De internationale strijd tegen malware speelde zich vorig week af in het Crowne Plaza hotel in Hoofddorp. Meer dan 125 virusonderzoekers en beveiligingsexperts waren aanwezig om tijdens de Caro workshop te spreken over de problemen waar anti-virusbedrijven tegen aanlopen en hoe die op te lossen zijn. CARO (Computer AntiVirus Researcher's Organization) is een informele groep van virusonderzoekers die op persoonlijke titel lid zijn. Het evenement had dan ook geen commerciële insteek en draaide vooral om het uitwisselen van informatie tussen virusonderzoekers. Het analyseren en controleren van bestanden op malware is de afgelopen jaren een stuk complexer geworden. De workshop stond dan ook in het teken van "Packers, Decryptors and Obfuscators".

Bijna alle malware executables zijn vandaag de dag "gepackt" of "geobfusceerd". Dat betekent dat ze zijn gecomprimeerd, versleuteld of op zo'n manier zijn verpakt dat de code niet meer leesbaar is. De reden om software te "packen" is dat dit ruimte schilt, waardoor programma's kleiner zijn en sneller laden en een veel belangrijkere reden, het beschermen tegen reverse engineering. Met name ontwikkelaars van spelletjes proberen hun creaties tegen softwarepiraten te beschermen en kiezen daarbij voor dit soort oplossingen.

Zoals met zoveel technieken biedt het ook mogelijkheden voor de "bad guys". Door geïnfecteerde executable bestanden tegen reverse engineering te beschermen, kunnen virusscanners niet in het bestand kijken of het goed- of kwaadaardig is. Een binnen de AV-industrie gevreesd programma die dit mogelijk maakt is Themida. Een legitiem programma dat zich omschrijft als een "Windows Software Protector", maar daarnaast ook wordt ingezet voor het beschermen van malware. Naast Themida zijn er nog tal van andere programma's die op deze manier worden ingezet.

Blacklisting

Het standaard blokkeren van programma's die gepackt zijn lijkt de oplossing, er zijn echter talloze legitieme applicaties die dit ook doen, waaronder Google. Tijdens de workshop werd daarom heftig gediscussieerd of de "botte bijl" tactiek een oplossing is. Bedrijven zouden bijvoorbeeld kunnen aangeven dat binnen hun netwerk geen geobfusceerde of gepackte executables zijn toegestaan, dat voorkomt een hoop kopzorgen.

Dat veel techniek misbruikt kan worden maakte Paul Ducklin van Sophos tijdens de keynote speech duidelijk. Verborgen iframes op websites zijn naast packers een groot probleem. De scripts die exploits op het systeem van de bezoeker proberen te laden, verschuilen zich achter plaatjes van 1x1 pixels. Er zou bijvoorbeeld een regel moeten komen dat iframes minimaal uit 16x16 pixels moeten bestaan. Ducklin merkte op dat zijn eigen werkgever in de nieuwsbrief dit soort "webbugs" gebruikt voor het tracken van mensen die de e-mail ontvangen en lezen.

Ducklin riep de aanwezige anti-virusbedrijven daarom op harder en slimmer, maar vooral nauwer samen te werken. Die saamhorigheid was tijdens het twee dagen durende evenement goed te merken. Mogen de marketingafdelingen van de verschillende anti-virusbedrijven elkaar dan naar het leven staan, tussen de "techies" verliep alles in harmonie. Naast het geven van tips om Themida en andere packers te bestrijden werd er geprobeerd tot een gezamenlijk standpunt te komen in de aanpak van geobfusceerde malware. De reden voor de samenwerking is dankzij het internet een stuk belangrijker geworden. Als product A een bepaald virus herkent en product B niet, dan raken de klanten van product B besmet, wat weer extra gevolgen heeft voor de klanten van product A. Denk aan DoS-aanvallen, spam en andere ellende.

Als het gaat om encryptie en obfuscatie is dit pas het begin. Malware is nu al in staat om te zien of het door een scanner gescand wordt. Zodra het dit merkt, schakelt het zichzelf bijvoorbeeld uit. Ook op het gebied van "anti-debugging" hebben virusbestrijders hun handen vol. Om detectie voorkomen kan malware bijvoorbeeld een "timelock" toepassen, zoals Tim Ebringer in zijn presentatie duidelijk maakte. In deze gevallen duurt het bijvoorbeeld twee minuten voordat de malware actief is. Om te kijken of een bestand kwaadaardig is, zal een scanner in deze gevallen het bestand twee minuten moeten emuleren voordat het dit zeker weet, iets wat niet alle virusscanners doen. Het zou voor een gebruiker ook onwerkelijk zijn als hij een programma start en vijf minuten moet wachten omdat de anti-virus software nog bezig is met de analyse van het bestand.

Onwerkbaar

Inmiddels ontvangen de anti-virusbedrijven dagelijks 15.000 nieuwe malware exemplaren. Varianten die vaak slechts eenmalig worden ingezet en binnen minuten al zijn vervangen door een nieuwe versie. Het is dan ook de vraag hoe zinnig het is om hier detectie voor te ontwikkelen. Het ontwikkelen van een goede virus-signature kan soms een aantal dagen duren. Daarmee worden dan wel in één keer duizenden varianten ontdekt. Toch weten de anti-virusonderzoekers gemiddeld zo'n 10 tot 15 updates per dag te ontwikkelen, en daar zitten ook updates voor specifieke lastpakken tussen. Het is dus niet alleen maar generiek wat de klok slaat.

