×
×

Technologie

Nieuws filtering op :

Alarm in de cyberwereld

Technologiedoor One magazine18/03/2015

Alarm in de cyberwereld

Comments

Advanced Persistent Threats (geavanceerde aanhoudende bedreigingen) is vandaag hét buzzwoord in de beveiligingswereld. Maar hoe werken ze? Een woordje uitleg van Bart Callens, Product Manager ICT Security bij Proximus.

De eerste stap van Advanced Persistent Threats is het uitkiezen van een slachtoffer (een persoon of een organisatie). Vervolgens sturen ze schadelijke mails of phishingberichten en infecteren ze vaakbezochte websites (het zogenaamde waterholing). Zoveel is bekend. Maar wat er daarna gebeurt, is veel angstaanjagender.

Hackers omzeilen je beveiligingssystemen. Een firewall, antivirussoftware, proxyservers, noem maar op. Ze scannen wat daar voorbijkomt, op zoek naar handtekeningen. Dat zijn speciale stukjes code die computers kunnen beschadigen. De aanvallers verbergen de schadelijke code en verdelen ze over verschillende stukken content: Javascript op de webpagina met een klein stukje in de afbeelding in jpeg-formaat en een klein stukje in een scheidingslijn in bitmap, of soms in een MS Office-lettertype. Eens u ze gedownload hebt, maakt een van de stukjes code gebruik van een zwak punt in de software. De code activeert zichzelf en stelt zich opnieuw samen. Dat is de ‘shell-code’ zoals we ze kennen: software die verborgen zit in andere software. De laatste stap: die software ontcijfert of downloadt zelf de echte malware via het gewone FTP-protocol.

Vervolgens nestelt de malware zich diep in de software op de computer. De malware controleert of ze niet in een sandbox-omgeving loopt. Allereerst verwerft de malware administratorrechten door een zwak punt in het besturingssysteem uit te buiten. Dan kan de malware zich verbergen op de harde schijf, in het archief, in toepassingen, in documenten of zelfs in de BIOS of in firmware. De malware herstart telkens wanneer de computer herstart. Omdat de malware zo diep in het besturingssysteem zit, kunt u die niet wissen. U zult een ‘hard reset’ moeten uitvoeren en de harde schijf moeten herformatteren om het virus volledig te vernietigen. Wilt u 100% zeker zijn dat de malware niet opnieuw de kop opsteekt? Dan moet u misschien uw huidige hardware vernietigen. De malware kan zich soms ook naar andere computers verspreiden, waar het hele proces opnieuw begint. Om onder de radar te blijven, gebruikt het ook geavanceerde encryptievormen van gelijkaardig netwerkverkeer. Wanneer de aanvaller vanuit zijn controlecentrum vermoedt dat de malware ontdekt zal worden, kan hij die in slaapstand zetten of ze zelfs volledig laten verdwijnen.

De laatste fase is wanneer het kwaad echt geschiedt. De gevoelige informatie wordt geëxporteerd. Daarvoor moet er contact gemaakt worden met het controlecentrum, waar de boosdoener een ‘oké’ geeft voor de taak waarvoor de malware initieel bedoeld was. Meestal is dat het ophalen van gevoelige of financiële informatie. Soms wist de aanvaller de harde schijf, voert hij een ‘denial of service’-aanval uit, vernietigt hij alles wat met de computer verbonden is, enz. De malware kan maandenlang aanwezig zijn alvorens ze wordt getriggerd door het controlecentrum.

Is daar een oplossing voor? Geavanceerde malware vermomt zichzelf erg goed. Standaard beveiligingsoplossingen of een goed oplettende eindgebruiker zijn dus niet meer genoeg. U kunt uw computer enkel beveiligen als uw beveiligingssysteem alle bedreigingen opspoort. Ook combineert u uw bestaande preventietechnologie best met geavanceerde detectie en ‘incident response’. Dat vereist speciale beveiligingsvaardigheden. De beste oplossing is dus om te vertrouwen op professionele beveiligingsdiensten van organisaties die 24 uur per dag, 7 dagen per week realtime beveiliging aanbieden.

One

One

One is het ICT-vakblad van Proximus voor CIO’s en ICT-professionals van grote en middelgrote ondernemingen. 

One is het ICT-vakblad van Proximus voor CIO’s en ICT-professionals van grote en middelgrote ondernemingen. 


Geef je mening over dit news

Wil je je mening delen of een commentaar posten?

Log je in via facebook.