Opzoeken van Malware

Malware: Crypto-lockers een gevaar voor elke IT’er

De laatste tijd zie ik bij veel klanten weer een toename van het aantal malware besmettingen. Ondanks dat er diverse voorzorgsmaatregelen zijn genomen zoals; centraal beheerde anti-virus software, webfilters, webproxies, etc. Blijkt het toch mogelijk om geïnfecteerd te raken met Crypto-lockers een voor de IT’er nogal frustrerende zaak.

Je hebt als beheerder van een onderneming alles onder controle althans dat denk je… Je serverpark is volledig up-to-date, virusscanners zijn overal present. Centraal aan elkaar geknoopt met een dashboard waarop je real-time de bevindingen kunt monitoren. Ook van gedetecteerde systemen zonder Anti-Virus software krijg je netjes meldingen. Internet verkeer gaat keurig netjes door een webfilter inclusief diverse Anti-Virus scan agents. Downloads worden alvorens beschikbaar gesteld aan de medewerker eerst volledig gescand. E-mail bijlagen met vreemde extensies worden niet zondermeer toegelaten tot eindgebruikers. Al met al het geheel staat er netjes maar bovendien gecontroleerd bij. Alles onder controle zou je zeggen toch? Hoe kan het dan toch dat je tweemaal in korte tijd besmet raakt met een crypto-locker besmetting?

In mijn vorige blog’s heb ik al een aantal maal aangedrongen op bewustwording en besef van IT gebruikers. In dit geval het besmet raken met malware e.d. is het wederom een groot punt van aandacht. Je kunt als beheerder de omgeving nooit 100% Fool-proof krijgen. Uiteraard is het wel de taak van de beheerder om hier zo dicht mogelijk in de buurt te komen. In het geval van malware besmettingen is het zaak om te kijken hoe deze toegang kunnen krijgen tot je systemen.

Veelal wordt malware op basis van reversed-engineering geschreven of te wel gaten binnen het besturingssysteem worden benut om aanvallen te genereren. Het is dus zaak dat je snel beschikbare updates toepast op het systeem. Hier zit ook direct een risico, ondanks het feit dat patches getest zijn alvorens ze uitkomen (althans dat hopen wij IT’ers) wil het voorkomen dat in bepaalde situaties deze niet goed functioneren of juist een averechts effect hebben op de omgeving. Het direct patchen bij het uitkomen van nieuwe updates kan de betrouwbaarheid en beschikbaarheid van de omgeving negatief beïnvloeden. Een goede setup zou hiervoor bijvoorbeeld “Staged-Deployment” kunnen zijn.

In dit scenario patch je een selecte groep systemen vrijwel direct waarna je direct de uitkomt kunt evalueren binnen jouw eigen omgeving. Door middel van de virtualisatie technieken anno nu is dit relatief gemakkelijk te realiseren. Waarbij je alle security updates in de bedrijfsspecifieke setup kunt verifiëren op hun werking. Hierdoor kan je op een veilige maar bovenal snelle wijze patches uitrollen binnen je organisatie, zodat je in ieder geval niet vatbaar bent voor bekende kwetsbaarheden. Echter wil dit nog niet alle mogelijke scenario’s uitsluiten om dergelijke aanvallen te beslechtten.

Als we goed kijken naar hoe malware werkt, zien we over het algemeen dat direct na een infectie er een “Call Home” plaats vind naar zogenaamde Command & Control servers van de auteur(s) van deze malware. Als we deze communicatie kunnen stoppen is de uitwisseling van de encryptie keys voor Crypto locker virussen niet mogelijk en is (verdere) infectie te voorkomen.

In het verleden werden vaak kanalen als IRC, HTTP, TCP en zelfs twitter en facebook post gebruikt voor deze communicatie. Aangezien deze communicatie tegenwoordig door Firewalls en IPS- systemen wordt onderschept zien we steeds meer een verschuiving naar DNS.

DNS wordt gebruikt voor de omzetting van (domein) namen naar IP-adressen en vice-versa. Om deze redenen word DNS verkeer veelal niet gefilterd door firewalls of IPS-Systemen en kan dit vrijelijk stromen door verschillende netwerken. Een blokkade voor Command & Control servers op netwerk niveau zijn dan ook zinloos, want de DNS server zal net zolang zoeken totdat hij een response kan teruggeven aan de geïnfecteerde cliënt. Een geïnfecteerde cliënt hoeft ook geen directe internet verbinding te hebben, zolang deze maar kan communiceren met een interne DNS server die dit wel kan en de infectie in het geval van een crypto-locker infectie kan verder plaatsvinden. Zorg ervoor als IT beheerder dat je je DNS-Servers goed inricht zodat onbekende hostnames worden opgevraagd bij beveiligde DNS servers die je niet zomaar elke query retourneren, maar weten wanneer het foute boel is…

Het maakt niet de gehele omgeving veilig, maar in ieder geval weer een stukje veiliger!