2017: het jaar van de autonome, zelflerende malware

Het jaar 2016 was op vele vlakken interessant. Niet alleen nam het aantal cyberbedreigingen toe en daalde de prijs van gestolen persoonsgegevens navenant, ook de Nederlandse overheid heeft dit jaar twee belangrijke stappen gezet. Per 1 januari is de Wet Meldplicht Datalekken in werking getreden, en afgelopen oktober nam de Tweede Kamer een wetsvoorstel over cybersecurity aan. Deze wet zal organisaties binnen vitale sectoren (bijvoorbeeld nuts- en telecombedrijven) en de Rijksoverheid verplicht stellen om ernstige digitale veiligheidsincidenten te melden. Men hoopt dat tijdige melding een effectievere aanpak van cyberincidenten mogelijk maakt en dat maatschappelijke ontwrichting vervolgens beperkt kan worden.

Het melden van veiligheidsincidenten is goed, het weten wat organisaties te wachten staat zodat er vooraf actie op ondernomen kan worden, werkt wellicht beter. Op basis van wereldwijde cybercrime-analyses voorziet Fortinet’s onderzoeksteam twee trends die volgend jaar belangrijk zullen worden. Ten eerste wordt malware zo slim dat het menselijk gedrag kan nabootsen, ten tweede zullen steeds meer consumenten, leveranciers en andere belangengroepen oproepen tot de ontwikkeling en toepassing van beveiligingsstandaarden binnen IoT.

Van slim naar slimmer: geautomatiseerde aanvallen die menselijk gedrag nabootsen vragen om intelligentere beveiliging

De meeste vormen van malware zijn niet bijster slim. Ja, ze gebruiken technieken om de beveiliging te omzeilen en ze zijn er goed in om zich te verbergen binnen de dynamische activiteiten van apparaten en netwerken. Toch is malware louter geprogrammeerd voor een of meer specifieke doeleinden. Een hacker richt de malware op een doelwit, en de malware slaagt er vervolgens al dan niet in om een bepaalde taak te voltooien. Cybercriminelen compenseren op twee manieren voor deze ‘binaire’ aard van malware: door een tijdsintensief gebruik van meerdere tools waarmee ze een aanval op een specifiek doelwit kunnen richten, of op basis van volume. Want als er maar genoeg malware wordt verzonden, of de malware zich maar een voldoende aantal keer repliceert, zullen cybercriminelen uiteindelijk op een systeem of apparaat stuiten waarvan ze misbruik kunnen maken.

2016-09-14-Zeekhoe-Fortinet-25_410x615-410x615 Vincent Zeebregts

Dit staat echter op het punt om te veranderen. Bedreigingen worden met de dag slimmer. Ze zijn steeds vaker in staat om zelfstandig te werk te gaan. We verwachten dat er het komende jaar sprake zal zijn van malware die gebruik maakt van aanpasbare zelflerende technologie die het succes van aanvallen verbetert. Deze nieuwe generatie van autonome malware is zich bewust van haar omgeving en kan berekende beslissingen nemen ten aanzien van de volgende stap die moet worden ondernomen. In veel opzichten zal deze nieuwe malware zich beginnen te gedragen als een menselijke aanvaller: het kan op eigen houtje verkennen, doelen identificeren, methoden van aanval kiezen en detectie op een intelligente wijze ontduiken.

Van dergelijke malware werd gebruikgemaakt voor een hack bij de Centrale Bank van Bangladesh die tussen 4 en 5 februari 2016 plaatsvond. Deze malware leerde zichzelf aan hoe het instructies voor bankoverschrijvingen moest uitvoeren. Onderzoekers vermoeden dat deze kwaadaardige code enkele weken voor het incident werd geïnstalleerd.

