Hoewel er nog steeds gebruikers zijn die alle ontvangen bijlages openen, ligt de tijd van "mass mailers" zoals Melissa en de Kournikova en I Love You virussen ver achter ons. Vandaag de dag kiezen computercriminelen er liever voor om internetters via hun browser dan via de e-mail te infecteren. Het aantal besmette mailtjes is nog nooit zo laag geweest. Is de e-mailworm op sterven na dood, is het preventief filteren door ISPs wenselijk en maakt text only e-mail wel veilig? Wij vroegen het Roel Schouwenberg, Senior Anti-Virus Researcher bij de Russische virusbestrijder Kaspersk Lab.

Er wordt al een tijd geroepen dat de mass mailer op sterven na dood
is. Kijken we naar de statistieken van mei, dan zien we dat mass mailers
nog steeds de Top 20 domineren, hoe kan dit?

Schouwenberg: Die statistieken gelden alleen voor het (door ons gemonitorde) emailverkeer. Dus het is redelijk logisch dat de wormen het qua aantallen winnen van trojans. Geseede trojans worden vaak gemodificeerd, waardoor het aantal unieke samples (relatief) laag blijft. Hierdoor behalen deze trojans de top 20 niet. Terwijl bepaalde trojans, als ze niet gemodificeerd zouden worden, de top 20 misschien wel zouden halen.

Waarom verruilen virusschrijvers e-mail virussen/wormen voor drive-by downloads? Komt dit doordat filters beter zijn geworden, omdat het makkelijker is een PC via een browser te infecteren of past dit in de strategie van "onder de radar" blijven, iets wat bij e-mail niet het geval is?

Schouwenberg: Er zijn veel redenen. Ten eerste is het gemakkelijker om een trojan te schrijven dan een virus/worm. Daarnaast zijn filters voor email met ruime marge populairder dan filters voor browsing. Het probleem met de traditionele worm is dat de auteur geen controle heeft over de snelheid waarmee de worm zich verspreidt. Het is in veel gevallen gemakkelijk om de PoC te bekijken en zo een exploit te construeren die doet wat de auteur wil. Mocht dat geen optie zijn dan kan er voor een geringe som een DIY kit gekocht worden.

De belangrijkste reden is echter dat door middel van het downloaden van een malware, de auteur realtime controle heeft over de binary die de server serveert. Trojans, en zeker simpele downloader trojans, zijn gemakkelijk aan te passen. Zo is het gemakkelijker van de schrijver zijn oogpunt om er zeker(der) van te zijn dat de malware de security oplossingen omzeilt. Zie ook het artikel over Dynamic Code Obfuscation.

URL spoofing, scriptjes en het automatisch laden van plaatjes wordt nog altijd door spammers/virusschrijvers gebruikt. Is het gebruik van text-only mail niet de oplossing voor dit soort problemen?

Schouwenberg: Vanuit een technisch oogpunt zou dit werken. Het probleem is echter dat security zoveel meer is dan slechts een technische oplossing. De gemiddelde user zal ook als hij een plain text email voor zijn neus krijgt op de link klikken. Een complete text-only oplossing zou nooit geaccepteerd worden. Daarvoor is email te populair als methode om bestanden te versturen. Daarbij denk ik niet dat er een veiligere wereld wordt gecreeërd als ineens iedereen een FTP server moet draaien om bestanden uit te kunnen wisselen. :-)

Zien jullie nog ontwikkelingen op het gebied van e-mail malware, zo hadden we een tijdje de met zip ingepakte bestanden, maar daarna is het nogal stil geworden.

Schouwenberg: Ter verduidelijking wil ik aangeven dat ik onder email malware alleen malware versta die zich daadwerkelijk repliceert via email. Bijvoorbeeld Feebs voegt zich als attachment toe aan door de gebruiker verzonden emails. Hoewel dit vroeger ook wel eens gedaan werd, was dat alweer zolang geleden dat dit wel als (op)nieuw bestempeld mag worden.

