Hoe houden we zero day threats tegen?

Tegen veel ‘zero day threats’ kunnen klassieke security tools als antivirus en anti-malware niets beginnen. Toch is het van cruciaal belang dat ook dit soort nog niet bekende bedreigingen herkend wordt en wordt tegengehouden. Hoe krijgen we grip op dit probleem? WatchGuard Technologies ziet drie oplossingen.

Moderne malware heeft veel weg van virussen en bacteriën die we in de vrije natuur tegenkomen. Ze veranderen namelijk in de tijd en weten zich aan te passen aan nieuwe omstandigheden. We overdrijven dan ook bepaald niet als we stellen dat moderne malware gebruikmaakt van zeer geavanceerde technieken. Denk hierbij aan versleutelde communicatiekanalen, rootkits die direct op de kernel werken en zeer geraffineerde voorzieningen om ontdekking te voorkomen en in het geval van ontdekking als het ware uit te wijken naar voor de cybercriminelen veiliger omgevingen of methoden.

Moderne malware is in staat om zelfstandig vast te stellen in hoeverre serieuze pogingen gedaan worden om hun aanwezigheid in een systeem of netwerk te ontdekken.

Maar misschien nog wel het belangrijkste kenmerk van moderne malware is dat er vaak gebruik wordt gemaakt van ‘zero day vulnerabilites’. Anders gezegd: nog niet ontdekte of gedocumenteerde fouten in software. Er is in ieder geval nog geen patch voor beschikbaar en ook is nog niet voorzien in een ‘signature’ waarmee klassieke tools als anti-virus en anti-malware bedreigingen kunnen stoppen die van deze bugs gebruikmaken.

Advanced persistent threats

Een ander kenmerk van moderne malware is dat deze ‘persistent’ is. Met andere woorden: het zijn geen hit & run-aanvallen, maar geavanceerde stukjes software die zo ontwikkeld zijn dat zij langere tijd in het netwerk of het systeem kunnen verblijven waar de aanval zich op richt. Hierbij verstopt de malware zich als het ware voor allerhande tools die juist bedoeld zijn om dit soort aanvallers te ontdekken.

We kunnen gerust stellen dat dit soort malware in staat is om langere tijd in dit soort omgevingen te verblijven, waarbij gebruik wordt gemaakt van mogelijkheden om bijvoorbeeld log files aan te passen of te verwijderen waarmee de aanwezigheid kan worden vastgesteld en waarbij de communicatie met de command & control servers uitsluitend via encrypted communicatie plaatsvindt. Bovendien wordt deze communicatie gekenmerkt door hele korte en burst-achtige communicatiesessies die zeer lastig te ontdekken zijn.

Dit soort moderne malware wordt ook wel ‘advanced persistent threats’ genoemd ofwel APT. Juist doordat zij zo lastig te ontdekken zijn, is de schade die bedrijven of overheidsorganisaties hierdoor kunnen oplopen vaak zeer aanzienlijk. Tegelijkertijd zien we dat er nieuwe technieken worden ontwikkeld om dit soort aanvallen te keren of te voorkomen. Laten we drie van dit soort oplossingen eens nader bekijken.

Oplossing 1: Sandboxes 2.0

Sandboxes bestaan al veel langer. Sterker nog, zij maken vaak deel uit van een volledig geautomatiseerde aanpak om nieuwe malware te ontdekken. Helaas hebben cybercriminelen dat ook ontdekt en dus zorgen zij er voor dat een als verdacht aangemerkt stukje software in een sandbox - in feite een soort virtuele machine die geheel van zijn omgeving geïsoleerd is - geen enkele vorm van verdacht gedrag vertoont. Dat doen cybercriminelen door techniek in te bouwen waarmee zij bijvoorbeeld kunnen vaststellen of de malware al of niet in een virtuele omgeving ‘draait’. Ook kijken ze in Windows-omgevingen naar alle hen bekende registry keys die op de aanwezigheid van een sandbox kunnen duiden. Bovendien laten ze de malware vaak doelbewust een tijd lang in een soort ‘sleep mode’ voordat deze actief wordt. De kans is dan groot dat zij daarmee probleemloos door een sandbox-procedure kunnen glippen.

