Race to Zero wedstrijd pijnlijk voor virusscanners
De omstreden Race to Zero viruswedstrijd is voor anti-virus software pijnlijk verlopen. De wedstrijd liet beveiligingsonderzoekers virussen aanpassen zodat ze niet door virusscanners te herkennen waren. Een van de teams had minder dan twee en een half uur nodig om alle negen exemplaren te obfusceren, waardoor detectie niet meer mogelijk was. Het ging om zeven virussen, waaronder het oude Stoned virus en twee exploits.
De snelheid waarmee de virusscanners waren te verslaan laat de problemen van de huidige anti-virus engines zien, aldus Simon Howard, die de wedstrijd organiseerde. "Patroon-gebaseerde detectie werkt niet. Gedragsherkenning is de weg voorwaarts, maar het is alleen in sommige desktop-scanners aanwezig en al helemaal niet bij server software."
Het eerste virus dat de onderzoekers moesten verhullen was het Stond virus uit 1988. Ook Netsky, Bagel, Sasser, Zlob, Welchia en Virut kwamen aan bod. De exploitaanvallen waren voor Microsoft Word, het animated cursor lek in Windows en de kwetsbaarheid in Microsoft's SQL die de Slammer worm gebruikte. De exploit voor Microsoft 2000 werd geschrapt omdat de deelnemers geen kwetsbare versie van Office hadden om de aanval te testen.
Onethisch
De wedstrijd zorgde bij virusbestrijders voor veel kritiek, zo noemde Eugene Kaspersky het schrijven van malware voor het plezier onethisch. Volgens Howard is die kritiek niet gerechtvaardigd. Het netwerk waar de wedstrijd plaatsvond was afgesloten van het internet. Daarnaast kregen alle anti-virusbedrijven de ontwikkelde exemplaren, inclusief de naam van het team dat het ontwikkelde. Mocht de malware toch lekken, dan weet men wie verantwoordelijk was.
De deelnemers aan de wedstrijd waren er wel over te spreken. Matt Richard van iDefense noemde de wedstrijd waardevol omdat het onderzoekers de tegenstander laat waarderen. Howard hoopt dat de uitslag van de Race to Zero aankomt bij bedrijven en thuisgebruikers. "Als ma en pa hier een artikel over lezen en in hun virusscanner gedragsherkenning inschakelen, dan is het het allemaal waard geweest."
niet meer. Kijk wat een virus doet en blokkeer alle ongeoorloofde
handelingen. Maar ja, dan moet je intelligenter gaan programmeren en dat is
lastig. Overigens zouden we veel minder te hoeven updaten, nou is elk virus
een nieuw gevaar, ook als doet het precies hetzelfde als een ander virus. Als
je alle foute handelingen blokkeert, wordt je antivirusprogramma vanzelf een
stuk sneller en heb je er uiteindelijk veel minder werk aan.
Overigens is het weer typisch dat Microsoftproducten onder vuur genomen worden. Dan kan Apple bijvoorbeeld rustig blijven slapen en alles afdoen met een grote bek, zoals onder andere bij Safari.
het plezier onethisch...
Als Eugene het niet op de inhoud kan winnen, gooit hij het
op het fatsoen.
Al jarenlang duurt het even voor scanners de nieuwste
malware herkennen, en kunnen verwijderen. Maar malware in
omloop, is niet alleen maar de nieuwste. Dus tegen oudere
malware zijn virusscanners nog steeds nuttig.
Overigens blijft het natuurlijk een lachwekkende situatie
dat speciale software moet bepalen wat wel of niet
geoorloofd is, terwijl men massaal systemen gebruikt waarop
eigenlijk alles mag. Met name het in feite onbeperkt kunnen
uitvoeren van scripts, is de oorzaak dat Windows veel
gevoeliger is voor malware dan *IX. Hierdoor is inmiddels
ook de beveiliging van Vista onderuit gehaald:
http://www.neowin.net/news/main/08/08/08/vista39s-security-rendered-completely-useless-by-new-exploit.
Het is de eigen opbouw van Windows die beveiligers niet
anders laat dan symptoombestrijding. Verbazingwekkend dat er
media 2008 nog steeds mensen zijn, die dat maar niet willen
(kunnen) begrijpen.
"onderzoekje" het licht ziet, meteen spreken hele
volkstammen elkaar na. Natuurlijk helpen handtekeningen wel,
maar het is niet de enige manier van defense wat je moet
instellen. Je moet immers een firewall ook combineren met
meerlagige beveiliging op je systeem. Doe je dat niet, dan
komt de dag en het uur dat het systeem toch gepenetreerd wordt.
