Ook nieuwste malwaredetectie is te omzeilen

Ongewenste binnendringers van computersystemen en –netwerken krijgen het steeds moeilijker met de huidige geavanceerde opsporingstechnieken. Dankzij ‘emulation-based’ technieken kunnen veel aanvallen al vroeg opgespoord worden. Toch zijn ook deze technieken niet waterdicht, laten UT-onderzoekers Ali Abbasi en Jos Wetzels (CTIT) zien tijdens de Black Hat conferentie, op 16 oktober in Amsterdam.

Dat computersystemen kwetsbaar zijn, weten we al sinds de eerste grootschalig virussen in de jaren 90 en zeker ook sinds de STUXNET-aanvallen in 2010. Intussen gaat het al niet meer over simpele virussen, maar over computerprogramma’s die een systeem geheel of gedeeltelijk overnemen. Dat zijn niet alleen hackpogingen, louter ‘om aan te tonen dat het kán’, maar ook advanced persistent threats voor bijvoorbeeld spionage. Tegelijk met steeds slimmere manieren om binnen te dringen, zijn ook de detectiesystemen steeds geavanceerder geworden. Ging het vroeger om het detecteren van een ‘handtekening’, tegenwoordig wordt al een verdacht stukje programmeercode ontdekt en onder gecontroleerde omstandigheden uitgetest – ‘geëmuleerd’. Emulation based network intrusion detection systems (EBNIDs) zijn in staat ook zogenaamde ‘Zero Day Exploits’ op te sporen: aanvallen waarvoor tot op dat moment nog geen remedie bestaat.

Promovendus Ali Abbasi en student Jos Wetzels, presenteren tijdens de conferentie een uitgebreid onderzoek naar deze EBNID’s. Het opsporen van indringers gaat daar in drie stappen: pre-processing, emulation en heuristics detection. In de eerste stap wordt het netwerkverkeer geïnspecteerd, in de emulatiefase wordt verdachte code opzij gezet en uitgevoerd, in de volgende fase valt dan het oordeel of inderdaad een alarm nodig is. Abbasi en Wetzels laten zien dat de techniek een grote stap voorwaarts is, maar tonen ook aan dat er mogelijkheden blijven bestaan om de techniek te omzeilen. Bijvoorbeeld door de verdachte code gefragmenteerd aan te bieden en er zo voor te zorgen dat de emulator helemaal niet aan het werk gaat: er is geen verdachte code herkend, er is ook geen alarm.

Zwakke plekken herkennen is één ding, daartegen weer nieuwe remedies bedenken is de volgende stap in het onderzoek van Abbasi en Wetzels. Abbasi, die in China studeerde, heeft eerder in Iran een groep geleid op het gebied van vulnerability analysis and penetration testing, ten tijde van STUXNET. Wetzels studeert momenteel af. Beiden zijn verbonden aan de groep Services, Cyber Security & Safety Research, geleid door prof. Roel Wieringa. De groep maakt deel uit van het onderzoeksinstituut CTIT van de Universiteit Twente.

Het paper ‘APTs Way: Evading your EBNIDS’ wordt door Ali Abbasi en Jos Wetzels gepresenteerd tijdens de Black Hat Europe 2014 conferentie, internationale topconferentie op het gebied van information security.