Ontmaskerd & verdelgd

03 november 2005 - 23:005 minuten leestijdAchtergrondInnovatie & Transformatie
Mark Nieuwenhuizen
Mark Nieuwenhuizen

Het mag niet verwonderlijk zijn dat de toegang tot het lab van Symantec in Dublin met de nodige fysieke en digitale beveiligingsmaatregelen is omgeven. “Pas er voor op dat je niet in deze airlock terecht komt,” waarschuwt Kevin Hogan, bij Symantec verantwoordelijk voor het onderzoek naar virussen en wormen. “De deuren hier kunnen alleen maar worden geopend met speciaal geautoriseerde pasjes.”

Tien stappen
In tien stappen ontmaskerd en verdelgd

  1. Monster van virus of worm komt binnen op lab.
  2. Geautomatiseerd systeem voert een aantal basistesten uit. Het grootste gedeelte van de virussen wordt hier al ontmaskerd.
  3. Technici zoeken met verschillende tools naar herkenbare woorden of processen. Dit gebeurt voornamelijk op het niveau van de machinetaal Assembler.
  4. In een virtueel systeem laat men de virussen hun gang gaan en wordt de werking stap voor stap en in slowmotion bekeken. De kwaadaardige applicatie wordt veelal gevoed met valse informatie.
  5. Er wordt gekeken welke taken het virus in het systeem uitvoert.
  6. Als vastgesteld is dat het om een virus of worm gaat, kijkt men naar unieke karakteristieken in de code. Hoe kleiner het karakteristiek, des te kleiner de kans dat het storend werkt op legitieme applicaties.
  7. Whitebox analyse. Hier worden in feite de individuele componenten en hun onderlinge samenhang getest.
  8. De tijdelijke definitie wordt getest. In deze fase kijkt men of het virus als zodanig wordt herkend zonder dat het legitieme processen in gevaar brengt.
  9. Via een standaard procedure krijgt het virus zijn voor Symantec unieke naam.
  10. Virusdefinitie kan al dan niet automatisch worden gedownload door klanten. Voor Platinum-klanten is dat vrijwel direct.
Alle magnetische media zoals mp3-spelers en USB-sticks moeten dan ook worden ingeleverd. Hogan legt uit dat dit vooral is omdat er geen virussen vanuit het lab de wijde wereld in mogen. Het heerst hier dus een strikt eenrichtingsverkeer. “We zijn hier overigens niet zozeer bang voor kwaadwillenden,”meent Hogan. “Het is vooral onachtzaamheid en automatisme van de medewerkers waar we ons tegen willen beschermen.”


Toolkits

Symantec zoekt naar nieuwe uitbraken via een 20.000 sensors tellend netwerk. Verder wordt het lab gevoed met berichten van klanten die hen onbekende bestanden toesturen en staan er een onbekend aantal honeypots om kwaadaardige code te vangen. Op enkele schermen in het lab staan zelfs de bekende cracksites open. Deze worden met regelmaat door de eigen onderzoekers bekeken want ze blijken een goede bron voor het vinden van nieuwe monsters. Vooral de nu in opkomst komende malware voor de PSP-spelcomputer en mobiele apparatuur is juist hier volgens Hogan in ruime mate voorhanden. “Het is de kunst om al met een definitie te komen vóórdat malware zich weet te verspreiden. Natuurlijk vangen we veel op via ons sensornetwerk maar het is goed om ook dit soort plekken in de gaten te houden want hier beginnen veel virussen hun opmars naar het internet.” Al deze verdachte code wordt vervolgens verspreidt over de drie geografisch gespreide onderzoekscentra van Symantec. “Zo zijn er elke minuut van de dag technici beschikbaar die direct op een nieuw virus of worm kunnen reageren,” vertelt Hogan. “Dagelijks ontdekken we op deze manier ongeveer 25 nieuwe kwaadaardige applicaties. Een groot gedeelte daarvan is overigens slechts een variatie op een bekend thema. Het is relatief eenvoudig om met op het internet te vinden toolkits een bestaand virus een klein beetje aan te passen. Vooral Slammer, dat al in 2003 werd ontwikkeld, kent vandaag de dag nog steeds nieuwe variaties. Die pikken we er overigens gemakkelijk uit omdat hun karakteristieken maar weinig van elkaar verschillen.”

KVM-switches

Alle verdachte bestanden die het lab binnenkomen, gaan eerst langs een geautomatiseerd proces. Het grootste gedeelte wordt dan ook direct geïdentificeerd en richt bij een up-to-date gehouden systeem geen enkel risico. Slechts een klein gedeelte van de 20.000 binnen gebrachte virussen moeten met de hand worden onderzocht. Net buiten Dublin zijn een tiental mensen in open kantoorruimtes op zoek naar hun karakteristieken. Die worden vervolgens weer vertaald naar een signatuur en uitvoerig getest. “Dat testen gebeurt behoorlijk uitgebreid. We kunnen geen risico’s lopen want een nieuwe definitie op de virusscanner mag normale bedrijfsprocessen niet in gevaar brengen. Het mag niet gebeuren dat bij toeval alle Wordbestanden als malware worden aangemerkt. Pas als we daar zeker van zijn, verspreiden we de definitie naar onze klanten.” In het lab vinden we twee absoluut gescheiden netwerken. Het LAN waarop ze de virussen en andere kwaadaardige code toelaten, mag nergens fysiek in aanraking komen met de rest van het netwerk. Daarom staan de pc’s en servers die wél in het bedrijfsnetwerk hangen, in een aparte ruimte. Met KVM-switches en lange kabels zijn deze verbonden met de toetsenborden en beeldschermen van de technici. Later dit jaar verwacht men zelfs een kooi van Faraday van waaruit ze virussen op smartphones en andere mobiele apparatuur kunnen testen. Die verspreiden zich namelijk ook via draadloze netwerk technologien als GPRS en Bluetooth.

Scriptkiddies

Hoewel het gros van de virussen draait op machines met een wintel-architectuur staan er in een andere beveiligde kamer verschillende mobiele devices en is te zien dat men nu al bezig is met op Intel draaiende Mac’s. Hogan: “Voor ons werk maakt het uiteindelijk niet zoveel uit welk besturingssysteem wordt gebruikt. Voor ons speelt het meeste werk zich af op het niveau van de processor. Als er een onbekend virus binnenkomt, kijken we vooral naar de processen. Daarom is het ook best lastig om goede mensen naar het lab te krijgen. Ze moeten tenslotte kunnen werken in Assembler en dat wordt vrijwel niet meer onderwezen.” Op de vraag of Symantec voor dit doel bekeerde hackers zoekt, is Hogan kort. “Die jongens zal je hier niet vinden. Al onze mensen worden van tevoren gescreend. Daarnaast hebben de meeste hackers en script kiddies simpelweg veel te weinig kennis in huis om hier te worden aangenomen.”

Meer lezen

Geef een reactie

Footer