De wedstrijd liet beveiligingsonderzoekers virussen aanpassen zodat ze niet
door virusscanners te herkennen waren. Een van de teams had minder dan
twee en een half uur nodig om alle negen exemplaren te obfusceren,
waardoor detectie niet meer mogelijk was. Het ging om zeven virussen,
waaronder het oude Stoned virus en twee exploits.
Obfuscatie is het simpelste van het simpelste. Als je daarvoor zoveel tijd nodig
hebt ben je volledig incompetent.
En een exploit is geen virus.
Overigens is het weer typisch dat Microsoftproducten onder
vuur genomen worden. Dan kan Apple bijvoorbeeld rustig
blijven slapen en alles afdoen met een grote bek, zoals
onder andere bij Safari.
bestaan nou eenmaal de meeste virussen en worden de meeste
virusscanners gemaakt. waarom zou je moeilijk gaan doen en
een minder veel voorkomende situatie gaan gebruiken.
buiten het hier boven beschreven gebeuren zal men microsoft
software blijven aanvallen omdat men daar veel kansen op
besmetting heeft. door de hoeveelheid gebruikers, het type
gebruikers, ....
een virus schrijven voor apple dat dan nauwelijks effect
heeft, waarom zou je.
onethisch?
Dat signatures niet meer voldoen is een feit was al een
aantal jaren vast staat, maar behaviour blocking is veel
moeilijker te implementeren en de kans op false positives
veel groter.
Voor bedrijven denk ik eerder dat het whitelisten van
applicaties een betere manier is. Als het goed is heeft een
bedrijf een beleid over welke software gebruikt mag worden
binnen het netwerk, whitelisting zou dit beleid kunnen
onderstrepen en tevens een hoop malware kunnen voorkomen.
Voor thuisgebruikers is dit natuurlijk niet de ultieme
oplossing, daar speelt educatie een grote rol en dat is nog
steeds een ondergeschoven kindje. Een antivirus bedrijf is
er niet bij gebaat om een eindgebruiker te leren hoe malware
te voorkomen, want het maakt hun software zoals het nu
ontwikkeld wordt overbodig.
is the way to go...
Mijn inziens klopt dit ook maar heb je ook al is nagedacht wat een
patroonherkenning module doet met je CPU en/of Memory ?
Wat is dan het volgend artikel? AV software "zuigt" want vertraagt je PC
ellendig!
Er bestaan momenteel al een paar pakketten die dit type van bescherming
hebben. (o.a. TruPrevent van Panda)
Koop ze, installeer ze, test ze en laat is weten wat je van dit type van
bescherming vind. [Veligigheid >< Snelheid.]
Technisch gezien is dit type van technologie de beste. Maar dit type van
security heeft wel een prijs natuurlijk...
Iedereen spreekt graag slecht over signature detectie, en
patroonherkenning
is the way to go...
Mijn inziens klopt dit ook maar heb je ook al is nagedacht
wat een
patroonherkenning module doet met je CPU en/of Memory ?
Wat is dan het volgend artikel? AV software
"zuigt" want vertraagt je PC
ellendig!
Er bestaan momenteel al een paar pakketten die dit type van
bescherming
hebben. (o.a. TruPrevent van Panda)
Koop ze, installeer ze, test ze en laat is weten wat je van
dit type van
bescherming vind. [Veligigheid >< Snelheid.]
Technisch gezien is dit type van technologie de beste. Maar
dit type van
security heeft wel een prijs natuurlijk...
Nieuwe Spybot Search&Destroy doet het 'just fine' :)
(gratis)
POLYMORPHISM :-)
Dat is handig, want dat maakt nog meer duidelijk dat je te maken hebt met
malware. Er is altijd een encoder/decoder nodig en die is of wordt hoe dan
ook zichtbaar.
Doet iets gratis maar wat ben jij zeker dat het doet ?
Marketing != techniek :-)
Wees toch is wat kritisch,...
De wedstrijd liet beveiligingsonderzoekers virussen
aanpassen zodat ze niet
door virusscanners te herkennen waren. Een van de teams had
minder dan
twee en een half uur nodig om alle negen exemplaren te
obfusceren,
waardoor detectie niet meer mogelijk was. Het ging om zeven
virussen,
waaronder het oude Stoned virus en twee exploits.
Obfuscatie is het simpelste van het simpelste. Als je
daarvoor zoveel tijd nodig
hebt ben je volledig incompetent.
En een exploit is geen virus.
Deal,
ik geef je 9 virussen (geen exploits ;-) ) en jij krijgt 2,5
uur (da's 150 minuten !) om ze te obfusceren zodat ze niet
meer als virus herkend worden.
Ik wil je het zien doen topper !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
