Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Dreigingsintelligentie

    Malware-analyse: bescherming tegen malware

    Door malwaresamples te bestuderen, kunnen organisaties leren hoe ze kwaadaardige software beter kunnen detecteren, indammen en erop reageren voordat het schade kan aanrichten.

    by Mercedes Cardona
    gettyimages-1279843229.png

    Hoofdpunten

    • Malware-analyse helpt bedrijven inzicht te krijgen in en zich proactief te beschermen tegen aanvallen zoals spyware en ransomware.
    • Gebruiksscenario's voor malwareanalyse zijn onder meer malwaredetectie, opsporing van bedreigingen, triage, reactie op incidenten en onderzoek naar malware.
    • Statische malwareanalyse speurt software af op kwaadaardig gedrag zonder de malware uit te voeren, terwijl dynamische malwareanalyse de software in een geïsoleerde "sandbox" uitvoert.

    Malware is een constante hoofdpijn voor beveiligingsteams. Het arsenaal van cybercriminelen - waaronder spyware, ransomware, Trojaanse paarden en wormen, om er maar een paar te noemen - houdt netwerkverdedigers ongetwijfeld 's nachts wakker.

    De beste verdediging tegen malware is weten hoe infectie in de eerste plaats kan worden voorkomen. Veel van de basispraktijken voor beveiliging die het netwerk van een organisatie beveiligen - zoals het updaten van software en het zo snel mogelijk patchen van kwetsbare plekken - kunnen voorkomen dat malware binnenkomt. Het is ook van cruciaal belang om gebruikers voor te lichten over goede wachtwoorden, hoe ze verdachte e-mails kunnen herkennen en waarom het belangrijk is om back-ups te maken van hun gegevens.

    Net zo belangrijk is het om alles te weten te komen over de vijand. Inderdaad, kennis is macht. Dat is, op zijn eenvoudigst, het uitgangspunt van malware analyse.

    Wat is malware analyse?

    Malwareanalyse bestudeert monsters van malware, zoals Trojaanse paarden, virussen en andere zwakke plekken in software, om inzicht te krijgen in hun oorsprong, functionaliteit en mogelijke impact. Er zijn evenveel use-cases voor malwareanalyse als er cyberdreigingen zijn, waaronder malwaredetectie, opsporing van bedreigingen, triage, reactie op incidenten en malwareonderzoek. Praktische malwareanalyse kan het traject en de daaruit voortvloeiende schade van kwaadaardige software door het netwerk van een organisatie blootleggen en worden gebruikt om informatie te verstrekken voor herstelplannen en betere beveiligingsverdedigingen.

    Er zijn twee hoofdtypen malware-analyse: statische en dynamische.

    • Statische malwareanalyse is wanneer analisten verdachte code onderzoeken zonder deze uit te voeren, meestal om infrastructuurbestanden, zoals bibliotheken en pakketten, te bekijken en aanbevelingen te ontwikkelen die de malware ervan kunnen weerhouden meer schade aan te richten. Deze beheersings- en herstelstappen kunnen het patchen van het systeem en het herstellen van gegevens omvatten en kunnen zelfs overgaan tot het actief opsporen van bedreigingen.
    • Dynamische malwareanalyse zet, zoals de naam al zegt, de malware in beweging om te onderzoeken hoe deze zich gedraagt wanneer deze wordt uitgevoerd. Analisten beveiligen malware in een gecontroleerde omgeving - een virtuele machine die bekend staat als een "sandbox" of "laboratorium" - en voeren deze uit om een beter beeld te krijgen van de werking ervan. Dynamische malware-analyse kan de slechteriken ook op het verkeerde been zetten, die functies in hun kwaadaardige software coderen om hen te waarschuwen als deze is gedetecteerd. Als de malware draait zoals verwacht, maar in een laboratorium, zullen ze dat niet weten, waardoor verdedigers in het voordeel zijn.

    Sommige analisten gebruiken een hybride van statische en dynamische malwareanalyse, in de hoop malwarevarianten te vangen die zijn ontworpen om dreigingsjagers of beveiligingsteams te misleiden door gebruik te maken van machine learning om te evolueren. Analisten voeren een statische analyse uit en simuleren vervolgens de omstandigheden in een dynamische malwareanalyse-sandbox, vergelijkbaar met de manier waarop een bomverwijderaar een apparaat bestudeert voordat het veilig tot ontploffing wordt gebracht.

