Polymorfe virussen - de beste praktijken om ze te voorkomen

In 1990 dook een nieuw soort computervirussen op die hun intrede deden in het lexicon van de cyberbeveiliging: polymorfe virussen. Meer dan dertig jaar later blijven deze vervelende virussen computergebruikers, bedrijven en netwerken over de hele wereld teisteren.

In wezen werden polymorfe virussen ontwikkeld om de eerste antivirussoftware te omzeilen. En in de decennia sinds hun ontstaan zijn ze nog complexer geworden en vormen ze een grotere bedreiging voor bedrijven. Vandaag de dag wordt een verscheidenheid aan polymorfe malware ingezet om netwerken te kapen, gegevens te vernietigen, informatie te stelen en zelfs ransomware-aanvallen uit te voeren. Dit is wat u moet weten over deze bedreiging en hoe u polymorfe malware kunt vermijden.

Wat is een polymorf virus?

Polymorfe virussen zijn de kameleons van de cyberbeveiliging. Ze zijn ontworpen om hun uiterlijk of signatuurbestanden te veranderen om detectie door traditionele antivirussoftware, die scant op specifieke bestanden en zoekt naar specifieke patronen, te vermijden. Een polymorf virus zal zijn bestandsnamen en fysieke locatie blijven veranderen - niet alleen na elke infectie, maar zo vaak als elke 10 minuten.[1]

Om cyberbeveiligingsinspanningen verder te omzeilen, zullen polymorfe virussen ook voortdurend hun encryptiemethoden en -sleutels aanpassen. Om dit te doen, maken ze doorgaans gebruik van mutatie-engines die de software miljarden keren kunnen veranderen en daarbij decoderingsroutines kunnen wijzigen. Door een dergelijke strategie te gebruiken hopen aanvallers dat, zelfs als de malware wordt ontdekt, bedrijven niet in staat zullen zijn om volgende infecties op te sporen en van hun systemen te verwijderen.

Hoewel polymorfe virussen van uiterlijk kunnen veranderen, blijven de bijbehorende malware en doelen hetzelfde: informatie stelen, de activiteiten van een bedrijf verstoren of een van de vele soorten ransomware-aanvallen uitvoeren. Vandaag de dag zijn polymorfe virussen standaardwapens geworden in het arsenaal van de cybercrimineel. Geschat wordt dat 97% van alle malware nu een vorm van polymorf virus gebruikt.[2]

Voorbeelden van polymorfe malware

Polymorfe virussen worden meestal verspreid via standaard cyberaanvaltechnieken, waaronder spam, phishing-e-mails, geïnfecteerde websites of andere malware. Enkele van de meer beruchte polymorfe virussen zijn Ursnif (ook bekend als Gozi), een banking Trojan; Vobfus, een Windows-wormvirus; en Bagle, een e-mailworm. In combinatie met andere vormen van malware kunnen dergelijke polymorfe virussen verwoestend zijn. Bijvoorbeeld:

• Storm Worm: Met behulp van social engineering veroorzaakte een spambericht over dodelijke stormen in Europa in 2007 naar schatting 8% van alle malware-infecties wereldwijd dat jaar. Dit polymorfe virus veranderde om de 30 minuten van uiterlijk en gebruikte een e-mailbijlage om het systeem van het slachtoffer in een bot te veranderen.
• Virlock: Het polymorfe Virlock-virus evolueerde in 2015 om ransomwareroutines op te nemen. Als ransomware kon het niet alleen de doelcomputer vergrendelen, maar kon het ook andere bestanden infecteren, repliceren en het formaat van bestanden wijzigen.
• CryptoWall: Een vorm van polymorfe ransomware, CryptoWall versleutelt bestanden op de computer van het slachtoffer. Het idee is natuurlijk om losgeld te vragen om de informatie te ontsleutelen. Om de gebruikelijke beschermingsmaatregelen te omzeilen, creëert de polymorfe motor achter CryptoWall een nieuwe variant van de malware voor elk doelwit.
• Beebone: Op afstand bestuurde servers en computers die vervolgens worden gebruikt om andere systemen aan te vallen, bekend als botnets, zijn ook verder ingeschakeld met behulp van polymorfe malware. Bij een van de meer gesofisticeerde aanvallen die dit vermogen aantonen, infecteerde het Beebone-botnet in 2015 naar schatting 12 000 computers. Beebone maakte gebruik van een polymorfe downloader om een verscheidenheid aan malware te verspreiden en bleek moeilijk op te sporen en te traceren. Het vereiste de coördinatie van verschillende internationale rechtshandhavingsinstanties, waaronder de FBI en Europol, om het botnet uiteindelijk neer te halen.[3]

Hoe weet u of uw computer geïnfecteerd is met een polymorf virus?

