Behavioral engines: direct ingrijpen bij verdacht gedrag

  1. 5 jul 2016
  2. 0 reacties

shutterstock_323750834

Behavioural engines zijn al jaren een belangrijk wapen in de strijd tegen malware, maar om de een of andere reden is de technologie nog met veel mystiek omgeven. Hoe werkt deze ‘gedragsmonitoring’ precies en wat zijn de voordelen?

Anti-malwareproducten waren in de jaren 80 een stuk primitiever dan nu. Simpel gezegd werden bestanden gescand en vervolgens vergeleken met een door het securitybedrijf opgestelde viruslijst. Bij een hit greep de software in door het bestand te verwijderen of in quarantaine te zetten om verspreiding te voorkomen. Lang voldeed deze ‘signature-based scanning’ prima, maar door de opkomst van nieuwe, geavanceerde malwarevormen ontstond gaandeweg de noodzaak tot meer verfijnde scanmethoden. En die kwamen er: zo’n tien jaar geleden werd het arsenaal uitgebreid met behavioral engines.

Deze scanners, ook wel host-based intrusion detection systems (HIPS) genoemd, richten zich niet op de bestanden of URL’s zelf. In plaats daarvan monitoren ze de processen, ofwel het ‘gedrag’. Als zo’n gedragsscanner een of meerdere schadelijke acties detecteert, wordt het bewuste proces meteen stopgezet. Het resultaat is dat de malware nooit zijn einddoel bereikt. Behavioral engines behoren vandaag de dag tot de meest effectieve beveiligingstools, al zijn geëvolueerde vormen van de ‘op handtekening gebaseerde’ aanpak nog steeds de basis van veel antivirussoftware.

Beveiligers

Andy Patel van beveiligingsspecialist F-Secure verduidelijkt het verschil tussen de twee methoden met een vergelijking. “Denk aan de beveiliging van een gebouw. De bewakers houden de beveiligingsbeelden in de gaten en patrouilleren. De hele dag lopen er medewerkers in en uit. De meesten dragen een ID-badge en de beveiligers kennen sommigen zelfs. Zij staan zeg maar op de whitelist. Er komen ook bezoekers langs. Zij moeten wachten bij de receptie en mogen alleen onder begeleiding naar binnen, met een tijdelijk ID. Dit proces kun je vergelijken met het scannen van een bestand.”

“Stel: er komt een onbekende man binnen die zich niet aan de procedure houdt”, vervolgt de security-expert. “Omdat niet iedere werknemer zijn ID-badge draagt, zou dit er een kunnen zijn, maar de bewakers herkennen hem niet. De persoon snelt voorbij de receptie en loopt achter iemand aan het hoofdgebouw in. De beveiligers zien dit meteen en volgen hem op beeld. Een patrouillerende beveiliger krijgt de instructie achter de man aan te gaan. Even later haalt de verdachte een breekijzer tevoorschijn en probeert hij in te breken in een serverruimte. Op dat moment grijpt de bewaker in. Dit is gedragsmonitoring.”

Processen

Terug naar behavioral engines. Deze beschermen niet alleen tegen schadelijke uitvoerbare bestanden. Door applicaties als browsers en tekstverwerkers te monitoren, biedt de technologie ook bescherming tegen besmettingen via bijvoorbeeld kwaadwillende websites, Office-macro’s en PDF-bestanden. Als je een gevaarlijke site bezoekt, ziet de scanner dat direct aan de processen van de browser zelf en wordt het schadelijke proces gekild. Dit werkt bijvoorbeeld goed tegen zero-day exploits, aanvallen die misbruik maken van kwetsbaarheden waarvan de ontwikkelaars nog niet op de hoogte zijn.

Maar wat maakt behavioral engines dan zo effectief? “Het overgrote deel van de malware gebruikt dezelfde beproefde trucjes om systemen te besmetten”, vertelt Patel. “Als een Excel-file een uitvoerbaar bestand opent of op de harde schijf schrijft, weet je bijna zeker dat er iets niet in de haak is. Een normaal, ongevaarlijk bestand zou dit namelijk nooit doen. Omdat je naar het gedrag kijkt, maakt het niet uit hoe het bestand er zelf ‘uitziet’. Regelmatig verschijnt er een nieuwe malwarevariant met een andere handtekening, maar al die versies voeren alsnog dezelfde reeks acties uit.”

Hetzelfde gedrag

“Als je één versie kunt detecteren, geldt dat dus voor alle varianten”, legt de expert uit. “Malwareontwikkelaars kunnen behavioral engines alleen omzeilen door met een nieuwe reeks acties te komen die tot de infectie leiden. Het gebeurt niet al te vaak dat er zo’n nieuwe besmettingsmethode wordt ontdekt. Dit betekent dat onze behavioral engine de meeste nieuwe malware er meteen al tussenuit vist.” Een gunstige situatie, en Patel verwacht ook niet dat deze op korte termijn verandert. “Waarschijnlijk blijven cybercriminelen terugvallen op diezelfde trucs.”

Behavioral engines zijn overigens niet waterdicht. “Het bestrijden van malware blijft natuurlijk een kat- en muisspel”, weet Patel. “Zo moet je het uitvoerende deel van een proces wel kunnen volgen. Er zijn zoveel verschillende scripttalen, waardoor het gedrag niet altijd goed te monitoren is. En het scannen zorgt ervoor dat processen iets trager verlopen. Een gebruiker kan ervoor kiezen om na een tijdje te stoppen met monitoren. Sommige malware activeert zichzelf daarom pas een dag later of alleen op een bepaalde datum. Dus behavioral engines werken prima, maar ze zijn niet feilloos.”

Geen zekerheid

Patel adviseert organisaties dan ook om een goede mix van beveiligingsoplossingen te kiezen, waar gedragsmonitoring er een van is. “Net als netwerkbeveiliging, e-mailscanning, firewalls, noem maar op”, zegt hij. “De meeste technologie is inmiddels aardig volwassen. Maar zelfs als alles goed geregeld is, weet je met het huidige dreigingslandschap niet 100 procent zeker dat je systemen en data veilig zijn. Al is het alleen al omdat bedrijfssystemen en -data tegenwoordig vaak in de cloud draaien of worden opgeslagen. Je kunt nou eenmaal geen groot ijzeren hek om de digitale infrastructuur van je bedrijf heen bouwen.”

De realiteit is bovendien dat er heel veel geld omgaat in de wereld van de cybercrime. De beste hackers kunnen een fortuin verdienen als ze een manier vinden om bijvoorbeeld computers te gijzelen of concurrentiegevoelige informatie te stelen. “De daders zijn vaak zeer intelligent en hebben veel financiële middelen tot hun beschikking”, weet Patel. “Daar valt met alleen technologie bijna niet tegenop te boksen. Om cybercriminelen structureel een stap voor te blijven, heb je mensen nodig die minstens even sluw te werk gaan. Een combinatie van mens en machine, dus.”

Machine learning

Toch mogen we ook behavioral engines niet onderschatten. Ze zijn bij sommige typen malware echt ‘goud waard’, aldus Patel. “Het is zo’n beetje de enige manier om ransomware gegarandeerd buiten de deur te houden.” Recente varianten als Locky en TeslaCrypt waren dan ook geen probleem voor DeepGuard, de behavorial engine van F-Secure. “Deze wordt steeds slimmer door in sandbox-omgevingen in het backend duizenden processen te analyseren. Al die metadata worden automatisch omgezet in nieuwe regels, zodat de software meeverandert met het dreigingslandschap.”

Patel is verrassend open over de technologie van F-Secure. Is hij niet bang dat cybercriminelen of concurrenten met zijn kennis aan de haal gaan? “Nee. Volgens mij is het goed als mensen meer te weten komen over behavioral engines. Securitybedrijven zijn vaak erg gesloten over hun technologie. Nergens voor nodig. Die criminelen weten toch al wat ze doen, want zij zijn zoals gezegd niet dom. En de concurrenten zullen zo’n systeem toch zelf moeten ontwikkelen. Dat kost veel tijd en moeite. Daarom zullen we er niemand kwaad mee doen als we uitleggen hoe onze technologie werkt.”