image

Hobbit-malware omzeilt populaire APT-detectietools

vrijdag 28 november 2014, 11:44 door Redactie, 1 reacties

Onderzoekers die wilden aantonen dat detectietools voor Advanced Persistent Threats (APTs) geen wondermiddel zijn hebben een malware-exemplaar ontwikkeld dat vijf APT-oplossingen wist te omzeilen en ze zijn van plan om de details over dit exemplaar, dat ze 'hobbit' noemden, openbaar te maken.

Het onderzoek werd uitgevoerd door onderzoekers van MRG Effitas en het Hongaarse CrySyS Lab. APTs worden vaak bij gerichte aanvallen ingezet en zijn ontwikkeld om een aanvaller langere tijd toegang tot een netwerk te geven, om daar bijvoorbeeld allerlei informatie te stelen. Hoewel sommige experts de term APT hekelen en stellen dat het gewoon om malware gaat, zijn er de afgelopen jaren tal van oplossingen verschenen die zich speciaal op APTs richten.

Volgens de onderzoekers zijn deze tools nuttig, maar is het lastig om hun effectiviteit te meten. Dit zou namelijk inhouden dat er me nieuwe, nog niet eerder waargenomen malware-exemplaren moet worden getest die overeenkomen met echte APT-malware. Het ontwikkelen van dit soort exemplaren zou speciale expertise en ervaring vereisen.

Test

De onderzoekers besloten daarom vijf populaire APT-detectietools met zelfontwikkelde malware te testen (PDF). MRG Effitas houdt zich vooral bezig met het testen van anti-virussoftware, terwijl CrySys Lab ervaring met APT-aanvallen heeft. De samenwerking leek beide partijen dan ook een goed idee. Er werd echter besloten om geen vergelijkingstest uit te voeren, aangezien voor een goede test met veel verschillende exemplaren gewerkt zou moeten worden.

Het doel van het onderzoek was dan ook om te kijken of APT-detectietools kunnen worden omzeild. Daarnaast zijn sommige leveranciers van dit soort oplossingen huiverig om met tests mee te doen. Ook denken de afnemers van dit soort oplossingen dat ze een "silver bullet" tegen eventuele aanvallen hebben, iets wat niet zo is. In totaal ontwikkelden de onderzoekers vier zelfontwikkelde exemplaren, zonder dat hierbij APT-detectietools werden gebruikt.

Vervolgens werden vijf populaire APT-detectietools gekozen om de malware te scannen. De onderzoekers hebben er bewust voor gekozen om de namen van de vijf producten niet te noemen, maar stellen dat de resultaten schokkend waren. Eén van de vier malware-exemplaren wist alle vijf de oplossingen te omzeilen. Een ander exemplaar werd door drie producten niet opgemerkt en alleen bij de twee meest eenvoudige exemplaren sloegen alle producten alarm.

Hobbit

Het malware-exemplaar dat alle vijf de APT-oplossingen wist te omzeilen werd door de onderzoekers BAB0 genoemd, zo laten ze in deze blogposting weten. Babo betekent in het Hongaars hobbit. De malware had als doel om alle oplossingen te omzeilen, terwijl het exemplaar zelf zeer eenvoudig was. Hierin zien de onderzoekers een vergelijking met de Lord of the Rings, waar de kleine hobbit Frodo alle verdedigingen van Sauron weet te omzeilen om vervolgens de ring te vernietigen.

De onderzoekers zijn daarnaast van plan om BAB0 in de nabije toekomst openbaar te maken. "Dit lijkt misschien controversieel, aangezien dit aanvallers kan helpen, maar aanvallers gebruiken waarschijnlijk al soortgelijke trucs en detectietools kunnen er nog niet mee omgaan", merken ze op. Door het openbaar maken van BAB0 zouden aanbieders van APT-detectietools worden gedwongen om hun producten te versterken, wat het leven van aanvallers weer lastiger maakt.

Reacties (1)
28-11-2014, 15:41 door Anoniem
Totaal onzinnig "onderzoek" van wat al decennia aangetoond en bekend is: malware kan oneindig worden aangepast om langs behavioral scanners te komen.

En inderdaad speelt dit de aanvallers in de kaart. Je bereikt verder niets nuttigs met het openbaar maken van "truuks". Als je goed wilt doen maak je het niet openbaar, maar deel je de feiten met de producenten van de scanner software. Dat is best practice.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.