Computerbeveiliging staat in grote mate in het teken van het bestrijden van kwaadaardige code. Toch is de malware van vandaag de dag niet meer hetzelfde als die van vijf jaar geleden. Wij vroegen Kaspersky Lab Senior Anti-Virus Researcher Roel Schouwenberg om een update over het huidige malware landschap.

Menig expert heeft de afgelopen maanden verklaard dat het met de grote uitbraken gedaan is. Niet opvallen en je botnet klein houden was het devies. Hoe kun je in deze visie de "explosie" van de "Storm worm" verklaren?

Schouwenberg: Wat we momenteel zien in het malware landschap zijn doorontwikkelingen van een trend die zich al in 2005 begon te manifesteren - proberen niet op te vallen. De "Storm Worm", die van origine geen worm is, komt van dezelfde makers die Email-Worm.Win32.Luder gecreëerd hebben. Deze groep zorgde rond nieuwjaar ook al voor furore. Zie daarvoor dit en dit artikel - toendertijd nog als Tibs.jy gedetecteerd door KAV. De initiële seeding van de "wind trojan", zoals ik het beestje graag noem, was al van riante proporties. Daarna werd er overgeschakeld op email wormen, ook al tegen de trend in. Er zullen altijd uitzonderingen zijn die de regel bevestigen, dit is zo'n uitzondering.

Is het direct afsluiten van geinfecteerde internetgebruikers door hun ISP een oplossing om het virusprobleem in de kiem te smoren?

Schouwenberg: Het kan helpen, maar het effect is gelimiteerd. Het lijkt erop dat ISPs niet in realtime kunnen reageren op besmette computers, bijvoorbeeld door het gebrek aan de immense resources die nodig zijn voor een realtime activity analysis. Dit betekent dat in sommige gevallen de gebruiker zijn systeem al opgeschoond kan hebben alvorens de ISP besluit hem of haar alsnog af te sluiten.

Om zoiets dus echt effectief te laten zijn mag er dus niet al teveel tijd tussen de besmetting en het afsluiten zitten. Bijkomend nadeel van een complete afsluiting is dat een gebruiker ook niet meer in staat is updates en/of security software te downloaden.
Zulke filters letten voornamelijk op ongewone activiteit op een aantal poorten, zoals bijvoorbeeld tcp 25/135/445. Als bepaalde thresholds niet gehaald worden, zal de filter niet ingrijpen. Dit houdt simpelweg in dat als filters (te) populair worden, de malware er op aangepast zal worden.

Daarnaast zullen de filters beperkt blijven in het aantal poorten dat gefiltreerd wordt. Ik denk dat filters zeker een waardevolle aanvulling (kunnen) zijn op het anti-malware arsenaal, maar alleen als ze snel en accuraat werken.

Er wordt steeds vaker geroepen dat virusscanners "dood" zijn. Zeker met de huidige techniek van signature based scanning en de hoeveelheid varianten die in korte tijd verschijnen lijken virusscanners in hun huidige vorm geen bestaansrecht te hebben. Wat doen anti-virusaanbieders om hun produkt weer leven in te blazen?

Schouwenberg: Er wordt al sinds 1990 geroepen dat virusscanners "dood" zijn, dus je kan je afvragen in hoeverre de uitspraak (nog) waarde heeft. Dood houdt in ongebruikt en dat is een scenario dat ik niet al te snel zie gebeuren. De ene signature is de andere niet. Een welgeplaatste signature, ondersteund door een goede engine, kan wel 1000 varianten herkennen. Dit is iets wat niet vergeten mag worden, hoewel ik daarmee niet wil zeggen dat er geen ruimte voor verbetering (nodig) is.

Alle vendors doen uiteraard hun best nieuwe technologieën te ontwikkelen, zowel in engine development als technologiën buiten de engine. Het gaat dan veelal om proactieve technologiën. In ons geval hebben we een Proactive Defense Module ontwikkeld welke de veranderingen op het systeem in real-time in de gaten houdt.
Daarnaast hebben we nog een nieuwe engine in ontwikkeling waarmee ook onze on-demand proactive resultaten significant omhoog gaan. De meeste andere anti-virus vendors hebben voor één van de twee genoemde methodes gekozen. Beide hebben zo hun voors en hun tegens.

Er zijn een paar anti-virus vendors die zich nadrukkelijk op proactieve detectie focussen, maar helaas maakt het uiteindelijk weinig verschil: malware geschreven en/of aangepast door een ervaren coder die uit is op "0-detectie" wordt (bijna) niet proactief gedetecteerd. Signatures blijven dus nodig. Dat was vroeger al zo en het zal waarschijnlijk altijd zo blijven.