Counter-strike

Virusschrijvers werken niet alleen aan de ontwikkeling van nieuwe varianten ze zijn ook bezig met het actief dwarsbomen van de virusbestrijders. Jose Nazario van Arbor Networks waarschuwt dat er dit en volgend jaar meer "anti-analyse" plaats zal vinden. Het gaat dan om malware die de aanwezigheid van een virtual machine of emulator ontdekt en een aanval op de omgeving uitvoert en die probeert te vernietigen of laten crashen. Een andere optie is het "vervalsen" van de inhoud, waarbij virusonderzoekers denken dat ze weten hoe de malware werkt, terwijl dit in werkelijkheid een afleidingsmanoeuvre is. Als laatste verwacht ook hij meer en betere obfuscatie. Het zijn niet alleen executables die onderzoekers grijze haren geven. Veel browsers en e-mail clients accepteren foute en vervormde code en doen hun best om de inhoud toch correct weer te geven. “Onder andere Microsoft is hier schuldig aan,” merkt Righard Zwienenberg van Norman op. De Chief Research Officer van het Noorse bedrijf, tevens gastheer van het evenement, kreeg op de dag ervoor een biologisch virusje te pakken. Volgens hem schikken bedrijven zoals Microsoft zich naar de wensen van de eindgebruiker. In het geval van Outlook Express en misvormde e-mails is dit functionaliteit waar de consument vast blij mee is, maar ook eentje waar virusschrijvers handig gebruik van maken.

Harder optreden

Niet alleen zouden browsers en dan met name Microsoft strenger tegen "ranzige javascript" moeten optreden, het Hongaarse Virusbuster blokkeert bijvoorbeeld al standaard custom packers. Gevaarlijke banking trojans zoals Sinowal zijn voorzien van hun eigen packer. Gabor Szappanos van het Hongaarse bedrijf kreeg veel bijval tijdens zijn presentatie over het blacklisten van packers. Geen enkele klant had nog geklaagd dat custom packers op de zwarte lijst stonden. Themida mag dan geen "custom made" packer zijn. Een test waarbij Themida executables aan de hand van naam, extensie, omvang en locatie geblokkeerd werden, leverde nul klachten op.

Voldoende ruimte

Virusschrijvers zullen dit uiteindelijk ook doorkrijgen en dan kiezen voor andere commerciële packers zoals het veel gebruikte UPX. Volgens Zwienenberg, zelf al jaren CARO-lid, slaat het comprimeren en packen van executables, javascript en andere bestanden nergens meer op, aangezien er voldoende ruimte is en de breedbandverbindingen steeds sneller worden. “We zitten niet meer met harde schijven van 20 megabyte. Ik liep net door de Media Markt en zag een externe harde schijf van 1,5TB. Wie heeft er nu nog ruimtegebrek.” Hij noemt ook andere industrieën waar steeds minder met compressie wordt gewerkt.

Voor bedrijven die bang zijn dat hun software gekraakt of ten prooi valt aan reverse engineering zijn er ook voldoende oplossingen zoals digitale handtekeningen. Microsoft packt bijvoorbeeld geen enkele executable. In het geval van UPX, de meest gebruikte packer van dit moment, staat in de voorwaarden dat je niets meer mag toevoegen, zoals een andere packer.

CARO

Het evenement gunde virusbestrijders een kijkje in elkaars keuken en was daarnaast ook een sociale gebeurtenis. Zo vaak komt het niet voor dat je bekende namen als Vesselin Bontchev, Fridrik Skulason, Jimmy Kuo, lfak Guilfanov, Roger Thompson, Dan Hubbard, Jose Nazario en Peter Szor op één plek aantreft. Tijdens de laatste presentatie maakte oud Caro-lid en ontwikkelaar van Thunderbyte Anti-Virus, Frans Veldman, nog zijn opwachting. De Nederlander raakte destijds bij de bestrijding van malware betrokken omdat een kennis geïnfecteerd was geraakt. “De analyse bleek veel complexer dan gedacht.” In eerste instantie ontwikkelde het bedrijf een insteekkaart, maar softwarematige detectie bleek uiteindelijk effectiever.

Hoe verder

Dat er dingen moeten veranderen in de bestrijding van malware is al lange tijd duidelijk. De hoeveelheid varianten wordt alleen maar groter en gaat dit jaar mogelijk door de 20 miljoen heen. De industrie moet daarom een gezamenlijk standpunt tegen packers in nemen en duidelijk maken dat dit soort praktijken niet meer acceptabel zijn.

Dit zal ook gevolgen hebben voor de consument, die eventuele blacklist-maatregelen beperkend kan vinden. Het spreekwoord 'Zachte heelmeesters maken stinkende wonden' is hier ook van toepassing, en zolang zowel techniek als bewustzijn achterlopen, lijkt een harde hand de enige oplossing. Dit roept echter ook weer vragen op, zoals spywareverspreider Zango opmerkte, gaan beveiligingsbedrijven straks bepalen wat goed en slecht is?

Afsluitend nog een quote van een bedrijf dat tegen de problemen met Themida aanliep: “Net zoals we wapenfabrikanten niet de schuld kunnen gegeven van de mensen die misdaden begaan, kunnen we ook de makers van Themida het niet kwalijk nemen. We hebben echter een bedrijfsbeleid dat wapens verbiedt. Dus gaan we hetzelfde doen voor Themida.”