image

"Flame-virus is oud nieuws"

woensdag 30 mei 2012, 11:37 door Redactie, 5 reacties

Volgens sommige beveiligingsexperts is het Flame-virus dat uitgebreid door de media is belicht helemaal niet zo bijzonder, daarnaast was er één virusscanner die de malware wel detecteerde. "Er worden al vele jaren dit soort tools door high-end teams gebruikt", zegt Richard Bejtlich van beveiligingsbedrijf Mandiant. Hij vergelijkt de malware met de spyware die de Duitse overheid liet ontwikkelen om verdachten te bespioneren.

Ook anti-virusbedrijf Webroot stelt dat het virus niet zo complex of verborgen als Stuxnet is, en een relatief eenvoudig te detecteren valt. Virusbestrijder Sophos merkt op dat Kaspersky Lab, dat als eerste met de ontdekking naar buiten kwam, slechts een paar honderd met Flame besmette computers heeft ontdekt. "Dat is niet zoveel", aldus Graham Cluley van Sophos. "Het is vrij onbetekenend als je het vergelijkt met de 600.000 Mac-comptuers die eerder dit jaar met Flashback besmet raakten."

Bluetooth
Inmiddels heeft Kaspersky Lab een nieuwe analyse van Flame online ingezet, inclusief een overzicht van alle modules die de malware gebruikt. Onder andere de veelbesproken Bluetooth-module, waarmee Flame informatie van kwetsbare telefoons en andere Bluetooth-apparaten kan stelen, alsmede een lijst samenstellen van Bluetooth-apparaten in de buurt.

"Volgens mij heb ik dit nog nooit eerder gezien", zegt Alan Woodward, professor informatica aan de Universiteit van Surrey.

Detectie
De malware werd in eerste instantie niet gedetecteerd, toch was er één product dat het gedrag van Flame detecteerde. Het gaat om ECAT, een virusscanner die geen signatures gebruikt om malware te detecteren. Volgens Silicium, dat ECAT ontwikkelt, is Flame helemaal niet zo onzichtbaar. "Het gehele pakket is 20MB groot, zet meerdere verbindingen op en kan 90% of meer van de processor in beslag nemen. Dat is nu niet echt onopgemerkt blijven."

Een test met een Flame-exemplaar toont dat ECAT wel alarm slaat dat er iets mis met de machine is. "Hoe complex Flame ook is, om effectief te zijn en de taken uit te voeren, moet het de staat van het doelwit veranderen en proberen zichzelf te verbergen. Dit gedrag werd door ECAT opgemerkt, ook al miste bijna elke andere beveiligingsoplossing dit", aldus de beveiliger.

Reacties (5)
30-05-2012, 11:40 door Anoniem
600.000 Mac-comptuers =/= computers
maar wederom wat leesvoer over flame is opzich goed nieuws.
30-05-2012, 12:25 door Anoniem
"Het is vrij onbetekenend als je het vergelijkt met de 600.000 Mac-comptuers die eerder dit jaar met Flashback besmet raakten."

Het is vrij verbazingwekkend dat een expert van Sophos geen verschil lijkt te maken tussen generieke aanvallen en gerichte aanvallen. Een gerichte aanval zal zelden 600.000 machines besmetten, maar is daarom niet minder serieus.

Denk aan een aanval waarbij misschien 10 systemen worden besmet, maar waarbij allerlij bedrijfsgeheimen worden geexfiltreerd (blauwdrukken van de Joint Strike Fighter, documenten over onderhandelingen voor concessies van olievelden, en ga zo maar door).

Een gerichte aanval met een laag aantal besmettingen kan gemakkelijk een veel grotere impact hebben dan een generieke aanval met een veel groter aantal besmettingen.
30-05-2012, 12:26 door [Account Verwijderd]
[Verwijderd]
30-05-2012, 20:44 door Anoniem
Het is heel vaak zo dat malware die in targeted attacks wordt gebruikt lang onopgemerkt blijft precies omdat er weinig sites zijn waar die ueberhaupt gevonden kan worden. (Tenzij er een ontwerp- of uitvoeringsfout gemaakt wordt, met name dat de malware een virus met onvoldoende beperkende verspreidingsmaatregelen is.)

Er wordt dus relatief veel ophef gemaakt over iets dat voor ongeveer 99,999% van de gebruikers geen enkel gevaar oplevert. Sommige "securityspecialisten" grijpen dat aan om te proberen hun boterham te rechtvaardigen, maar dat is dus bijna altijd gebakken lucht. Het staat wel leuk in de pers en ook security.nl zal wel een stijging in bezoekersaantallen te zien geven. De primaire belanghebbende is de pers en een piepkleine groep direct betrokkenen.

Het is volslagen belachelijk te proberen anti-malware leveranciers de schuld te geven van het lang onopgemerkt blijven van de malware in dit geval. Iets dat je nog nooit gezien hebt (ook geen gerelateerde malware) kun je natuurlijk ook niet detecteren. Helderziendheid is ook in de anti-malware industrie een zeldzaamheid.

Het is overigens ook zo dat iedere malware maker van te voren ervoor kan zorgen dat geen enkel bekende anti-malware software het detecteerd op moment van in gebruik nemen. Dat is de paradox van goede anti-malware software. Werkt de anti-malware goed, dan zijn er veel gebruikers, en dan zijn malware schrijvers geneigd het zo te maken dat het niet gedetecteerd wordt, wat leidt tot anti-malware die het schijnbaar niet zo goed doet in retrotests.

Als IT ontwerper kies je dus voor verschillende anti-malware software op de diverse platforms, overweeg je ook minder bekende anti-malware software en kijk je in de selectie ook naar de reactietijd.
31-05-2012, 10:22 door mollie319
Maar.......

Als het voor Silicium niet zo 'moeilijk' was om te detecteren, waarom kon het dan jarenlang ronddolen over computers over de wereld en onopgemerkt blijven?
Beetje raar allemaal.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.