Op wat voor manier kan de overheid bijdragen in het gevecht tegen malware en computercriminelen?

Schouwenberg: Het probleem van de overheid is dat ze met gelimiteerde resources en een gebrek aan ervaring kampt. Daarnaast wordt het problematisch zodra er landsgrenzen worden overschreden en lijdt ze aan een overmaat bureaucratie.
Toch zien we de laatste tijd een groeiend aantal arrestaties. De situatie verbetert dus langzaam maar zeker. Verder zou de regelgeving op sommige punten voor verbetering vatbaar zijn. Om maar eens een praktijkvoorbeeld te noemen:
Er zijn ISPs die (nieuwe) malware verzamelen, ze weigeren echter deze samples met de anti-virus industrie te delen. Ik kan niet begrijpen waarom. Iedereen is er bij gebaat en niemand wordt er slechter van.

Als er gedeeld wordt met de complete anti-virus community kan er geen sprake zijn van (commerciële) voortrekkerij, dus dat lijkt me een non-issue. Ik zou dus wel wat zien in een regelgeving die ISPs aanmoedigt zulke samples te delen.

Per land of regio wil het soort actieve malware nogal verschillen, wat voor malware is er vooral in Nederland actief?

Schouwenberg: Ik denk dat we een redelijk standaard land zijn als het op malware aankomt. Het feit dat Nederlands een relatief weinig gebruikte taal is, zorgt er wel voor dat we wat minder (Nederlandstalige) phishing en 'targeted' attacks zien.
In Duitsland zie je genoeg Duitstalige spam runs met trojan x/y/z voorbijkomen, dat hebben we hier dus niet zo. Daarnaast zorgt de overheersende keuze voor two factor authentication van de banken er voor dat ze tot zover relatief beschut zitten.

Hetgene wat er echter uitspringt zijn de MSN-wormen. In Nederland is het gebruik van MSN Messenger procentueel een van de hoogste ter wereld, dat heeft een duidelijk effect op de malware hier. Nergens zijn er meer MSN-wormen te vinden of de (lokalere) MSN-worm uitbraken zo aanwezig. Een aanzienlijk aandeel van deze MSN-wormen is trouwens door Nederlandse bendes geschreven.

Hoe verklaar je het succes van malware die nog steeds via .exe bijlages en misleidende onderwerpen gebruikers probeert te verleiden. Het openen van onbekende bijlages is toch zo "1998"?

Schouwenberg: Ten eerste is de social engineering er sinds 1998 aanzienlijk op vooruit gegaan. De onderwerpen die tegenwoordig voorbijkomen zijn af en toe erg slim gevonden. Daarnaast hebben veel mensen absoluut geen idee wat een "EXE"(extensie) überhaupt is. Bestandstypes worden aan de hand van icoontjes herkend. Alleen al om consequent malicious emails te kunnen herkennen, zal tijd en moeite geïnvesteerd moeten worden.

Dit is iets wat de gemiddelde persoon niet over heeft voor een gebruiksvoorwerp, want dat is een computer voor de gemiddelde gebruiker. Uiteindelijk wordt de attachment dus gewoon (weer) geopend.

Toch heeft dit niet meer zo'n succesratio als vroeger, immers wordt het merendeel van malware inmiddels via andere wegen dan email aan de gebruiker gepresenteerd.
De vooruitgang, van zowel gebruiker als security bedrijven, zorgt er dus voor dat (nieuwe) aanvallen ingewikkelder worden. Hiermee wordt het dus automatisch ook lastiger om nieuwe dreigingen helder uit te leggen aan de gebruiker en lastiger voor de gebruiker om nieuwe dreigingen te herkennen. Ik heb me dan ook wel eens afgevraagd of we op dit gebied überhaupt wel vooruitgang zouden moeten willen.

Een zaak die zowel nationaal als internationaal veel aandacht krijgt is die van de Nederlandse botnetbeheerders. Het OM heeft celstraffen van drie en twee jaar geeist. Wat vind je van deze zaak en staat de mogelijke straf in verhouding met hun overtreding, of probeert het OM een voorbeeld te stellen?

Schouwenberg: Ik ben geen jurist dus het is lastig in te schatten in hoeverre de straf in verhouding staat met de daad. Gezien de ernst en grootte van de gehele onderneming had er wat mij betreft nog wel een jaar of wat bij gemogen, maar nogmaals, ik ben geen jurist.

Het is in elk geval een significante stap in de goede richting, dat zonder twijfel. De eis laat zien dat het het OM ernst is. Ook lijkt de leeftijd van een van de verdachten een mindere rol te spelen, wat een zeer bemoedigend teken is. Een aanzienlijk deel van de (opgepakte) e-criminelen is rond de twintig jaar. Internationaal gezien zijn de eisen over het algemeen gering als het gaat om deze adolescente criminelen, vaak omdat ze volgens de OMs de gevolgen van hun daden niet in kunnen zien.

