Utrecht, 16 november 2016 – Kaspersky Lab ontdekte eerder dit jaar een APT die in staat was om voor elk slachtoffer nieuwe tools te creëren. Dit heeft feitelijk een eind gemaakt aan de ‘Indicators of Compromise’ (IOC’s oftewel Inbreukindicatoren) als een betrouwbaar middel om infecties op te sporen. Dit is een van de voorspellingen die door deskundigen van Kaspersky’s Global Research and Analysis Team (GReAT) voor 2017 is gemaakt.
De voorspellingen worden jaarlijks opgesteld en zijn gebaseerd op brede inzichten en expertise. De lijst van 2017 omvat onder andere het effect van op maat gemaakte wegwerp-tools, het toenemende gebruik van misleiding over de identiteit van aanvallers, de kwetsbaarheid van een lukraak met internet verbonden wereld en het gebruik van cyberaanvallen als wapen in de informatieoorlog.
Het einde van IOC’s
Indicators of Compromise (IOC’s) zijn lange tijd een uitstekende manier geweest om de eigenschappen van bekende malware met verdedigers te delen, zodat zij een ??actieve infectie kunnen herkennen. De ontdekking van de ProjectSauron APT door Kaspersky’s GReAT heeft dit veranderd. Analyse van de groep bracht een op maat gemaakt malwareplatform aan het licht waarbij alle functies werden aangepast aan elk slachtoffer. Dit maakte IOC’s onbetrouwbaar wat betreft het detecteren van andere slachtoffers, tenzij dit vergezeld ging van een andere maatregel, zoals sterke Yara-regels.
De opkomst van ‘oppervlakkige’ infecties
In 2017 verwacht Kaspersky Lab ook het verschijnen van in het geheugen genestelde malware die geen belang heeft bij overleving na de eerste reboot, waarmee de infectie wordt verwijderd uit het geheugen van de machine. Dergelijke malware, bedoeld voor algemene verkenningsdoeleinden en het verzamelen van toegangsgegevens, zal waarschijnlijk in zeer kwetsbare omgevingen worden ingezet door heimelijke aanvallers die erop uit zijn om geen argwaan te wekken of ontdekt te worden.
“Dit zijn zorgelijke ontwikkelingen omdat het voor veel partijen nu een stuk moeilijker wordt om aanvallen binnen het netwerk en op de computers te detecteren. Daarom voegen wij en andere onderzoekers YARA-regels toe aan de IOCs. Hiermee kunnen partijen hun pc’s scannen op de aanwezigheid van malware op de lokale schijven en in het werkgeheugen. Daarnaast is de noodzaak nu nog groter geworden om geavanceerde antimalware-oplossingen te gebruiken die gedrag monitoren”, aldus Jornt van der Wiel, Security Researcher bij het Global Research and Analysis Team.
Andere top dreigingsvoorspellingen voor 2017
Om terug te zien wat de deskundigen van Kaspersky Lab verwachtten voor 2016, zie hier.