image

Security experts zijn compressie zat

donderdag 8 mei 2008, 16:15 door Redactie, 12 reacties

De internationale strijd tegen malware speelde zich vorig week af in het Crowne Plaza hotel in Hoofddorp. Meer dan 125 virusonderzoekers en beveiligingsexperts waren aanwezig om tijdens de Caro workshop te spreken over de problemen waar anti-virusbedrijven tegen aanlopen en hoe die op te lossen zijn. CARO (Computer AntiVirus Researcher's Organization) is een informele groep van virusonderzoekers die op persoonlijke titel lid zijn. Het evenement had dan ook geen commerciële insteek en draaide vooral om het uitwisselen van informatie tussen virusonderzoekers. Het analyseren en controleren van bestanden op malware is de afgelopen jaren een stuk complexer geworden. De workshop stond dan ook in het teken van "Packers, Decryptors and Obfuscators".

Bijna alle malware executables zijn vandaag de dag "gepackt" of "geobfusceerd". Dat betekent dat ze zijn gecomprimeerd, versleuteld of op zo'n manier zijn verpakt dat de code niet meer leesbaar is. De reden om software te "packen" is dat dit ruimte schilt, waardoor programma's kleiner zijn en sneller laden en een veel belangrijkere reden, het beschermen tegen reverse engineering. Met name ontwikkelaars van spelletjes proberen hun creaties tegen softwarepiraten te beschermen en kiezen daarbij voor dit soort oplossingen.

Zoals met zoveel technieken biedt het ook mogelijkheden voor de "bad guys". Door geïnfecteerde executable bestanden tegen reverse engineering te beschermen, kunnen virusscanners niet in het bestand kijken of het goed- of kwaadaardig is. Een binnen de AV-industrie gevreesd programma die dit mogelijk maakt is Themida. Een legitiem programma dat zich omschrijft als een "Windows Software Protector", maar daarnaast ook wordt ingezet voor het beschermen van malware. Naast Themida zijn er nog tal van andere programma's die op deze manier worden ingezet.

Blacklisting

Het standaard blokkeren van programma's die gepackt zijn lijkt de oplossing, er zijn echter talloze legitieme applicaties die dit ook doen, waaronder Google. Tijdens de workshop werd daarom heftig gediscussieerd of de "botte bijl" tactiek een oplossing is. Bedrijven zouden bijvoorbeeld kunnen aangeven dat binnen hun netwerk geen geobfusceerde of gepackte executables zijn toegestaan, dat voorkomt een hoop kopzorgen.

Dat veel techniek misbruikt kan worden maakte Paul Ducklin van Sophos tijdens de keynote speech duidelijk. Verborgen iframes op websites zijn naast packers een groot probleem. De scripts die exploits op het systeem van de bezoeker proberen te laden, verschuilen zich achter plaatjes van 1x1 pixels. Er zou bijvoorbeeld een regel moeten komen dat iframes minimaal uit 16x16 pixels moeten bestaan. Ducklin merkte op dat zijn eigen werkgever in de nieuwsbrief dit soort "webbugs" gebruikt voor het tracken van mensen die de e-mail ontvangen en lezen.

Ducklin riep de aanwezige anti-virusbedrijven daarom op harder en slimmer, maar vooral nauwer samen te werken. Die saamhorigheid was tijdens het twee dagen durende evenement goed te merken. Mogen de marketingafdelingen van de verschillende anti-virusbedrijven elkaar dan naar het leven staan, tussen de "techies" verliep alles in harmonie. Naast het geven van tips om Themida en andere packers te bestrijden werd er geprobeerd tot een gezamenlijk standpunt te komen in de aanpak van geobfusceerde malware. De reden voor de samenwerking is dankzij het internet een stuk belangrijker geworden. Als product A een bepaald virus herkent en product B niet, dan raken de klanten van product B besmet, wat weer extra gevolgen heeft voor de klanten van product A. Denk aan DoS-aanvallen, spam en andere ellende.

Als het gaat om encryptie en obfuscatie is dit pas het begin. Malware is nu al in staat om te zien of het door een scanner gescand wordt. Zodra het dit merkt, schakelt het zichzelf bijvoorbeeld uit. Ook op het gebied van "anti-debugging" hebben virusbestrijders hun handen vol. Om detectie voorkomen kan malware bijvoorbeeld een "timelock" toepassen, zoals Tim Ebringer in zijn presentatie duidelijk maakte. In deze gevallen duurt het bijvoorbeeld twee minuten voordat de malware actief is. Om te kijken of een bestand kwaadaardig is, zal een scanner in deze gevallen het bestand twee minuten moeten emuleren voordat het dit zeker weet, iets wat niet alle virusscanners doen. Het zou voor een gebruiker ook onwerkelijk zijn als hij een programma start en vijf minuten moet wachten omdat de anti-virus software nog bezig is met de analyse van het bestand.