    Waarom malware-analyse belangrijk is

    Het eerste en voor de hand liggende voordeel van malwareanalyse is dat het incident response teams kan helpen een aanval te stoppen en te verslaan. Maar het kan ook de omvang van de herstelmaatregelen vaststellen die nodig zullen zijn om te herstellen als er een aanval plaatsvindt, evenals maatregelen om te voorkomen dat het opnieuw gebeurt. Bovendien helpt malware-analyse:

    • Verbeterde detectie: Malware-analyse kan indicatoren van compromittering (IoC's) oppikken die aangeven dat er mogelijk een aanval gaande is. IoC's kunnen gegevens zijn die op de verkeerde plaats zijn verborgen, veranderingen in profielen van mobiele apparaten of andere ongebruikelijke activiteiten.
    • Een reactie formuleren: Malware-analyse kan beveiligingspersoneel helpen de omvang van de aangerichte schade te begrijpen en triage uit te voeren om prioriteiten voor een herstelplan vast te stellen. Bedrijfscontinuïteit hangt af van snel en grondig herstel, maar u moet weten wat u moet herstellen en wanneer.
    • Voorbereiding op de volgende keer: Malwareanalyse biedt forensische voordelen, omdat het bewijs levert dat tegen cybercriminelen kan worden gebruikt of misschien een spoor oplevert om eventuele interne overtreders op te sporen. Door de levenscyclus van een bedreiging te onderzoeken - van de aanvankelijke aanvalsvector tot de eindbestemming van de geëxfiltreerde gegevens - kunnen verdedigers hun informatie over bedreigingen verbeteren voordat de volgende aanval plaatsvindt.

    De vier stadia van malware-analyse

    Malware-analyse kan worden onderverdeeld in vier fasen, waarbij elke fase complexer wordt.

    1. In de eerste fase is een volledig geautomatiseerde analyse nuttig voor het onderzoeken van verdachte code en software op schaal. Automatisering kan rijen code scannen om te bepalen of het de moeite waard is de analyse te escaleren.
    2. Analisten kunnen dan overgaan tot static properties analysis, waarbij de eigenschappen van de malwarecode, zoals hashes en metadata, worden bekeken en wordt gezocht naar patronen en handtekeningen om IoC's op te sporen (terwijl de malware niet wordt uitgevoerd). Vervolgens kunnen analisten beslissen of het de moeite loont een meer praktische aanpak te volgen.
    3. Analisten kunnen overgaan tot een meer dynamische malwareanalyse, zoals interactive behavior analysis, waarbij ze de malware in een sandbox uitvoeren om te zien hoe deze in het wild reageert. Als de malware bestanden wijzigt, systeeminstellingen wijzigt of processen toevoegt aan uw systeem, is het tijd om alarm te slaan.
    4. De vierde fase, manual code reversing, is de meest ingewikkelde en tijdrovende. Analisten reverse-engineeren de malware om te achterhalen hoe deze werkt met behulp van verschillende tools om de gegevens van de aanvaller te ontsleutelen. Niet elk beveiligingsteam heeft de expertise om dit te doen, maar het omkeren van code kan waardevolle forensische informatie opleveren, zoals de algoritmen die cybercriminelen gebruiken en zelfs hun communicatieprotocollen.

    Beste hulpmiddelen en praktijken voor malware-analyse

    Bedrijven hebben in 2020 meer dan 1,3 miljard dollar uitgegeven aan producten voor netwerkintelligentie en dreigingsanalyse, een stijging van 24% ten opzichte van 2019. [1] Analysetools, beschikbaar voor organisaties van alle groottes en budgetten, vallen over het algemeen in een van de drie emmers:

    • On-premises oplossingen van verkopers: Een aantal verkopers heeft malwareanalysetools en volledige platforms gebouwd die geautomatiseerde analyse en sandboxes combineren om het werk van malwareanalyse te vergemakkelijken.
    • Cloudgebaseerde tools: Een aantal oplossingen voor malwareanalyse zijn beschikbaar gekomen als software-as-a-service (SaaS), cloudgebaseerde producten. Dit geeft bedrijven op het gebied van malwareanalyse dezelfde flexibiliteit als op andere gebieden van hun bedrijf die in de cloud werken. Voordelen zijn onder meer een eenvoudigere en snellere installatie van tools, toegang tot real-time gegevens en automatische updates.
    • Open source: Cybercriminelen opereren in bendes en verkopen hun adviesdiensten, dus gebruiken analisten nu crowdsourcing-oplossingen en delen ze informatie om ze de baas te worden. Analisten plaatsen monsters van kwaadaardige code op online malwareanalysefora, zodat andere analisten niet bij nul hoeven te beginnen. MITRE ATT&CK houdt bijvoorbeeld een open-source kennisbank bij van tactieken en technieken van aanvallers op basis van praktijkvoorbeelden.

    De kern van de zaak

    Het is veilig om te zeggen dat malware niet verdwijnt. Organisaties moeten een meer proactieve houding aannemen om kwaadaardige software te bestrijden en toekomstige aanvallen te voorkomen. Malware-analyse is één hulpmiddel in de kit, en het is de sleutel tot een meer georganiseerde respons en een meer proactieve verdediging.

     

    [1] "Worldwide Network Intelligence and Threat Analytics Market Shares, 2019: How the Network is Used to Unmask the Adversary," IDC

    09BLOG_1.jpg
    Up Next
    Dreigingsintelligentie |
    Aanvallen via synthetische media tegengaan met veiligheidsbeleid

    Verwante Artikelen

    Dreigingsintelligentie
    Mimecast Discovers Use-After-Free Zero-Day Vulnerability in Adobe Reader  
    Dreigingsintelligentie
    Hijacked from Within: The Ransomware Insider Threat
    Dreigingsintelligentie
    What Is a Botnet?   

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven