Luie virusschrijvers te herkennen aan malware DNA
Luie virusschrijvers gebruiken op grote schaal elkaars kwaadaardige code en zijn aan de hand daarvan te identificeren, aldus de Noorse virusbestrijder Norman. Het bedrijf ontwikkelde een techniek die naar het "DNA" van wormen, virussen, Trojaanse paarden en andere malware kijkt. Net als DNA reeksen de bouwstenen van mensen zijn, bestaat een programma uit computercode, instructies en (sub)routines. De DNA Matching techniek herkent als malware bepaalde kwaadaardige code hergebruikt. "Zodra een .A variant is toegevoegd, dan kan .B gevonden worden als er één of meerdere kwaadaardige (sub)routines worden hergebruikt", zegt Chief Research Officer Righard Zwienenberg tegenover Security.nl.
Doe-het-zelf
De hoeveelheid malware groeit explosief, mede door de beschikbaarheid van malware toolkits. Daarmee kan iedereen nieuwe Trojaanse paarden, backdoors en keyloggers via een paar muisklikken in elkaar zetten. "Ook virusschrijvers maken het zichzelf graag gemakkelijk door dat soort reeds bestaande malware code te hergebruiken, waarmee zij nu sneller onderschept kunnen worden", zo laat de virusbestrijder weten.
De screenshots, in dit geval van de Conficker worm, laten verschillende routines zien. De analisten van Norman analyseren de routines en bestempelen ze als kwaadaardig, goedaardig of runtime. In dit geval te herkennen aan de rood, groen en blauw. Is de kleur grijs, dan is de werking van de code nog onbekend. In dit geval heeft de Conficker worm ook "groene", generieke code. Hoewel die code in de worm wordt gebruikt, wil dat nog niet zeggen dat de routine of procedure in kwestie kwaadaardig is. Daarnaast is er ook worm-specifieke code. Door die in kaart te brengen kan de virusscanner geheel nieuwe varianten herkennen, ook al is daar geen signature voor.
Typefout
Zwienenberg verwacht dat de concurrentie over niet al te lange tijd met een eigen variant van de technologie zal komen. "Een technologie die interessant of succesvol is wordt een keer gekopieerd." Ook virusschrijvers noemt hij niet inventief. "Er is er eentje met een geniaal idee en dat wordt dan duizend keer gekopieerd." Als voorbeeld noemt hij een exemplaar van de Sdbot die de update functie van de virusscanner blokkeerde. Door een typefout in de code (NUI.EXE in plaats van NIU.EXE) werkte de blokkade niet en kon de virusscanner zichzelf gewoon updaten. De fout was echter in nieuwe varianten nog gewoon aanwezig, mede omdat de broncode van de Sdbot op internet beschikbaar was. Niemand had echter de moeite genomen om te controleren of alles wel klopte.
Zwienenberg denkt dat de nieuwe technologie, die vooral als een aanvulling moet worden gezien, voor een hogere detectie en meer pro-activiteit zorgt. "Malware schrijvers zullen er blijven, helemaal met de financiële motieven. Maar aangezien ze liever lui dan moe zijn, zullen ze ook een hoop code hergebruiken of van anderen kopiëren en dat is dan op deze manier weer makkelijk te detecteren."
Termen als 'lui' en 'niet inventief' zijn misschien aardig in een artikel voor een publiek dat zich irriteert aan malware, maar het helpt niet echt in het profileren van de malware schrijvers.
Termen als 'lui' en 'niet inventief' zijn misschien aardig in een artikel voor een publiek dat zich irriteert aan malware, maar het helpt niet echt in het profileren van de malware schrijvers.
En waarom niet? Dit geeft juist aan dat het wel mogelijk is malwareschrijvers te profileren. Veel programmeurs hebben een eigen herkenbare stijl. Zoals je onderzoek kan doen naar handschrift of schrijfstijl, kan ik me voorstellen dat dat ook mogelijk is met het "werk" van malwareschrijvers.
Gaat het toch nog goed komen met de wereld?
Of zou het gewoon komen dat er grote legers luie, domme relatief ongevaarlijke script kiddies maar wat kopiëren en genereren en zo de aandacht opeisen, terwijl de echt linke broeders in het aller diepste geheim hun kwaadaardige botnets bouwen, verborgen voor onze spiedende blikken.
* krabt achter oor *
Toch grappig die mensen die menen meer te weten dan echte experts.
Termen als 'lui' en 'niet inventief' zijn misschien aardig in een artikel voor een publiek dat zich irriteert aan malware, maar het helpt niet echt in het profileren van de malware schrijvers.
En waarom niet? Dit geeft juist aan dat het wel mogelijk is malwareschrijvers te profileren. Veel programmeurs hebben een eigen herkenbare stijl. Zoals je onderzoek kan doen naar handschrift of schrijfstijl, kan ik me voorstellen dat dat ook mogelijk is met het "werk" van malwareschrijvers.
Profileren van personen, of hier criminelen, gaat wel wat dieper dan classificaties als 'lui' en 'niet inventief'. Het profileren van criminelen zoals soms getoond wordt in films of series op TV is leuk voor drama, maar heeft niets te maken met werkelijkheid.
Natuurlijk leest het lekker weg als een crimineel 'dom' en 'lui' bestempeld wordt, maar het is geen relevante informatie.
Natuurlijk leest het lekker weg als een crimineel 'dom' en 'lui' bestempeld wordt, maar het is geen relevante informatie.