Onwerkbaar

Inmiddels ontvangen de anti-virusbedrijven dagelijks 15.000 nieuwe malware exemplaren. Varianten die vaak slechts eenmalig worden ingezet en binnen minuten al zijn vervangen door een nieuwe versie. Het is dan ook de vraag hoe zinnig het is om hier detectie voor te ontwikkelen. Het ontwikkelen van een goede virus-signature kan soms een aantal dagen duren. Daarmee worden dan wel in één keer duizenden varianten ontdekt. Toch weten de anti-virusonderzoekers gemiddeld zo'n 10 tot 15 updates per dag te ontwikkelen, en daar zitten ook updates voor specifieke lastpakken tussen. Het is dus niet alleen maar generiek wat de klok slaat.

Counter-strike

Virusschrijvers werken niet alleen aan de ontwikkeling van nieuwe varianten ze zijn ook bezig met het actief dwarsbomen van de virusbestrijders. Jose Nazario van Arbor Networks waarschuwt dat er dit en volgend jaar meer "anti-analyse" plaats zal vinden. Het gaat dan om malware die de aanwezigheid van een virtual machine of emulator ontdekt en een aanval op de omgeving uitvoert en die probeert te vernietigen of laten crashen. Een andere optie is het "vervalsen" van de inhoud, waarbij virusonderzoekers denken dat ze weten hoe de malware werkt, terwijl dit in werkelijkheid een afleidingsmanoeuvre is. Als laatste verwacht ook hij meer en betere obfuscatie. Het zijn niet alleen executables die onderzoekers grijze haren geven. Veel browsers en e-mail clients accepteren foute en vervormde code en doen hun best om de inhoud toch correct weer te geven. “Onder andere Microsoft is hier schuldig aan,” merkt Righard Zwienenberg van Norman op. De Chief Research Officer van het Noorse bedrijf, tevens gastheer van het evenement, kreeg op de dag ervoor een biologisch virusje te pakken. Volgens hem schikken bedrijven zoals Microsoft zich naar de wensen van de eindgebruiker. In het geval van Outlook Express en misvormde e-mails is dit functionaliteit waar de consument vast blij mee is, maar ook eentje waar virusschrijvers handig gebruik van maken.

Harder optreden

Niet alleen zouden browsers en dan met name Microsoft strenger tegen "ranzige javascript" moeten optreden, het Hongaarse Virusbuster blokkeert bijvoorbeeld al standaard custom packers. Gevaarlijke banking trojans zoals Sinowal zijn voorzien van hun eigen packer. Gabor Szappanos van het Hongaarse bedrijf kreeg veel bijval tijdens zijn presentatie over het blacklisten van packers. Geen enkele klant had nog geklaagd dat custom packers op de zwarte lijst stonden. Themida mag dan geen "custom made" packer zijn. Een test waarbij Themida executables aan de hand van naam, extensie, omvang en locatie geblokkeerd werden, leverde nul klachten op.

Voldoende ruimte

Virusschrijvers zullen dit uiteindelijk ook doorkrijgen en dan kiezen voor andere commerciële packers zoals het veel gebruikte UPX. Volgens Zwienenberg, zelf al jaren CARO-lid, slaat het comprimeren en packen van executables, javascript en andere bestanden nergens meer op, aangezien er voldoende ruimte is en de breedbandverbindingen steeds sneller worden. “We zitten niet meer met harde schijven van 20 megabyte. Ik liep net door de Media Markt en zag een externe harde schijf van 1,5TB. Wie heeft er nu nog ruimtegebrek.” Hij noemt ook andere industrieën waar steeds minder met compressie wordt gewerkt.

Voor bedrijven die bang zijn dat hun software gekraakt of ten prooi valt aan reverse engineering zijn er ook voldoende oplossingen zoals digitale handtekeningen. Microsoft packt bijvoorbeeld geen enkele executable. In het geval van UPX, de meest gebruikte packer van dit moment, staat in de voorwaarden dat je niets meer mag toevoegen, zoals een andere packer.

