Helft stelende malware belt meteen naar huis
Beveiliger Websense ontdekt dat een op de twee malwareprogramma’s binnen de minuut contact zoekt met zijn maker om gestolen informatie te kunnen overhandigen.
Twee onderzoekers van Websense, Stephen Chenette en Armin Buescher, namen op willekeurige wijze bijna 200.000 kwaadaardige programma’s onder de loep en keken daarbij hoe deze indringers communiceerden over het netwerk.
Meteen naar huis bellen
Ze ontdekten dat 46 procent van de proefmonsters binnen 60 seconden contact zoekt met de buitenwereld. Malware is meestal gemaakt om bevelen te ontvangen van een zogenoemde command-and-control (C&C) server, die cybercriminelen gebruiken als virtueel hoofdkwartier om hun gestolen waren te verzamelen. Deze tactiek is ook gebruikt bij de nu al beruchte Flashback-trojan, die grote aantallen Macs besmette en via C&C-servers vastkoppelde aan een reusachtig botnet.
Hoewel het weinig verrassend is dat een flink percentage malware direct contact zoekt met de maker, komen de Websense-onderzoekers tot een aantal opvallende conclusies.
Een kwart van de malware die ze opspoorden via de zoektocht naar verdacht netwerkverkeer werd niet opgepikt door traditionele virusscanners. En terwijl malware vaak bijzonder geavanceerde en gevarieerde methoden gebruikt om zichzelf te camoufleren, zijn de gebruikte methoden om ‘naar huis te bellen’ veel minder talrijk.
[related_article id=”161920″]
Speur gericht
Dark Reading vroeg aan Joe Stewart van Dell Secureworks hoe netwerkadministratoren hun tactieken moeten wijzigen om meer malware via het netwerk op te sporen. Volgens hem is het een goed idee om op specifieke netwerkprotocollen te letten, waarbij HTTP vaak een belangrijke verdachte is.
“Kijk naar welk verkeer, welke verzoeken je ziet die er compleet anders uitzien dan alle anderen”, zegt hij. “Daar zullen veel zaken bij zitten die helemaal niet kwaardaardig zijn, maar het is een veel kleinere basis om to doorzoeken, als je weet waarnaar je op zoek bent”, aldus Stewart.