Zelf denk ik dat dat over het algemeen juist niet zo is. Ze hebben maar al te goed door waar ze mee bezig zijn. Ik kan alleen maar hopen dat wereldwijd meer OMs dit ook gaan inzien.

Er is al veel over gesproken, maar is mobiele malware een reële dreiging? En zal er ooit een MS Blaster of Code red voor mobiele telefoons verschijnen?

Schouwenberg: Mobiele malware is zeer zeker een reële dreiging, maar het zal nog even duren eer het over een bepaalde drempel heen is. Met die drempel bedoel ik het moment waarop we consequent nieuwe malware samples en (mogelijke) innovatie zien. Momenteel is het nog redelijk mondjesmaat, zeker in vergelijking tot de Win32 malware.

Momenteel is het voor de meerderheid van cybercriminelen te veel werk om zich met mobile malware bezig te houden voor een te geringe ROI. Het grote merendeel van de mobile malware komt dan ook momenteel van hooligans af, net zoals in het DOS tijdperk.
Daarnaast is de markt qua OSen erg verspreid. Er is geen totale dominantie van een bepaalde fabrikant zoals dat bij x86 het geval is. Het initiatief van een aantal mobile phone producenten om gezamenlijk een linux based OS te gaan ontwikkelen is een stap in de uniforme richting die nodig is voor malware om (gemakkelijker) te kunnen prevaleren.

Kijkend naar Microsoft, MS heeft het .NET Compact Framework voor Windows Mobile alweer een tijd terug geïntroduceerd. Programma's geschreven in MicroSoft Intermittent Language draaien op alle platformen waarop het .NET framework geïnstalleerd is. Dit maakt een mogelijke 'overstap' van malware auteurs een heel stuk makkelijker en efficiënter aangezien malware dan zowel op Windows Mobile als op Windows x86 kan draaien.
Of er ooit een mobile flash-worm zal verschijnen...lastig te voorspellen. Technisch gezien is het zeer goed mogelijk. Een fout in de Bluetooth stack, zoals we eerder al hebben gezien, gecombineerd met de juiste virale code is alles wat nodig is voor een pandemie.
Echter zullen zij met de technische kennis om zo'n research te doen normaliter niet zelf een pandemie veroorzaken. De betreffende code zou gepubliceerd moeten worden zodat iemand anders er mee aan de haal gaat, zoals bij Blaster, Sasser en andere het geval was.

De ingrediënten voor een pandemie zullen er, in de toekomst, zeker zijn. Het is echter maar de vraag of ze ooit bij elkaar worden gevoegd. Tot het moment dat de mobile malware drempel wordt overschreden rest de anti-virus industrie een lastige taak. Ze moet voor dit gevaar waarschuwen doch oppassen niet te luidruchtig te zijn.

We bewandelen een dunne lijn tussen waarschuwen en hypen, omdat het gevaar niet duidelijk zichtbaar is momenteel. We moeten er dus alle zorg voor dragen dat we die lijn niet overschrijden.

Echt veel "spannende" malware hebben we het afgelopen jaar niet gezien. Het lijkt vooral meer van hetzelfde. Heb je misschien onlangs nog iets gezien of meegemaakt waarvan je dacht "hee, dat heb ik nog niet gezien" ?

Schouwenberg: Tegenwoordig zijn er twee soorten technische vernieuwing. Op infectie-technisch gebied en op crimeware-technisch gebied. Infectie-technisch heb je het normaliter over evolutie, omdat er altijd wel een soort van patroon van eerdere samples in te zien is.

Een tijdje terug zag ik een op het eerste gezicht niet al te verdacht bestand. Tijdens mijn analyse kwam ik erachter dat het om een aangepaste Adobe Acrobat BHO ging. Ze hadden het bestand uit elkaar getrokken, een klein beetje aangepast en toen weer gecompileerd.

Misschien niet 100% nieuw, maar wel erg interessant omdat er wat virale technieken van weleer in te pas kwamen. Het lijkt er sowieso op dat infector(-like) technieken een comeback aan het maken zijn. Iets wat ik al een hele tijd terug voorspelde, maar nu meer en meer zichtbaar wordt.

Crimeware-technisch is het wel interessant om te zien wat voor oplossingen de criminelen verzinnen om bijvoorbeeld two-factor authentication te omzeilen.
Sommige samples gebruiken een "man in the middle" website, terwijl andere samples het probleem lokaal aanpakken. De oplossingen die daarvoor gebruikt worden, zijn soms erg vernuftig.