire weekend. You can increase your pipe al you want and it won't help. You have a flaw in your network that alows this to take place. You have 2 choices. You can ignore this email and try keep your site up, which wil cost you tens of thousands of dolars in lost [busines] and customers, or you can send us $40k to make sure that your site experiences no problems.

If you send the $40k your site wil be protected not just this weekend, but for the next 12 months. This wil let you enjoy busines with no wory. If you choose not to pay for our help, then you wil probably not be in busines much longer, as you wil be under atack each weekend for the next 20 weeks, or until you close your doors.

You can always choose to wait, see what happens, and then contact us for our help when you realize you can't do it yourself, however, then it wil cost you more and your site wil stil be down. The choice is yours as we await your response

P.S. The sites that were atacked and paid last weekend are happy that they paid and are protected

Factoren die bijdragen aan de groei van malware

Documentatie en broncode: Het is voor beginnende virusschrijvers erg eenvoudig om aan broncode van wormen te komen, en die naar eigen inzicht aan te passen. Verder biedt het internet ook uitgebreide handleidingen voor het schrijven van malware.

Zelfs gepatchte lekken veranderen eenvoudig in exploits: Security tools worden ingezet voor het schrijven van exploits en bedrijven zijn niet verplicht om met een patch te komen. Het duurde vorig jaar gemiddeld 6 dagen voordat er na bekendmaking van een lek een exploit verscheen. Het duurde echter gemiddeld 54 dagen voordat er een patch was.

Consolidatie op de malware markt: Verschillende partijen en groepen zijn gaan samenwerken.

Groeiend aantal internetgebruikers: Er zijn bijna een miljard mensen die internetten en het medium gebruiken voor het doen van aankopen. Een erg interessante groep voor virusschrijvers en criminelen.

De vraag naar illegale diensten: Er is vraag naar zombie netwerken, gestolen creditcardgegevens en partijen die DoS-aanvallen op de concurrentie uitvoeren of vertrouwelijke gegevens stelen.

De toekomst van malware

Mobiele malware: Er wordt al verschillende jaren gewaarschuwd voor malware die mobiele apparaten zoals telefoons en PDAs kan infecteren, maar in 2006 zouden we een explosieve stijging te zien moeten krijgen. De hoeveelheid mobiele telefoons is veel groter dan die van het aantal PC's en virusschrijvers experimenteren dan ook met mobiele malware, en boeken steeds meer vooruitgang.

Lokale social engineering aanvallen: Malware en phishing aanvallen zullen steeds lokaler plaatsvinden en beter vertaald worden. Ook zal phishers sneller reageren op nationale of internationale rampen.

Open source malware: Malware kan gratis en door iedereen worden aangepast en uitgebreid. De Agobot/Sdbot zijn zelfs onder een GPL licentie beschikbaar, waardoor er duizenden varianten van dezelfde code zijn. Hierdoor kunnen de oorspronkelijke auteurs anoniemer opereren.

Toename van encryptie en packers: Virusschrijvers doen steeds meer moeite om ervoor te zorgen dat anti-virusaanbieders niet hun code kunnen analyseren. Doordat het lastiger is, kost het meer tijd, en heeft de virusschrijver meer tijd om slachtoffers te infecteren.

Vraag naar 0day malware: Door open source malware kunnen er op maat gemaakte bots worden afgeleverd, die tussen de 200 en 300 dollar kosten en moeilijk te detecteren zijn. "Aanbieders" en "verkopers" weten elkaar steeds beter te vinden.

Afpersing via versleuteling van bestanden: Virusschrijvers versleutelen vertrouwelijke bestanden van het slachtoffer, die dan zelf contact moet opnemen of zijn gegevens terug te krijgen.

Security oplossingen die zelf het probleem worden: Steeds vaker worden er lekken in security applicaties gevonden. Nieuwe malware zal zich vaker richten op anti-virus software.

Wormen die intellectueel eigendom stelen: Computers bevatten vaak allerlei bedrijfskritieke informatie. Informatie die veel geld waard is. Ook in 2006 zal er daarom malware verschijnen die zoekt naar .pdf, .doc en andere document bestandsextensies. Het zijn trouwens niet alleen virusschrijvers die dit soort malware gebruiken, ook spionnen en bedrijven die willen weten wat de concurrentie doet zijn betrapt op het gebruik van dit soort wormen.

Lekken in webapplicaties: Websites en andere online applicaties met veel gebruikers vormen een interessant doelwit voor malware auteurs. Vooral het gemak waarmee weblekken misbruikt kunnen worden verhoogt de kans op zo'n aanval.

Hijacken van botnets: Door de toegenomen concurrentie op de malware markt, zullen virusschrijvers proberen elkaars botnets te kapen.

Interopabiliteit: Door standaardisatie van communicatie en gegevens kunnen systemen steeds eenvoudiger met elkaar "praten". Hierdoor kunnen virusschrijvers in een keer meerdere systemen en soorten gebruikers bestoken.

Samenvattend

Virusschrijvers komen sneller met nieuwe varianten dan dat de meeste bedrijven en thuisgebruikers die installeren.

Door de druk van de anti-virusindustrie worden virusschrijvers gedwongen om samen te werken. Toch neemt dit niet weg dat er onderling nog veel haat en nijd is.

Wormen ontwikkeld voor het stelen van intellectueel eigendom kunnen als tools voor bedrijfsspionage gebruikt worden.

Door de steeds groter wordende internetpopulatie, e-commerce stromen en de vraag naar illegale/onethische diensten, zorgen voor een illegaal ecosysteem.

Het "web als platform" is een krachtig medium voor aanvallers die het nieuwe web begrijpen

De groei van E-commerce zal de belangrijkste reden zijn voor illegale activiteiten.