Het aanvallen van beveiligingslekken in Adobe Flash Player was een populaire manier voor cybercriminelen om internetgebruikers en organisaties met malware te infecteren, maar dat is aan het veranderen, zo laat de onderzoeker met het alias Kafeine in een interview met Security.NL weten.

Kafeine werkt voor beveiligingsbedrijf Proofpoint en is een expert op het gebied van exploitkits. Hij rapporteerde ook meerdere zero day-lekken in Flash Player aan Adobe die actief via exploitkits werden aangevallen. Exploitkits zijn programma’s die misbruik van beveiligingslekken in besturingssystemen, browsers en browserplug-ins maken. Een exploitkit maakt het mogelijk om internetgebruikers ongemerkt met malware te infecteren. Het bezoeken van een gehackte website of het te zien krijgen van een besmette advertentie is hiervoor voldoende.

Zo goed als alle aanvallen waar exploitkits gebruik van maken richten zich op kwetsbaarheden waarvoor updates al beschikbaar zijn. Er zijn nog altijd gebruikers en organisaties waar updates niet of niet tijdig worden geïnstalleerd, waardoor exploitkits succesvol kunnen zijn. Kafeine liet onlangs echter weten dat exploitkits in zwaar weer zitten. Reden voor Security.NL om de onderzoeker enkele vragen te stellen.

Recentelijk liet je weten dat exploitkits minder internetgebruikers dan voorheen infecteren. Wat is precies de reden hiervoor?

Kafeine: Er zijn twee voorname redenen. De eerste is dat exploitkits gewoon minder succesvol zijn dan voorheen. Leveranciers verhelpen kwetsbaarheden snel, organisaties patchen regelmatig hun systemen en er is voor cybercriminelen gewoon geen goede return on investment meer bij het gebruik van exploitkits. De tweede reden is de arrestatie van de personen achter de Angler-exploitkit, begin 2016. De Angler-exploitkit was met afstand de populairste exploitkit. De arrestatie heeft een gat in de exploitkit-markt geslagen. Sommige cybercriminelen zijn op andere exploitkits overgestapt, maar velen hebben voor andere manieren gekozen om malware te verspreiden.

Exploits in Flash Player zijn een zeer populair doelwit van cybercriminelen. Wat denk je dat het gevolg zal zijn als browsers zoals Chrome en Firefox Flash Player standaard zullen blokkeren? Wat voor gevolgen zal dit op het exploitkit-landschap hebben?

Kafeine: Het afnemende gebruik van Flash Player heeft zeker een impact. We zien echter nieuwe exploits en aanvalsketens die social engineering, steganografie en andere technieken gebruiken die niet van Flash Player afhankelijk zijn. En er zijn nog voldoende mensen die Internet Explorer gebruiken waar Flash Player niet standaard wordt geblokkeerd.

Toen de bende achter de Anlger-exploitkit er nog was, verschenen er geregeld nieuwe Flash-exploits nadat Adobe de Flash Player-updates had uitgebracht. Tegenwoordig gebeurt dat niet meer. Is het lastiger geworden om Flash Player-updates te reverse engineeren?

Kafeine: Het is niet alleen het verdwijnen van de Angler-exploitkit en de mensen erachter, maar ook dat Flash Player geen belangrijk doelwit meer is.

Nu exploitkits minder succesvol zijn dan voorheen, zullen cybercriminelen waarschijnlijk voor social engineering kiezen. Maakt dit het lastiger voor ze om slachtoffers te maken en zullen we als gevolg minder infecties zien?

Kafeine: We zien nu dat social engineering aan de aanvalsketen voor exploitkits en gerelateerde infectievectoren zoals ElTest wordt toegevoegd. Meestal is het eenvoudiger om iemand ergens op te laten klikken dan het is om een exploit te ontwerpen, dus het is afwachten hoe exploitkit-technologie in de toekomst zal worden gebruikt.

Een andere mogelijkheid is dat cybercriminelen naar andere software zullen kijken om aan te vallen, zoals browsers of misschien zelfs html5. Houd je hier rekening mee?

Kafeine: Zeker. We zien dat nieuwe exploitkits ook thuisrouters aanvallen, alsmede mobiele apparaten. JavaScript wordt veel bij steganografie-aanvallen gebruikt en er zijn nog veel mogelijkheden naast Flash Player.

Voor zover bekend hebben er geen exploit-aanvallen (drive-by downloads) tegen Google Chrome plaatsgevonden. Verrast dit je, aangezien het ook de meestgebruikte browser op internet is?

Kafeine: We hebben één functionerende kwetsbaarheid tegen Chrome gezien, maar Google verhielp het probleem op dezelfde dag dat ze werden ingelicht. Over het algemeen beschermt de Chrome-sandbox de browser en gebruikers. De browser wordt ook snel een veelvuldig gepatcht. Hoewel de populariteit Chrome het een doelwit maakt, verminderen andere factoren de kwetsbaarheid.

De beste manier om aanvallen via exploitkits te voorkomen is het installeren van updates. Veel exploits in exploitkits maken echter gebruik van oude kwetsbaarheden, wat laat zien dat mensen en organisaties updates niet installeren. Wat moet er veranderen zodat mensen vaker updaten?

Kafeine: Updates moeten automatisch worden geïnstalleerd en gehandhaafd door beleid. Aanvallers kijken ook naar kwetsbaarheden die leveranciers en organisaties niet belangrijk vinden. Dat houdt in dat leveranciers alles de prioriteit moeten geven, wat niet altijd mogelijk is.

De arrestatie van de personen achter de Anlger-exploitkit had een grote impact op het exploitkit-landschap. Moeten politie en opsporingsdiensten zich meer op dit soort groepen richten?

Kafeine: Vanzelfsprekend, maar ervaren cybercriminelen weten hun sporen goed te verbergen wat het lastig maakt om ze te vinden. Ze werken ook vaak voor buitenlandse overheden of zijn onderdeel van grotere georganiseerde misdaadsyndicaten. Corruptie kan het erg lastig maken om ze effectief te vervolgen.

Wat voor advies zou je aan mensen willen geven om zich tegen exploits te beschermen, behalve het installeren van updates?

Kafeine: Het regelmatig maken van back-ups is een belangrijke maatregel in het geval van een infectie, zeker met ransomware. We adviseren meestal geen specifiek besturingssysteem of bepaalde software, maar het up-to-date houden van je beveiliging, het gebruik van een firewall en waar mogelijk het voorkomen van advertenties en clickbait kunnen allemaal helpen om mensen te beschermen.