Nieuwe malware kan complexe besluiten nemen

Deze nieuwe generatie malware maakt gebruik van code die een voorloper is van kunstmatige intelligentie. Hierbij wordt de traditionele codelogica ‘if not this, then that’ vervangen door complexere besluitbomen. Autonome malware gaat op vergelijkbare wijze te werk als technologie voor het voorspellen van vertakkingen die raadt langs welke tak van een beslissingsboom een transactie zal verlopen alvorens die wordt uitgevoerd. De software voor het voorspellen van de vertakking houdt bij of een vertakking al dan niet wordt gevolgd. Als het een sprong constateert die het al eerder heeft gezien, kan het op basis daarvan een voorspelling doen. De software wordt zo na verloop van tijd steeds intelligenter.

Autonome malware wordt net als intelligente verdedigingsmechanismen aangestuurd door de verzameling en analyse van informatie, zoals de uiteenlopende typen apparaten die binnen een netwerksegment worden gebruikt, de verkeersstroom, de gebruikte applicaties, transactiegegevens, het tijdstip van de dag waarop transacties plaatsvinden enzovoort. Hoe langer een bedreiging in een host aanwezig kan blijven, des te beter deze zelfstandig kan fungeren, opgaan in zijn omgeving, tools kan selecteren op basis van het beoogde platform en maatregelen kan treffen om de aanwezige beveiligingstools te omzeilen.

Van gedaante veranderende aanvallen die zich op meerdere platforms tegelijk richten

In 2017 zal ook sprake zijn van een toename van autonome malware die het op verschillende platforms heeft gemunt en op (en tussen) allerhande mobiele apparaten kan werken. Deze vormen van cross-platform-malware worden ook wel ‘transformers’ genoemd. Ze omvatten diverse exploit- en payload-tools die in staat zijn om in uiteenlopende omgevingen te werken. Deze nieuwe variant van autonome malware bevat een leercomponent die informatie verzamelt over de locatie waarin deze is ingezet, met inbegrip van het platform waarop het is geladen. De malware gaat vervolgens over tot het kiezen, opbouwen en uitvoeren van een aanval op zijn doelwit met behulp van de juiste payload (kwaadaardige code).

Transformer-malware wordt gebruikt om diverse platforms te infecteren en zich daarlangs te verspreiden. Deze malware zorgt daarmee voor een uitbreiding van het aanvalsoppervlak en bemoeilijkt het detecteren en verhelpen van de infectie. Zodra een kwetsbaar doelwit is geïdentificeerd kunnen deze tools ook allerhande programmatuur verstoren. Deze kwetsbaarheid kan worden misbruikt om kwaadaardige code te injecteren, data te verzamelen en om onopgemerkt aanwezig te blijven.

Autonome malware zoals transformers die zijn ontwikkeld om zich op proactieve wijze via uiteenlopende platforms te verspreiden, kunnen funeste gevolgen hebben voor de verbonden apparaten waar we steeds vaker gebruik van maken voor het uitvoeren en automatiseren van onze dagelijkse taken. Dit vraagt om de inzet van sterk geïntegreerde en intelligente beveiligingstechnologieën die in staat zijn om diverse platforms te scannen, uiteenlopende bedreigingsgegevens met elkaar in verband te brengen en automatisch voor gecoördineerde tegenmaatregelen te zorgen.

IoT-fabrikanten zullen verantwoordelijk worden gesteld voor beveiligingsincidenten

Dat het aantal aanvallen op Internet of Things (IoT)-apparatuur zal toenemen, is waarschijnlijk de meest trefzekere voorspelling voor 2017. Het is een eenvoudige optelsom: in 2020 zullen er meer dan 20 miljard IoT-apparaten online zijn, versus een miljard pc’s. We bevinden ons in een heikele positie als het om het IoT gaat. Er is sprake van een reusachtig M2M (machine-to-machine)-aanvalsoppervlak dat zal toenemen tot meer dan 20 miljard verbonden apparaten. Deze draaien op uiterst kwetsbare code en zijn afkomstig van fabrikanten die simpelweg niet over een beveiligingsstrategie beschikken. Deze apparaten zijn als het ware ongeleide projectielen: we kunnen er geen beveiligingsclient aan toevoegen en hun software en firmware zelfs niet effectief updaten.