Dus als polymorfe virussen bijna elk uiterlijk kunnen aannemen, hoe kun je dan zien of een computer met het virus is besmet? Gelukkig kunnen beheerders kijken naar een aantal tekenen dat een systeem geïnfecteerd is, zoals:

• Vertragingen: Ongewone of plotselinge systeemvertragingen zijn vaak een indicatie dat polymorfe malware een computer aanvalt, meestal neemt het extra cycli in beslag terwijl het bestanden op het systeem versleutelt.
• Vreemde verzoeken: Gebruikers die een ongebruikelijk verzoek zien om een wachtwoord in te voeren terwijl dit nog nooit eerder is gevraagd, moeten dit opvatten als een goede indicatie dat malware probeert het systeem of het netwerk te infecteren. Individuele gebruikers kunnen ook vreemde verzoeken zien om gevoelige informatie in te voeren, zoals personeelsnummers, geboortedata of socialezekerheidsnummers.
• Misleiding: Als een webbrowser een gebruiker plotseling naar een URL of website leidt die de gebruiker niet heeft ingevoerd, kan dit een teken zijn dat malware hem probeert om te leiden naar een geïnfecteerde site. Ongewone pop-up advertenties die sites blokkeren wijzen ook op malware.

Beste praktijken om een polymorfe virusinfectie te voorkomen

Hoewel polymorfe virussen een sluwe tegenstander vormen, kunnen bedrijven zichzelf beschermen door een aantal beproefde veilige cyberbeveiligingspraktijken te volgen.

• Software up-to-date houden: Hoewel polymorfe malware van gedaante kan veranderen, zijn de doelwitten meestal dezelfde. De meeste softwarebedrijven houden beveiligingsupdates bij om deze doelwitten te beschermen, dus het is essentieel om alle patches op client- en servercomputers bij te houden.
• Open geen vreemde koppelingen of bijlagen: E-mail is nog steeds het favoriete ingangspunt van cybercriminelen, dus het is een uitgelezen kans om polymorfe infecties te stoppen. Train medewerkers niet alleen om tools voor e-mailbeveiliging in te zetten, maar ook om niet toe te geven aan phishing-aanvallen en om geen verdachte koppelingen te openen - zelfs niet vanaf bekende e-mailadressen.
• Wachtwoorden bijwerken: Lijsten met bekende wachtwoorden en andere informatie worden regelmatig gekocht en verkocht op het dark web, dus van werknemers eisen dat ze hun wachtwoorden regelmatig wijzigen kan aanvallen verijdelen. Net als de vorige waarschuwing tegen het openen van verdachte bijlagen, moet deze eis ook deel uitmaken van de regelmatige veiligheidsbewustzijnstraining voor werknemers.
• Maak een back-up van uw gegevens: Het kan niet vaak genoeg worden herhaald: maak regelmatig een back-up van uw gegevens. Gegevensback-ups kunnen een bedrijf miljoenen dollars besparen en ransomware-aanvallen verijdelen.
• Gebruik heuristische en gedragsdetectie: Beveiligingssoftware die gebruikmaakt van actuele informatie over bekende polymorfe malwaretechnieken kan een infectie voorkomen. Een heuristische aanpak zal bijvoorbeeld bepaalde virusachtige acties voorkomen, zoals het versleutelen van belangrijke bestanden. Gedragsgebaseerde detectie kan gebruikers waarschuwen voor voorheen niet gemelde polymorfe bedreigingen op basis van bijvoorbeeld ongebruikelijke toegangsverzoeken.

De kern van de zaak

Polymorfe virussen hebben een lange geschiedenis, en cybercriminelen hebben vele jaren de tijd gehad om meer geavanceerde technieken te ontwikkelen om hun verschijning en infecties te verbergen. Sterker nog, polymorfe malware wordt op grote schaal gebruikt in alle soorten cyberaanvallen, waaronder ransomware. Door beproefde cyberbeveiligingspraktijken te volgen, kunnen bedrijven de criminelen een stap voor blijven.

[1] "Polymorphic Virus," TechTarget

[2] "Wat is het Polymorphic Virus?", Kaspersky

[3] "Internationale politieactie tegen polymorf Beebone Botnet," Europol