Onzin. Ten eerste gaat het hier niet om profilering, dat maak jij ervan. Ten tweede zijn lui en dom wel kwalificaties die de aard van de programmeurs beschrijft. Ze zijn doorgaans lui en dom. Dat zie je aan hun "werk".
In de pers wordt al jaren met onterecht ontzag gesproken over de prestaties van een virusschrijver, dat heeft kennelijk bij jou zijn effect gehad. De meeste malwareschrijvers zijn prutsers.
Jij weet echt niet waar je het over hebt, en loopt gewoon op programmeurs in te bashen waarschijnlijk omdat dit voor jou te hoog gegrepen is. Je hebt geen idee wat het beroep programmeur inhoud maar vervolgens noem je ze wel lui. Als ik jou was zou ik gewoon niks meer zeggen want op deze manier lijk JIJ erg dom.
Jij weet echt niet waar je het over hebt, en loopt gewoon op programmeurs in te bashen waarschijnlijk omdat dit voor jou te hoog gegrepen is. Je hebt geen idee wat het beroep programmeur inhoud maar vervolgens noem je ze wel lui. Als ik jou was zou ik gewoon niks meer zeggen want op deze manier lijk JIJ erg dom.
Het gaat hier over malwareschrijvers. Doe een cursus begrijpend lezen.
Maar wat gaat Kasperski doen om de detectie van rommel geschreven door actievere virusschrijvers te verbeteren, zoals [url=http://www.virustotal.com/analisis/4f48b73697428888f338bf66fa1eb92a]deze (0 van 39)[/url]? (Het bijbehorende [url=http://isc.sans.org/diary.html?storyid=6010]verhaal[/url]).
Maar wat gaat Kasperski doen om de detectie van rommel geschreven door actievere virusschrijvers te verbeteren, zoals [url=http://www.virustotal.com/analisis/4f48b73697428888f338bf66fa1eb92a]deze (0 van 39)[/url]? (Het bijbehorende [url=http://isc.sans.org/diary.html?storyid=6010]verhaal[/url]).
Deze analyse tool is van Norman. Virustotal maakt voor zover ik weet geen gebruik van deze Norman tool. Dus je weet nog niet of het werkt of niet.
Misschien dat Righard dit leest en het resultaat voor dit bestand kan publiceren?
Jij weet echt niet waar je het over hebt, en loopt gewoon op programmeurs in te bashen waarschijnlijk omdat dit voor jou te hoog gegrepen is. Je hebt geen idee wat het beroep programmeur inhoud maar vervolgens noem je ze wel lui. Als ik jou was zou ik gewoon niks meer zeggen want op deze manier lijk JIJ erg dom.
Het gaat hier over malwareschrijvers. Doe een cursus begrijpend lezen.
Maar wat gaat Kasperski doen om de detectie van rommel geschreven door actievere virusschrijvers te verbeteren, zoals [url=http://www.virustotal.com/analisis/4f48b73697428888f338bf66fa1eb92a]deze (0 van 39)[/url]? (Het bijbehorende [url=http://isc.sans.org/diary.html?storyid=6010]verhaal[/url]).
virus schrijvers toegankelijk omdat technieken voor het undetected maken van sources explosief groeit sinds dat er veel source code's het internet vonden. Bezoek een paar 'hack' forums en je zie het met je eigen ogen. antivirus loopt weer achter de feiten aan.
Maar wat gaat Kasperski doen om de detectie van rommel geschreven door actievere virusschrijvers te verbeteren, zoals [url=http://www.virustotal.com/analisis/4f48b73697428888f338bf66fa1eb92a]deze (0 van 39)[/url]? (Het bijbehorende [url=http://isc.sans.org/diary.html?storyid=6010]verhaal[/url]).
Deze analyse tool is van Norman.
Norman Virus Control != Norman Sandbox Analyzer
Jij weet echt niet waar je het over hebt, en loopt gewoon op programmeurs in te bashen waarschijnlijk omdat dit voor jou te hoog gegrepen is. Je hebt geen idee wat het beroep programmeur inhoud maar vervolgens noem je ze wel lui. Als ik jou was zou ik gewoon niks meer zeggen want op deze manier lijk JIJ erg dom.
Het gaat hier over malwareschrijvers. Doe een cursus begrijpend lezen.
Je moet het in de context lezen. Er worden malware programmeurs (=schrijver) bedoeld, echt geen gewone programmeurs. Het helpt echt niet anderen uit te maken voor dom.
Norman Virus Control != Norman Sandbox Analyzer
Norman Antivirus & Antispyware
...
The Norman SandBox technology is included - a proactive technology used to find and stop unwanted actions from new and unknown malware.
En als ik bijv. op [url=http://www.virustotal.com/analisis/1cc920d4966b5c95b6875ef37293f040]deze[/url] virustotal pagina kijk (de site is ondertussen weer in de lucht) dan zie ik dat daadwerkelijk gebruik is gemaakt van die Norman Sandbox. Onder welke omstandigheden dat gebeurt, en of Norman AV dan wel Virustotal die Sandbox oproept, weet ik niet. Maar een kale sandbox die niet in een on-access virusscanner is ingebouwd lijkt me zinloos om malware tegen te houden zoals beschreven op de eerder door mij genoemde pagina met het [url=http://isc.sans.org/diary.html?storyid=6010]bijbehorende verhaal[/url].
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