Aanvallers boeken momenteel veel succes door gebruik te maken van standaard gebruikersnamen en wachtwoorden. En er is nog veel meer laaghangend fruit voor lieden die misbruik willen maken van kwetsbaarheden in IoT-apparaten, zoals hardgecodeerde achterdeurtjes en fouten in code die wordt gebruikt voor IoT-verbindingen en -communicatie. Gezien het potentieel dat het Internet of Things cybercriminelen biedt om schade aan te richten en geld te verdienen, verwachten we dat aanvallen op IoT-apparaten een geavanceerder karakter zullen aannemen en misbruik zullen maken van zwakke schakels in IoT-communicatie en processen voor het verzamelen van data.

De opkomst van shadownets

Verder voorzien we de opkomst van enorme shadownets. Dit zijn IoT-botnets die niet met conventionele tools kunnen worden ontdekt of gemeten. Shadownets, waarvan recentelijk gebruik werd gemaakt voor de Mirai-aanval, bevinden zich nog in de kinderschoenen. Ze worden ingezet als botte instrumenten voor het uitvoeren van denial of service (DDoS)-aanvallen die hun weerga niet kennen. We denken echter dat deze aanvallen tot dusver hoofdzakelijk werden uitgevoerd om de mogelijkheden van shadownets te testen. Omdat deze nieuwe bedreiging de ‘proof of concept’-fase inmiddels achter zich heeft, verwachten we een steeds slimmere inzet van deze zwermen van geïnfecteerde apparaten. De eerste en meest waarschijnlijke stap is het combineren van gerichte DDoS-aanvallen met eisen om losgeld. Dit zal naar alle waarschijnlijkheid worden gevolgd door het verzamelen van data, het afstemmen van aanvallen en het verbergen van andere aanvallen.

Een Deepweb binnen het IoT

De opkomst van shadownets valt samen met de ontwikkeling van een Deepweb binnen het IoT. Het Deepweb is traditioneel het deel van internet dat niet wordt geïndexeerd door zoekmachines. We denken dat shadownets van geïnfecteerde IoT-apparaten zullen worden ingezet voor zaken als de tijdelijke opslag van gestolen informatie. Daarmee ontstaat een Deepweb binnen het IoT. Er zal gebruik worden gemaakt van swarm (zwerm)– en P2P (peer-to-peer)-tools voor het onopgemerkt opslaan, beheren en opvragen van data via miljoenen apparaten. Verder zal er TOR-achtige functionaliteit worden geïntroduceerd die het mogelijk maakt om IoT-netwerken te gebruiken voor het anonimiseren van dataverkeer.

Hoewel bedrijven diverse opties tot hun beschikking hebben staan om maatregelen te treffen voor het beheer van de beveiligingsproblemen rond IoT-apparaten en -netwerken, zoals toegangsbeheer en netwerksegmentatie, hebben consumenten weinig of geen mogelijkheden op dit gebied. Als IoT-fabrikanten nalaten om hun apparaten te beveiligen, zou dit ertoe kunnen leiden dat consumenten gaan twijfelen of ze deze producten überhaupt zouden moeten aanschaffen. Dit kan rampzalige gevolgen hebben voor de digitale economie. Het kan zijn dat IoT-fabrikanten die geen directe actie ondernemen niet alleen te maken zullen krijgen met omzetverlies, maar ook aansprakelijk zullen worden gesteld voor beveiligingsincidenten waarbij hun producten betrokken zijn.

Conclusie

Tegenwoordig is alles een doelwit en kan alles als een wapen worden gebruikt. Cyberbedreigingen worden intelligenter, gaan autonomer te werk en zijn steeds lastiger te detecteren. Het tempo van ontwikkelingen op het gebied cybercrime is ongekend. De beveiliging is op een belangrijk keerpunt aangekomen nu de gevolgen van cyberaanvallen zich niet langer beperken tot de getroffen organisaties, maar ook persoonlijke, politieke en zakelijke consequenties met zich meebrengen. Dit vraagt om meer verantwoordelijkheidsbesef en actie op diverse niveaus, van leveranciers van beveiligingsoplossingen, IoT producenten tot overheden en consumenten. In 2017 én alle volgende jaren.

Vincent Zeebregts, Country Manager Fortinet Nederland