Daarnaast gebruikt(e) Zhelatin aka Nuwar aka Peacomm ook password protected RAR archives. Met als significant verschil dat ook de filename en dergelijke versleuteld is. Dit kan het voor sommige producten lastiger maken om de samples te detecteren. Daarnaast is er al langere tijd sprake van het in rap tempo versturen van gemodificeerde varianten. Twintig Warezov varianten op een dag, of nacht, is niet zeldzaam te noemen. Maar is de innovatie wel nodig? Als je ziet dat Sober.aa, welke door de meeste AVs al een redelijke tijd gedetecteerd wordt, ineens vanuit het niets op 4 staat in onze virus top 20, kan het antwoord eigenlijk alleen maar nee zijn. Social engineering is en blijft de sleutel.

Hoe sta je tegenover het standaard filteren door internetproviders van .exe en andere uitvoerbare bestanden?

Schouwenberg: Dit zou natuurlijk incidenten kunnen voorkomen. Maar als het te populair blijkt te worden, zullen er gewoonweg meer mails verstuurd gaan worden die de filters omzeilen door bijvoorbeeld URLs naar de bestanden te gebruiken. De vraag is waar je moet beginnen en eindigen. Blokkeer je alleen dingen die geëxecuteerd moeten worden door de PE loader, of ook dingen die door bijvoorbeeld de browser of office engine geparsed moeten worden?

Zou het werken? Ik betwijfel het. Ook al is het er nooit voor bedoeld, mensen willen email gebruiken om bestanden te verzenden. MSN Messenger kwam met een hele rits beveiligingen qua file sharing, een versie later zijn de beveilingen (zo goed als) allemaal optioneel geworden. Dat zegt genoeg.

Een techniek die nog wel regelmatig door virusschrijvers wordt toegepast is het inspelen op recente gebeurtenissen, zoals natuurrampen en aanslagen. Social engineering ten top, maar iets waar anti-virus software weinig aan kan doen, toch?

Schouwenberg: Een traditionele Anti-Virus oplossing kijkt alleen naar bestanden, in welke vorm dan ook. Het analyzeren van de email die bij het bestand hoort, is dan ook meer iets voor een anti-spam oplossing. Natuurlijk kan er wel in een lab gekeken worden naar verdachte emails met als onderwerp een verdachte gebeurtenis. Maar of het onderwerp van een email nou iets recents of iets van 2000 jaar geleden is, het gaat erom dat we het (zo snel mogelijk) detecteren. Dus van een technisch oogpunt doet het er niet zo zeer toe.

In hoeverre verwacht je dat IM-clients de rol van e-mail overnemen als het gaat om verspreiding van gevaarlijke links en bijlages? Zie bijvoorbeeld de Warezov familie, waarvan de laatste versies vooral via ICQ actief zijn.

Schouwenberg: We nemen aan dat de Warezov auteurs Russisch zijn. ICQ is in Rusland érg populair en Russische spy trojans zoals LdPinch spelen daar dan ook al veel langer op in dan Warezov. Dus in zoverre is het niet nieuw. Anderzijds zien we dat Braziliaanse (banker) bendes MSN Messenger gebruiken om hun malware te seeden/verspreiden.

Na een rustigere periode lijkt IM opnieuw op te leven als transportmiddel. Het is tegenwoordig extreem eenvoudig geworden om zelf een IM-Worm te creeëren.
Mogelijk heeft de opleving ook te doen met een gebrek aan nieuwe Windows/IE remote code execution exploits. IM en email hebben elk zo hun voor- en nadelen op het gebied van het verspreiden/seeden van malware. Als het strict op wormen aankomt, is het misschien mogelijk dat IM het op termijn overneemt. Maar omdat er nog steeds zoveel (links naar) trojans via email worden verstuurd, acht ik het onwaarschijnlijk dat IM het in het geheel over zou kunnen nemen. Daarvoor wordt er ook nog te weinig gebruik gemaakt van IM voor spam én nemen de makers van IM allerhande stappen om misbruik van hun netwerken tegen te gaan die op emailniveau niet te implementeren zijn.

Een goed advies is altijd geen ongevraagde bijlages openen, ook al komen ze van een bekende. In het bedrijfsleven blijkt dit echter lastig te handhaven zijn. Heb je misschien nog tips, behalve het goed scannen. Zeker nu gerichte aanvallen zo populair worden.

Schouwenberg: Goed opletten. De source bekijken van een email is niet voor iedereen een optie, maar het bekijken van de tekst wel. Als de grammaticale structuur of taal(gebruik) ineens anders is dan gebruikelijk, dan is dat reden om extra oplettend te zijn. Maar dit is ook niet foolproof, zoals Feebs aantoont.