IT

Hoe beschermen next generation firewalls tegen malware?

Met welke technologieën zorgen de next generation firewalls ervoor dat je geen malware bots binnenkrijgt?

We lichten 3 technologieën toe die strijden tegen gekende aanvallen:

  • Intrusion Prevention System (IPS)
  • Antivirus
  • Antibot

Intrusion Prevention System (IPS)

Elke firewall bevat een Intrusion Prevention System (IPS). Daarmee kan je misbruik van gekende zwakke plekken proberen voorkomen. Zo zijn er in Adobe Flash bijvoorbeeld heel veel lekken, maar die lekken zijn gekend. En als iets gekend is, is het makkelijk om er een signature voor te maken.

Een signature is een soort patroon van een aanval en wordt opgenomen in een database met andere signatures. IPS vergelijkt het netwerkverkeer met die signatures. Op die manier spoort IPS makkelijk misbruiken op, en kan het die misbruiken voorkomen door bv. een IP-adres te blokkeren.

Antivirus

De rol van een antivirus? Het verhindert het downloaden van gekende malware. Probeert een pc een connectie te maken met internet, dan analyseert een reputation engine de data van bestanden die binnen komen. Op die manier:

  • Kom je te weten hoe veilig een bestand is, dankzij de algoritmes die op het bestand worden losgelaten
  • Voorkom je dat er verbinding wordt gemaakt met bronnen die malware bevatten
  • Vermijd je drive-by-download aanvallen

Krijgen gebruikers bestanden binnen, dan wordt daar een basic signature set op losgelaten. Vervolgens wordt er een MD5 hash genomen van die bestanden. Die gegevens worden doorgestuurd naar de cloud. Gaat het om een gekend bestand waar een virus in zit, dan kom je dat zo te weten.

Antibot

Zit de infectie binnen in het systeem? Dan probeert ze naar buiten te gaan. Daar probeert een antibot een stokje voor te steken: alle C&C communicatie wordt geblokkeerd. Wat doet een antibot nog?

  • Een signature set loslaten op gedragspatronen
  • E-mailactiviteit checken
  • Een DNS track uitvoeren om te achterhalen welke pc geïnfecteerd is

Signature set achterhaald? Sandboxing is het antwoord

Signatures weten niet alles en zijn snel achterhaald. Daarom kan je het bestand openen in een sandbox-omgeving en kijken wat het doet. Bevat het bestand malware, dan kan je het blokkeren in de sandbox-omgeving.

Probleem opgelost? Niet helemaal.

Om de beperkingen van de sandbox-omgeving verder uit te leggen, bekijken we hoe een aanvaller te werk gaat, en wat jij kan doen.

 

virus found

 

Hoe trek je ten strijde tegen de tactieken van aanvallers?

Stel: de aanvaller heeft malware die nog niet gekend is. Je IPS zal het niet zien, je antivirus zal het niet kennen en je antibot zal het niet hérkennen. Denk je nu dat je goed hebt opgelet en dat we het bestand in de sandbox-omgeving kunnen zetten? Ja, maar de malware kan een bepaalde periode “slapend” aanwezig zijn. Open je het bestand in de sandbox-omgeving, dan zal je niets vreemds opmerken. Het bestand wordt goedgekeurd en… kan later aanvallen.

Malware kan trouwens ook opmerken dat het in een sandbox-omgeving zit. Zo’n omgeving is namelijk niet identiek aan een endpoint. Opnieuw zal de malware zich gedeisd houden en later pas toeslaan.

En tot slot: een machine regelt een sandbox-omgeving. Malware is slim genoeg om op zoek te kunnen gaan naar menselijke activiteit: scrollen, clicks op knoppen en muisbewegingen. Vindt de malware geen menselijke activiteit? Inderdaad, de malware houdt zich braafjes schuil en wacht zijn kans om aan te vallen af.

Beperkingen sandbox het hoofd bieden? Moeilijker dan je denkt!

Natuurlijk kan je oplossingen bedenken voor bovenstaande beperkingen, maar ook dan kan malware je te slim af zijn.

Denk je: “Ah, maar als de malware gaat slapen, versnellen wij gewoon de klok!”? Uhu, maar de malware past een eigen klok toe. Heb je het idee om de sandbox-omgeving een CPU te laten nabootsen zodat de omgeving zichzelf verstopt? Ook dat heeft malware door. En ja, ook als je de sandbox-omgeving menselijk gedrag laat imiteren, val je door de mand.

Conclusie: je hebt een slimmere technologie nodig die niet omzeild kan worden. De oplossing ligt bij het zoeken naar het misbruik, niet naar de malware. En dat heeft zo zijn redenen.

