Een nieuwe, bijzonder hardnekkige malware vormt een uitdaging voor IT-specialisten: Glupteba is van plan om zo lang mogelijk verborgen te blijven en gedetailleerde informatie te verzamelen om zijn technieken verder te verfijnen. Sophos reageert met Endpoint Detection and Response (EDR) op basis van Deep Learning.
Glupteba, een worm die zich richt op versluiering en stealth en waarvan de infectieaantallen sinds het begin van het jaar gestaag zijn gestegen, houdt beveiligingsexperts bij Sophos bezig. In het rapport “Glupteba malware verbergt zich in het volle zicht” analyseerde het onderzoeks- en ontwikkelingsteam van Sophos Labs de nieuwe malware, die detectie op geïnfecteerde apparaten kan vermijden en een proactieve oplossing biedt.
De uitdaging
Het gevaarlijke aan Glupteba is dat deze malware er niet alleen op uit is om zoveel mogelijk gegevens te stelen, maar ook veel moeite doet om zichzelf en de onderdelen ervan te beschermen tegen gebruikers van een geïnfecteerd apparaat of beveiligingssoftware. De malware probeert bijvoorbeeld de ingebouwde beveiligingen en beveiligings- of analysehulpmiddelen van Windows uit te schakelen om zo lang mogelijk onopgemerkt te blijven. Zodra de bot is ingesteld en geconfigureerd, wordt er een monitoringproces voor geïnstalleerd. Als dit detecteert dat een stuurprogramma of component is gecrasht, wordt geprobeerd de gegevens opnieuw te installeren en uit te voeren.
Traditionele beveiligingsoplossingen zijn volgens Michael Veit, technology evangelist bij Sophos, niet in staat om netwerken tegen een dergelijk aanvalstype te beschermen. Hoewel web-, apparaat- en app-controle, firewalls, handtekeningen en heuristieken de essentiële beschermingslaag vormen om virussen tegen te houden en te verdedigen, kunnen ze deze niet in alle gevallen vroeg genoeg detecteren.
Live Discover and live Response
Het doel van Endpoint Detection and Response (EDR) is om verdachte activiteiten te detecteren van aanvallers die nog geen exploit hebben gemaakt of bestanden hebben versleuteld. De oplossing is speciaal ontwikkeld voor IT-beveiligingsoperaties en threat hunting en is bedoeld om verborgen bedreigingen te detecteren door middel van gedragsherkenning en AI-ondersteuning en om te voorkomen dat wormen zich in systemen kunnen nestelen. Het bijzondere kenmerk is de “absolute monitoring van alle processen” op alle verschillende systemen.
Met de Intercept X Advanced met EDR-oplossing van Sophos kunnen aanpasbare SQL-query’s worden gemaakt die putten uit tot 90 dagen aan endpoint- en servergegevens. Er kan bijvoorbeeld worden gevraagd waarom een systeem traag werkt, welke apparaten bekende kwetsbaarheden hebben, welke diensten onbekend zijn of welke browser-extensies niet zijn toegestaan. Het kan ook nagaan of het systeem programma’s uitvoert die moeten worden verwijderd, of processen proberen een netwerkverbinding tot stand te brengen via niet-standaardpoorten en of bestanden of registersleutels onlangs zijn gewijzigd.
Als een systeem als potentieel kwaadaardig wordt aangemerkt, wordt het automatisch geïsoleerd op het netwerk. Bovendien kunnen beheerders via een centrale cloudbeheerconsole op afstand gerichte beschermingsmaatregelen treffen en mogelijke valse alarmen voorkomen.
Live Discover? Absolute bewaking? Voor sommigen klinken deze kenmerken van een EDR-oplossing misschien ook bekend als SIEM. EDR-systemen filteren uit de grote hoeveelheid gebeurtenissen die op alle systemen plaatsvinden, alle gebeurtenissen die op hackeractiviteiten zouden kunnen wijzen. SIEM-systemen probeerden dat tientallen jaren geleden te doen en faalden, legt Michael Veit uit. “Het probleem met SIEM is dat er al snel een zogenaamde waarschuwingsmoeheid optreedt, omdat er ongelooflijk veel valse alarmen worden gegeven. Een SIEM-systeem probeert gebeurtenissen van verschillende componenten te verzamelen en te evalueren, op het eindpunt, bij de gateway, in het netwerk en op databankservers op verschillende plaatsen. Maar dit zijn heterogene systemen: een firewall van fabrikant X en een eindpunt van fabrikant Y. En dus is het heel moeilijk om de context te bepalen van wanneer een gebeurtenis op welk onderdeel plaatsvond. Maar een EDR-systeem heeft veel meer context van de acties.”
Met EDR zouden alle processen, alle communicatie en alle registervermeldingen absoluut worden gemonitord, waardoor het gemakkelijker wordt een verband te leggen met overeenkomende gebeurtenissen op het netwerk of op servers. Op bedreigingen kan onmiddellijk worden gereageerd en een aanvaller kan automatisch of met een druk op de knop van het netwerk worden afgesloten. SIEM heeft vaak onvolledige sensoren en vereist extra componenten voor bescherming en reactie, die worden geactiveerd “met een vertraging, als ze al worden geactiveerd”. Met een EDR-systeem wordt elke anomalie van elk systeem en elk proces gedekt. Om het concreet te zeggen: EDR is het nieuwe SIEM.”
Diep Leren
Technologieën zoals Deep Learning zijn achterwaarts gericht, aldus Veit. “In de afgelopen 30 jaar dat we aan antivirus deden, hebben we ons Deep Learning-model gevoed met verzamelde gegevens. Zo kunnen we zien of een onbekend programma meer weg heeft van een kwaadaardig programma of van een goed programma.”
Diep leren kan worden gebruikt om endpoints te beschermen tegen bedreigingen die nog onbekend zijn. Geïnspireerd door de manier waarop het menselijk brein werkt, is de evolutie van machinaal leren gebaseerd op grote hoeveelheden gegevens waaruit een doeltreffend model wordt gecreëerd. Bij Sophos Labs leveren meer dan 100 miljoen endpoints elke dag telemetriegegevens en worden elke week 2,8 miljoen nieuwe malware samples geanalyseerd. Aan de hand van deze analyses kunnen voorspellingen worden gedaan en gegevens beter worden geïdentificeerd. Sophos zegt dat zijn technologie in minder dan 20 milliseconden miljoenen eigenschappen uit een bestand kan halen, een diepe analyse kan uitvoeren en kan bepalen of een bestand onschadelijk of kwaadaardig is.