Rudie Egberink, Contec
Het groene hangslotje dat in de browser naast URL wordt afgebeeld, verzekert websitebezoekers dat de website veilig is. Mede door dit geruststellende slotje zijn we geneigd om persoonlijke informatie te verstrekken via websites die gebruikmaken van de zogenaamde Secure Sockets Layer (SSL)-certificering. Maar is dat wel zo verstandig?
Veel sites maken gebruik van SSL-certificering voor verschillende encryptieprotocollen. Dit zorgt ervoor dat cybercriminelen geen ‘man in the middle’-aanvallen uit kunnen voeren of spyware achterlaten wanneer gebruikers de websites bezoeken. In juni 2016 maakte 45 procent van alle internetpagina’s gebruik van het https-protocol. Het vervelende is echter dat slechts 55,4 procent van alle veel bezochte websites op veilige wijze gebruikmaakte van SSL. Met als gevolg dat bepaalde malware de https-verbindingen kan omzeilen, en zelfs misbruik kan maken van het ‘veilige’ certificaat.
Als een host is geïnfecteerd door geavanceerde malware, kan de malware een netwerkverbinding tot stand brengen voor het uitvoeren van kwaadaardige activiteiten. Een paar voorbeelden hiervan zijn communicatie met command and control (C&C)-servers, het wegsluizen van data en het klikken op advertenties om geld te verdienen.
Groen slotje geeft geen garantie voor veiligheid
Een van de oorzaken van onveilige websites, is dat het voor nieuwe websites betrekkelijke eenvoudig is om SSL-certificeringen te verkrijgen. Dit geldt ook voor ‘kwaadaardige websites’. Deze sites zijn gevaarlijk, maar hebben wel het geruststellende groene hangslotje. Dat is heel misleidend.
De afgelopen jaren zijn er diverse oplossingen op de markt verschenen voor het detecteren van kwaadaardige https-verbindingen. Veel vergelijken de digitale handtekeningen (signatures) van websites met de informatie over de reputatie van URL’s en concluderen dan of deze sites veilig zijn. Dit vereist het bijhouden van een grootschalige database, ook wel blacklisting genoemd, en regelmatige updates. Er zijn ook oplossingen die gebruik maken van machine learning technologie en gevoed worden met informatie over websites die bezoekers met malware bestoken. Het resultaat is een zwarte lijst met gevaarlijke websites. Maar door de enorme wildgroei aan voortdurend veranderende malware is zo’n zwarte lijst niet meer toereikend.
Clustering kan de detectie van kwaadaardige URL’s een boost geven
Vanwege steeds nieuwe ontwikkelingen rond cyberbedreigingen is het niet aan te raden om louter op SSL-beveiliging te vertrouwen of op een update van een database met signatures te wachten. Maar wat werkt wel? Aanvallen via kwaadaardige websites vinden vaak tegelijkertijd plaats. Cybercriminelen maken daarbij gebruik van combinaties van varianten uit dezelfde malware-familie. Dit gedrag maakt het mogelijk om aanvalspatronen te onderscheiden. Hiervoor wordt clusteringtechnologie gebruikt. Clustering is een wiskundige methode die terugkerende combinaties van bepaalde parameters onderverdeelt. In dit geval gaat het om combinaties van URL-parameters die sterke overeenkomsten vertonen wat betreft kwaadaardig gedrag. Clusteringtechnologie kan informatie over malware-aanvallen verzamelen en berekeningen uitvoeren om na te gaan of een nieuwe aanval gelijkenissen vertoond met bekende aanvallen.
Cybercriminelen maken gebruik van Portable Executables (PE’s) en binaire technieken om traditionele beveiligingsmechanismen te omzeilen. Hun aanvallen vertonen echter vormen van netwerkgedrag die met clusteringen kunnen worden geïdentificeerd. Ook het grootschalige hergebruik van malwarecode die op digitale zwarte markten te koop wordt aangeboden, maakt clustering tot een potentieel efficiënte oplossing voor malwaredetectie. Een mooi voorbeeld: Lock en Zepto, twee ransomware-varianten uit dezelfde familie, maken gebruik van dezelfde betalingspagina. In dit geval heeft clustering dus geholpen met het blootleggen van overeenkomsten in het netwerkgedrag tussen deze twee malware-varianten.
Clustering geeft het scanproces een dynamisch karakter, omdat de technologie in staat is om zich aan te passen en te leren van eerdere berekeningen. De techniek, die standaard is ingebouwd in Hillstone’s intelligente Next-Generation Firewall (iNGFW), maakt het mogelijk om verborgen overeenkomsten tussen onbekende en nieuwe malwarevarianten aan het licht te brengen. Dit is met name heel effectief met het oog op de trend van het hergebruik van kwaadaardige code. Want ook cybercriminelen zijn liever lui dan moe, en recyclen steeds vaker.
