Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

05-12-2014, 17:37 door [Account Verwijderd], 5 reacties
[Verwijderd]
Reacties (5)
05-12-2014, 18:29 door regenpijp
Je zit ernaast,

Volgens de comments zou dit weleens de malware zijn die tegen Sony ingezet is.
Daarnaast zegt VirusTotal niks over het detectieniveau van malware.
05-12-2014, 20:15 door Erik van Straten - Bijgewerkt: 07-12-2014, 12:47
05-12-2014 18:29 door regenpijp: Daarnaast zegt VirusTotal niks over het detectieniveau van malware.
In mijn ervaring zegt Virustotal heel veel over het detectieniveau van malware, maar niet alles.

Virustotal gebruikt virusscanners in on-demand mode. Dat wil zeggen dat de scanner een opdracht krijgt een specifiek bestand te scannen, met alle toeters en bellen (nauwelijks restricties op geheugengebruik, CPU-gebruik en doorlooptijd, geen restricties op bestandsextensies etc). Dit in tegenstelling tot de "on-access" scanner op jouw PC, die, om meerdere redenen, in de praktijk lagere detection rates haalt.

Doordat VirusTotal daarbij gebruik maakt van specifieke instellingen die kunnen afwijken van wat voor jouw scanner, in on-demand mode, is geconfigureerd, kunnen er verschillen optreden tussen VT en jouw PC. Tenzij je vanalles veranderd hebt aan de default instellingen, komt de detectie -in mijn ervaring- zeer goed overeen, in elk geval voor scanners van Microsoft, Symantec, Kaspersky, F-Secure en McAfee (deels gebaseerd op historische ervaringen, maar ik heb geen enkele aanleiding te vermoeden dat dit nu ineens anders zou zijn).

Wel anders is het, als je de (on-demand) scanners van VirusTotal vergelijkt met een on-access scanner op jouw PC (of server). Reden: detectiemogelijkheden van on-access scanners zijn slechter dan van on-demand scanners, simpelweg omdat PC's anders helemaal veel te traag worden door die virusscanner.

Echter, als de malware eenmaal is gestart op de PC, kan er vanalles gebeuren dat wel of niet tot ingrijpen van een "anti-malware" oplossing leidt; dit heet "behavioral detection". Op dit punt verschillen merken antimalware producten onderling al flink. Maar ook per merk maakt het zeer veel uit of je een kale "antivirus" of complete "internet protection suite" hebt. Vooral bij dat laatste type spelen instellingen een grote rol.

Het probleem bij detectie van malware na het starten ervan is dat er al ongewenste wijzigingen in het systeem kunnen zijn aangebracht, d.w.z. voordat de behavioral detection alarm slaat. Zo kunnen bijvoorbeeld instellingen van de webbrowser zijn gewijzigd, of er kan bijv. een root certificaat zijn toegevoegd. Het is maar helemaal de vraag of dat soort ellende wordt opgeruimd als de malware, bijv. enkele dagen later, alsnog wordt ontdekt door de scanner. Probleem hierbij is dat malwaremakers verschillende versies kunnen distribueren die soms, na enige tijd, "generiek" worden gedetecteerd. Vooral in zo'n geval is de kans groot dat niet alle, door de malware gemaakte, wijzigingen ongedaan worden gemaakt.

Reken maar dat cybercriminelen dit weten en hierop inspelen. Waar het meestal uren tot enkele dagen duurt voordat definities nieuwe malware detecteren, aanpassingen aan behavioral detection duren, vermoed ik, veel langer (ik heb er geen harde gegevens over, maar dit vereist vaak aanpassingen in de software van het anti-malware product).

Kortom, als VT aangeeft dat scanners, met actuele definities, malware wel of niet detecteren, is dat een heel behoorlijke indicatie van wat de scanner op jouw PC kan - mits on-demand toegepast. Doe je dat niet dan is de vergelijking lastiger: de detectiekans (door de on-access scanner) is meestal lager dan VT, maar de behavioral detection kan je vervolgens redden van de verdrinkingsdood. Echter, helaas kan behavioral detection niet altijd voorkomen dat een haai er met een van jouw ledematen vandoor gaat. Die vergelijking gaat echter "mank", want zo'n haai kan dat doen zonder dat er er iets van hoeft te merken...

Aanvulling 2014-12-07 12:47 (inline omdat de thread gesloten is):
05-12-2014, 23:01 door Anoniem:
05-12-2014, 20:15 door Erik van Straten:
05-12-2014 18:29 door regenpijp: Daarnaast zegt VirusTotal niks over het detectieniveau van malware.
In mijn ervaring zegt Virustotal heel veel over het detectieniveau van malware, maar niet alles.
Alle respect, ik weet niet hoeveel ervaring je hebt met malware
Nadat ik "klaar" was met uitzoeken hoe een C64 in elkaar stak: hardware (uitzoeken en zelf knutselen en aansturen), disassembleren ROM, analyseren van kopieerbeveiligingen (mijn hoed had toen nog wel een zwart randje), was een Atari ST mijn volgende "slachtoffer".

Nadat ik, in the Nederlandstalige maandblad "ST" (http://atarist.home.xs4all.nl/), een artikel had geschreven over de oorzaak van crashes na het opstarten als de ST letterlijk koud was (ik had een exemplaar uit de 1e generatie), en druk bezig was met disassembleren van de ROM's, vroeg een van de redacteuren (Bert) van ST mij een artikel te schrijven over de vraag of de toen bekende malware voor de ST (enkele exemplaren) hardware zou kunnen beschadigen. Dat artikel, "Feiten en Fabels over Virussen", zal ergens eind 1985 of begin 1986 gepubliceerd zijn vermoed ik (PC virussen waren er, voor zover ik weet, op dat moment nog niet).