CARO

Zwienenberg en VeldmanHet evenement gunde virusbestrijders een kijkje in elkaars keuken en was daarnaast ook een sociale gebeurtenis. Zo vaak komt het niet voor dat je bekende namen als Vesselin Bontchev, Fridrik Skulason, Jimmy Kuo, lfak Guilfanov, Roger Thompson, Dan Hubbard, Jose Nazario en Peter Szor op één plek aantreft. Tijdens de laatste presentatie maakte oud Caro-lid en ontwikkelaar van Thunderbyte Anti-Virus, Frans Veldman, nog zijn opwachting. De Nederlander raakte destijds bij de bestrijding van malware betrokken omdat een kennis geïnfecteerd was geraakt. “De analyse bleek veel complexer dan gedacht.” In eerste instantie ontwikkelde het bedrijf een insteekkaart, maar softwarematige detectie bleek uiteindelijk effectiever.

Hoe verder

Dat er dingen moeten veranderen in de bestrijding van malware is al lange tijd duidelijk. De hoeveelheid varianten wordt alleen maar groter en gaat dit jaar mogelijk door de 20 miljoen heen. De industrie moet daarom een gezamenlijk standpunt tegen packers in nemen en duidelijk maken dat dit soort praktijken niet meer acceptabel zijn.

Dit zal ook gevolgen hebben voor de consument, die eventuele blacklist-maatregelen beperkend kan vinden. Het spreekwoord 'Zachte heelmeesters maken stinkende wonden' is hier ook van toepassing, en zolang zowel techniek als bewustzijn achterlopen, lijkt een harde hand de enige oplossing. Dit roept echter ook weer vragen op, zoals spywareverspreider Zango opmerkte, gaan beveiligingsbedrijven straks bepalen wat goed en slecht is?

Afsluitend nog een quote van een bedrijf dat tegen de problemen met Themida aanliep: “Net zoals we wapenfabrikanten niet de schuld kunnen gegeven van de mensen die misdaden begaan, kunnen we ook de makers van Themida het niet kwalijk nemen. We hebben echter een bedrijfsbeleid dat wapens verbiedt. Dus gaan we hetzelfde doen voor Themida.”

Reacties (12)
08-05-2008, 19:04 door Bitwiper
Het standaard blokkeren van programma's die gepackt zijn lijkt de oplossing, er zijn echter talloze legitieme applicaties die dit ook doen, waaronder Google
Als AV een bestand niet (goed) kan scannen vanwege onbekende compressie (bewust gemanipuleerde upx komt inderdaad veel voor) of tig keer nesten van zip e.d. moet deze m.i. alarm slaan. Bestanden waarvoor onterecht alarm geslagen wordt (vanwege genoemde obfuscation maar ook die files die om andere reden 'verdacht' zijn, zoals netcat en pskill) moet je kunnen whitelisten.
Als het gaat om encryptie en obfuscatie is dit pas het begin. Malware is nu al in staat om te zien of het door een scanner gescand wordt.
Zolang de meeste gebruikers als admins werken en/of AV ook door gewone users eenvoudig is uit te schakelen is behavioral detection gedoemd te mislukken. M.i. moet een virusscanner scannen voordat een bestand wordt 'uitgevoerd', dan is het echt nog niet in staat te 'zien of het gescand wordt'.
Ik liep net door de Media Markt en zag een externe harde schijf van 1,5TB.
Weet je hoe lang het duurt om die te backuppen (met max. zo'n 70MB/s)? Daarnaast krijgen we steeds meer mobiele apparaten met lage bandbreedtes en relatief kleine flashdisks. Bovendien vind ik zippen e.d. erg handig omdat dan de datum/tijd van een bestand bewaard blijft als je deze mailt.
08-05-2008, 19:31 door Anoniem
Ik heb geen slimme opmerking, maar wilde de redactie bedanken
voor mooie artikel.
08-05-2008, 22:48 door Anoniem
Door Anoniem
Ik heb geen slimme opmerking, maar wilde de redactie bedanken
voor mooie artikel.
Eens!
09-05-2008, 01:53 door Anoniem
Door Bitwiper
Bestanden waarvoor onterecht alarm geslagen wordt (vanwege genoemde
obfuscation maar ook die files die om andere reden 'verdacht' zijn, zoals
netcat en pskill) moet je kunnen whitelisten.