De oplossing: zoek naar het misbruik, niet naar de malware

Zoals je misschien al begrepen hebt, start een infectie vaak met een zwak punt in het programma. Typisch gaat het om een software bug. Vervolgens maken aanvallers misbruik van dat zwakke punt om Shellcode te laten lopen. Die Shellcode kan dan de malware uitvoeren.

Hoe grijp je in?

Wel, je gaat ervoor zorgen dat er geen plaats is om Shellcode te laten lopen. Dat doe je met SMEP. Ben je niet meer mee? We leggen het uit!

SMEP staat voor Supervisor Mode Execution Prevention. Een hele mond vol om te zeggen dat het ervoor zorgt de aanvaller het moeilijk heeft om zogenaamde “kernel vulnerabilities” te misbruiken. SMEP duidt aan welke adressen gemaakt zijn voor kernel code, en laat niet toe dat code vanop andere locaties kan lopen in kernel modus.

Oef, nu kunnen we opgelucht ademhalen! Of niet?

Een aanvaller kan stukjes uitvoerbare code die al in het geheugen zitten, hergebruiken. Nondedekke, hoe doet hij dat dan?

Hij neemt zinnen of woorden die al ergens voorkomen en maakt daar een gadgets dictionary van. Zo ontstaat een nieuwe “programmeertaal”. Plakt de aanvaller die woorden aan elkaar, dan ontstaat de zin die hij wil en kan hij Shellcode uitvoeren.

Waar grijp je dan in? Op het moment dat de aanvaller je zwakke plek gevonden heeft, en er misbruik van begint te maken. Je gaat op zoek naar patronen van misbruik. Zo heeft de aanvaller geen kans om gebruik te maken van frauduleuze technieken. Gotcha!

Wat vonden onze consultants van de avond?

Het was een smakelijke, gezellige en leerrijke avond! Onze consultants hingen - gelukkig figuurlijk - aan de lippen van Kristof Vermaelen, ICT Security Delivery Expert bij Proximus.

Maar wat was nu volgens onze consultants het meest interessante dat Kristof te vertellen had?

Jens: "Kristof vertelde dat de next generation firewalls sterk geëvolueerd zijn ten opzichte van de traditionele firewalls. Dat vond ik erg interessant. Met nieuwe features zoals IPS, stateful inspection, application control en URL filtering is het mogelijk om alle 7 lagen van het OSI-model te filteren.”

“Dit vond ik ook een goede tip: nieuwe features hebben een meerwaarde, maar uiteraard blijven de meer traditionele firewall functies nog steeds heel belangrijk. De combinatie van alle features zorgt voor een goede beveiliging, maar niets is 100% veilig en hackers zijn continu op zoek naar nieuwe kwetsbaarheden. Proberen om hackers een stap voor te zijn, zorgt voor veel uitdaging."

Shivan: “Wat de Tech Talk mij heeft bijgebracht, is dat het weren van spyware en virussen enkel mogelijk is door het creëren van een database met alle voorheen gepleegde aanvallen. Alle security bedrijven moeten die database dan ook delen en bijwerken.”

“Het is onmogelijk om te kiezen voor een waterdichte beveiliging, want dat bestaat niet. Je kan wel kiezen voor een vendor die proactief zijn database bijwerkt, zich met alle mogelijke middelen up-to-date houdt en daarbij ook mee evolueert met de cyber security scene.”

sfeerbeeld tech talk IT Security


Lander: “Ik schrok van de kostprijs van de firewall systemen van Proximus. Een bedrijf dat zich met firewalls wil beschermen tegen hackers, moet een groot budget vrijmaken. De functies van firewalls en andere beveiligingsmethodes lopen bovendien steeds achter op de nieuwe technieken die hackers constant ontwikkelen. Het blijft een kat-en-muisspel tussen hackers en IT-beveiligingsbedrijven.”

“Kristof vertelde ook nog dat er veel nieuwe uitdagingen aankomen voor IT-beveiliging. Dat komt door de komst van nieuwe technologieën zoals Internet of Things en het groter aantal gegevens dat in de cloud wordt opgeslagen.”

Sta je te popelen om ook naar een Tech Talk te komen?

Dan moet je zeker en vast onze kalender in de gaten houden! We voegen regelmatig nieuwe talks toe. Tot binnenkort?

Lees verder

Peter Benaets
Procesoptimalisatie: een win-win voor iedereen
#IT #Solutions #Process Optimisation
Analyst Developer Gert: “Mijn job is een uit de hand gelopen hobby”
#IT #Career
Kom op tegen Kanker: een uniform Drupal-platform
#IT #Clients