Security-aanbieders hebben op hun beurt hier ook weer maatregelen tegen genomen. Sandboxes bestaan niet langer enkel uit een virtuele machine met daarin enkel en alleen een besturingssysteem. Er wordt meer en meer gewerkt met een emulatie van een volledige systeemomgeving. Daarmee kunnen security-aanbieders een belangrijk probleem oplossen dat sandboxes kenmerkt: een gebrek aan zicht op het gedrag van malware als deze software eenmaal actief wordt. De sandbox was immers beperkt tot een gast-OS in een VM. Door een volledige systeemomgeving te emuleren, kan de malware verleid worden actief te worden en ontstaat wél zicht op het ‘malicieus behavior’.

Er is nog iets wat een - zeg maar - sandbox 2.0 kenmerkt. Een eenvoudige sandbox kijkt enkel en alleen naar Windows API calls en system calls vanuit programma’s die in user mode ‘draaien’. Communicatie tussen system calls waren hierdoor niet zichtbaar. De emulator die nu in moderne sandboxes wordt gebruikt, emuleert de volledige systeemomgeving en biedt daarmee dus veel meer inzicht in het gedrag van malware dan een emulator op OS-niveau.

Oplossing 2: APT Blocker

Volledige systeememulatie biedt de grootste kans om malware te ontdekken (bron: WatchGuard).

APT Blocker is een techniek die is ontwikkeld om een volledige systeememulatie mogelijk te maken (CPU en geheugen). Dit gebeurt in de firewall. Een binnenkomend bestand wordt hierbij eerst door meer traditionele security-filters geleid, waarna van de file een fingerprint wordt gemaakt.  Deze vingerafdruk wordt vergeleken met fingerrpints in een database in de firewall zelf en database in de cloud. Is de vingerafdruk nog niet eerder gezien, dan wordt deze in een sandbox 2.0 - wij noemen dat een ‘system emulator’ - getest en geanalyseerd, waarbij alle instructies die via dit bestand kunnen worden uitgevoerd worden onderzocht. Daarbij kijken we naar Windows executables, PDF-bestanden, Office-files, Android Application Installer-bestanden en ingepakte bestanden als Windows zip-files.

Oplossing 3: Zichtbaarheid bieden 

De combinatie van APT Blocker en een moderne 2.0-sandbox biedt uitstekende mogelijkheden om moderne malware op basis van zero day threat te ontdekken. Maar dat is nog niet voldoende. Zo’n ontdekking enkel en alleen vastleggen in een log-bestand is niet voldoende, aangezien beheerders de enorme hoeveelheid log-data die wordt gegenereerd simpelweg niet handmatig kunnen volgen. Het is dus belangrijk dat de anti-malware oplossing zelf actie onderneemt zodra een gevaarlijk bestand is ontdekt. Denk dan aan maatregelen als:

• automatische email alerts bij ontdekking van gevaarlijke bestanden
• log- en rapportagevoorzieningen die goed zijn geïntegreerd met de andere security-maatregelen in het netwerk
• een duidelijke indicatie waarom een bestand als malware is aangemerkt, zodat de kans dat een melding als een ‘false positive’ wordt gezien sterk afneemt.

Deze drie maatregelen - zeker als deze al in de firewall beschikbaar zijn - bieden uitstekende mogelijkheden om ook moderne malware die gebruikmaakt van nog niet opgeloste of zelfs nog onbekende softwarefouten tegen te houden. De sandbox die hierbij gebruikt wordt, draait in de cloud en behoeft dus niet door de eigen beheerders of security-specialisten van een IT-afdeling te worden geïnstalleerd of onderhouden. Dit maakt deze aanpak zeer geschikt om ook nieuwe - zeg maar - technologische vondsten van cybercriminelen te kunnen ontdekken en de effecten daarvan te kunnen neutraliseren.

Etiënne van der Woude is Regional Sales Manager Benelux bij WatchGuard Technologies