Tools als pskill komen soms voor in bot packages. De verdenking is dus vaak
wel gerechtvaardigd. Het zou inderdaad lastig zijn om detectie ervan uit te
kunnen zetten op servers waar dergelijke tools worden gebruikt. Dan is het
beter het bestand (checksum+locatie) te whitelisten in plaats van detectie.
09-05-2008, 13:49 door Anoniem
Veel browsers en e-mail clients accepteren foute en
vervormde code en doen hun best om de inhoud toch correct
weer te geven. “Onder andere Microsoft is hier schuldig
aan,” merkt Righard Zwienenberg van Norman op. (...) Volgens
hem schikken bedrijven zoals Microsoft zich naar de wensen
van de eindgebruiker. In het geval van Outlook Express en
misvormde e-mails is dit functionaliteit waar de consument
vast blij mee is, maar ook eentje waar virusschrijvers
handig gebruik van maken.
Dat foute en vervormde code
bestaat is dankzij producten die daar onvoorspelbaar nog wat
leuks van proberen te maken.
Zouden deze uitsluitend volgens standaarden correcte code
aanvaarden, dan zou het aandeel foute en vervormde code
alsook daaraan gelieerde problemen verwaarloosbaar zijn. Dat
laatste is gebruiksvriendelijker.
09-05-2008, 14:38 door Anoniem
Door Bitwiper
M.i. moet een virusscanner scannen voordat een bestand wordt
'uitgevoerd', dan is het echt nog niet in staat te 'zien of
het gescand wordt'.
Precies. Maar anti-virus
producten werken dan ook zeer aan de oppervlakte, druk met
futiliteiten, zonder een probleem daadwerkelijk op te lossen.

Het whitelisten van schone, tegen overschrijving beveiligde,
uitsluitend daadwerkelijk gebruikte uitvoerbare bestanden
(en daarmee automatisch het weigeren uit te voeren van alle
andere uitvoerbare bestanden) onder een gebruikersaccount en
door uitsluitend te werken onder een gebruikersaccount met
bijbehorende beperkte rechten, is veel doeltreffender en
consumeert daarbij minder resources.
Mede te denken aan het blokkeren van uitvoerbare bestanden
afkomstig van het internet (met uitzondering van programma
updates vanaf de bijbehorende legitieme adressen, en die
door een virusscanner gecontroleerd kunnen worden).
12-05-2008, 19:32 door PolaMan
Meer dan 125 virusonderzoekers en beveiligingsexperts
waren aanwezig

Goed om te zien dat de redactie blijkbaar mijn mening deelt
dat virusonderzoekers en beveiligingsexpert volkomen
disjuncte groepen zijn :0)
14-05-2008, 09:53 door spatieman
qoute:
“We zitten niet meer met harde schijven van 20 megabyte. Ik
liep net door de Media Markt en zag een externe harde schijf
van 1,5TB. Wie heeft er nu nog ruimtegebrek.”

hebt er niets mee te maken.
Malware jongens hebben iets te verbergen, en dan is packing
eenvan de middelen om het de eindgebruiker/slachtoffer het
moeilijker te maken..
14-05-2008, 19:00 door Anoniem
ze kunnen het wel zat zijn, maa rdt alost het probleem nog
niet op. whitelisting/blacklisting en dan gewoon waarschuwen
bij zo'n bestand is de beste oplossing. overigens zou je de
bestanden naar de betreffende AV bedrijf op moeten kunnen
sturen voor analyze, als je iets neit vertrouwt.
14-05-2008, 22:00 door Anoniem
Door spatieman
Malware jongens hebben iets te verbergen, en dan is packing
eenvan de middelen om het de eindgebruiker/slachtoffer het
moeilijker te maken..
Je gaat er blijkbaar vanuit dat
op je computer en OS elk voorgehouden uitvoerbaar bestand
klakkeloos blind door alles en iedereen moet kunnen worden
uitgevoerd. Op die manier blijf je kwetsbaar voor de
gespeelde onmacht van anti-virus producten, zonder het
probleem daadwerkelijk op te lossen. Aangezien anti-virus
het probleem niet op zal lossen, omdat zij belang bij het
probleem hebben en deze daardoor zo lang mogelijk instand
zullen proberen te houden, maakt beveiliging noodzakelijk.
15-05-2008, 12:18 door Anoniem
...e code niet meer leesbaar is. De reden om software
te "packen" is dat dit ruimte schilt/b], waardoor
programma's kleiner zijn en sneller laden en een veel
belangrijkere reden, het[/quote]
Het schillen van ruimte? Is dat net zoiets als aardappels
schelen? ;)
21-05-2008, 12:51 door Anoniem
Ik vind het ook geen prettig idee dat een virusscanner
dadelijk voor mij gaat bepalen wat goed / slecht is.
Een melding geven, prima, maar niet zomaar zonder meer in
quarantine gooien.

Als ik mijn USB stick in een computer steek en een scan
uitvoer dan ben ik een groot gedeelte van mijn programma's
kwijt omdat netcat, pskill, etc allemaal gelijk in
quarantine gegooid worden.

Dan liever helemaal geen virusscanner ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.