Ik heb misschien nog wel ergens 1 van de eerste exemplaren van de McAfee virusscanner die, omstreeks 1986/1987, een van de eerste x86 virussen kon detecteren.

Sindsdien ben ik, naast in ICT algemeen, flink geïnteresseerd geraakt in ICT security, waaronder malware. In die tijd was er nog geen Internet zoals we het nu kennen (en zeker geen zoekmachines), maar Google "Erik van Straten" malware (vervang desgewenst "Erik van Straten" door Bitwiper en/of malware door virus), geeft wel een indruk van de meer recente periode, vermoed ik. Ik werk overigens niet bij een AV-boer.

En jij, bij welke AV-boer werk jij? Hoe lang gaat jouw ervaring terug? Feitelijk, waarom zouden we jou terzake kundig moeten vinden?

05-12-2014, 23:01 door Anoniem: maar ik ben juist van mening dat het tegenovergestelde waar is.
En wat is de, niet onderbouwde, "mening" van een Anoniem, waard denk je?

05-12-2014, 23:01 door Anoniem: Ik wil je echt niet afzeiken of zo
Ga gerust je gang. Ik heb een dikke huid en ik kom met argumenten, dus ik maak ik me geen zorgen als een willekeurige "Anoniem" wat roept.

05-12-2014, 23:01 door Anoniem: maar ik vind dat je reactie vals vertrouwen in VT zou kunnen geven, afhankelijk van hoe je die interpreteert natuurlijk. Maar ik wil toch echt even benadrukken dat VT in géén geval als vervanging voor een AV-pakket kan dienen, juist omdat de detectiegraag niet representatief is voor het brede pallet aan malware waar een AV mee te maken zou kunnen krijgen.
Ik weet niet waar je uit afleidt dat ik zou vinden dat Virustotal als vervanging voor een AV-pakket kan dienen.

Het is een aardige 2nd opinion, meer niet...
Virusscanners zijn een aardige second opinion, meer niet. VirusTotal is daar een heel behoorlijke representatie van.

@Picasa3: jammer dat je je zo snel uit het veld laat slaan. Ik heb de zaak Sony en daarnaast Regin niet zo gevolgd, ik heb geen idee of die twee wel of niet iets met elkaar te maken hebben. Wat ik wel weet is dat ik regelmatig fouten maak en zaken verkeerd beoordeel. Dat is jammer maar niet te vermijden. Er zijn veel onbekende parameters in ons werk, en vaak moet je aannames doen. Soms blijkt achteraf dat aannames die verkeerd waren. Ik probeer daarvan te leren, meer kan ik niet doen.
05-12-2014, 23:01 door Anoniem
Door Picasa3: De detectie van "supermalware" Regin is sterk verbeterd de afgelopen dagen en uren.

Laatste detectie van vandaag 5 december:
https://www.virustotal.com/nl/file/4d4b17ddbcf4ce397f76cf0a2e230c9d513b23065f746a5ee2de74f447be39b9/analysis/
Hou eens op met VT-trollen joh?
Destover is de malware waar de FiBi voor waarschuwde afgelopen week, wegens de aanval op Sony:
https://www.security.nl/posting/410490/FBI+waarschuwt+bedrijven+voor+%22vernietigende%22+malware
https://www.security.nl/posting/410782/Bij+Sony+gebruikte+malware+geanalyseerd

Geen paniek, Regin bestaat niet meer, pas als het RE'd is door andere criminelen, wordt dat weer actueel. Als dat al gebeurt. Ooit nog iets gehoord van Stuxnet? Ik niet...


Door Erik van Straten:
05-12-2014 18:29 door regenpijp: Daarnaast zegt VirusTotal niks over het detectieniveau van malware.
In mijn ervaring zegt Virustotal heel veel over het detectieniveau van malware, maar niet alles.
Alle respect, ik weet niet hoeveel ervaring je hebt met malware, maar ik ben juist van mening dat het tegenovergestelde waar is.

Er is nogal een verschil tussen "definities" en "detectie" namelijk, zoals je deels zelf al aanhaalt in de rest van je post. Veel hangt ook af van het type en vooral de verspreidingsvorm. Malware die via generieke bestanden / p2p etc. wordt aangeboden is voor VT vaak geen probleem, RAT's en obfuscated code echter, wordt door VT vaak helemaal niet herkend als zijnde malware.

Ik wil je echt niet afzeiken of zo, maar ik vind dat je reactie vals vertrouwen in VT zou kunnen geven, afhankelijk van hoe je die interpreteert natuurlijk. Maar ik wil toch echt even benadrukken dat VT in géén geval als vervanging voor een AV-pakket kan dienen, juist omdat de detectiegraag niet representatief is voor het brede pallet aan malware waar een AV mee te maken zou kunnen krijgen. Het is een aardige 2nd opinion, meer niet...
05-12-2014, 23:45 door [Account Verwijderd] - Bijgewerkt: 06-12-2014, 09:48
[Verwijderd]
06-12-2014, 10:33 door Anoniem
Ik ben hier ten onrechte voor trol uitgemaakt en daarom heb ik mijn account opgeheven.

Gerard.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.