Terugblik: 10 jaar Microsoft VS Malware
Eugene Kaspersky zei onlangs dat Mac-security tien jaar achterloopt op Microsoft. Maar wat heeft de Windows-maker in de tussentijd gedaan om te beschermen tegen malware?
De eerste grote malwareuitbraak op het Mac-platform komt exact tien jaar nadat Microsoft zichzelf stevig in de spiegel moest bekijken na een aantal beschamende veiligheidsproblemen op het Windows-platform.
Het bracht toenmalig Microsoft-directeur Bill Gates ertoe een nu legendarische interne memo rond te sturen, waarin hij het bedrijf aanspoorde om veiligheid tot zijn hoogste prioriteit te maken. In plaats van security pas achteraf te bekijken, zoals voorheen gebeurde, moest het ontwikkelen van veilige software vanaf dan de standaard worden, en dat heeft Microsoft geen windeieren gelegd.
[related_article id=”161452″]
Microsoft is in de tussenliggende periode ver gekomen, maar dat betekent zeker niet dat het vanaf 2002 foutloos begon te opereren. Zo introduceerde het in Windows XP een ingebouwde firewall, maar stond die standaard uitgeschakeld tot het bedrijf dit repareerde met het tweede Service Pack voor het populaire OS.
Overigens doet Apple met zijn eigen besturingssysteem exact hetzelfde: de firewall in alle huidige versies van OS X is standaard uitgeschakeld.
Een andere misser is de Autorun-functionaliteit, die elke ingestoken usb-stick automatisch liet opstarten. Een ideaal doelwit voor de Conficker-worm, die gebruikers van XP en Vista jarenlang slachtoffer maakte.
In Windows 7 werd Autorun automatisch gedeactiveerd, maar de oudere besturingssystemen moesten tot 2011 wachten tot Microsoft de aanvalsmethode blokkeerde.
Microsoft leerde desondanks van zijn fouten en er bestaat geen twijfel over dat de Windows 7-gebruiker standaard meer bescherming krijgt dan in 2002 het geval was bij de eerste incarnatie van Windows XP.
Maar malwareschrijvers zijn ook met hun tijd meegegaan, wat je goed kunt zien in het volgende overzicht van de belangrijkste Windows-epidimieën en bestrijdingsmiddelen.
Op de volgende pagina: Evolutie van de aanval
Tegenoffensief (2002)
Toen Bill Gates in 2002 zijn Trustworthy Computing-memo schreef, konden cybercriminelen via allerlei gaatjes in Microsofts software naar binnen glippen. Door een levenscyclus te introduceren voor zijn producten en zijn updatemechanisme te verbeteren, heeft Microsoft aanvallers gedwongen malware te schrijven die gebruikers in de val laat lopen via social engineering of binnenkomt via kwetsbaarheden die het grotendeels zelf al heeft gerepareerd. Dat kun je goed zien aan deze statistieken uit een recent veiligheidsrapport van het bedrijf.
Blaster (2003)
Als je in de zomer van 2003 als helpdeskmedewerker bovenstaand dialoogvenster op je scherm kreeg, was je zojuist in de hel beland. MSBlast/32, alias Blaster, verspreidde zich over netwerken via het zogenoemde RPC-protocol, waardoor geïnfecteerde computers in een onophoudelijke reboot-cyclus terecht kwamen. Omdat de worm ook toegang kreeg tot belangrijke systeemonderdelen, had de schade nog veel groter kunnen zijn, maar de auteur was alleen geïnteresseerd in zoveel mogelijk onrust te zaaien.
Patch Tuesday (2003)
Sinds Windows 95 zit er al een updatemechanisme in het besturingssysteem, maar pas in 2003 kwam Microsoft met maandelijkse veiligheidsbulletins op elke tweede dinsdag van de maand. Zo konden zijn zakelijke klanten veiligheidsupdates alvast testen, waarna op de laatste dinsdag van de maand ook de overige updates werden vrijgegeven. Heel af en toe doorbreekt Microsoft dit vaste schema om een uiterst dringende veiligheidsupdate uit te brengen.
Netsky (2004)
Een van de eerste computerwormen die zich via massamailings verspreidde, waarbij het een uitgebreid scala aan trucs gebruikte om ontvangers zover te krijgen op de besmette bijlage te klikken. Hoewel Netsky, dat geschreven was door een 18-jarige Duitser, geen schade toebracht, kon het wel erg irritant zijn. Een bepaalde variant liet geïnfecteerde pc’s voortdurend piepsignalen afgeven.
Mydoom (2004)
Terwijl wormen voordien nog voornamelijk afkomstig waren van vandalen, was Mydoom volgens Microsoft-analisten “een van de eerste voorbeelden van een botnet en malware met een winstdoeleinde.”
De malware opende een nieuw Notepad-venster met onzinnige tekst, terwijl het op de achtergrond zichzelf in het systeem nestelde. Daarna begon het mails te sturen via zijn eigen SMTP-server en het adresboek van het slachtoffer. Wie op de attachment klikte, werd meteen toegevoegd aan MyDoom’s snel groeiende zombieleger. Verspreidde zich trouwens ook via Kazaa.
Op de volgende pagina: Microsoft voert de strijd op
Windows XP Service Pack 2 (2004)
Windows XP SP2 had eigenlijk een compleet nieuwe versie van Windows moeten zijn, maar door meerdere opkomende securitydreigingen moest Microsoft zich volledig concentreren op het dichten van gaten in zijn software. In plaats van SP2 tot een betalende upgrade te maken, besloot het bedrijf om het gratis uit te brengen, zodat veel gebruikers het zou installeren.
Een van de belangrijkste veranderingen voor consumenten was het hier afgebeelde Security Center, dat nog altijd een belangrijke rol speelt in huidige versies van Windows.
Malicious Software Removal Tool (2005)
Om malware effectief te lijf te kunnen gaan, introduceerde Microsoft begin 2005 een apart programma om ‘specifieke, wijdverspreide malwarefamilies’ te kunnen verwijderen. Dit programma wordt nog altijd voortdurend bijgewerkt en meegeleverd met de maandelijkse Patch Tuesday en heeft in de laatste zeven jaar miljoenen pc’s op effectieve wijze verlost van talloze bedreigingen. Bovendien levert het Microsoft waardevolle informatie op over de verspreidingspatronen van malware.
Zlob (2005)
De malwarefamilie Win32/Zlob verscheen op het toneel in 2005 en was binnen een paar jaar de onbetwiste koning van de insluipers. Microsoft schatte in 2008 dat voor elke besmette pc een kans van een op vier was dat Zlob de boosdoener was.
De reden voor zijn succes was zijn simpele doch effectieve toepassing van manipulatie. Een slachtoffer wilde een video kijken, waarna de afgebeelde pop-up in beeld kwam. Omdat het in die tijd volstrekt normaal was allerlei mediacodecs te moeten installeren, gingen pc-gebruikers massaal voor de bijl.
Zlob is geëvolueerd van scarewarekoerier tot rootkitdrager en was, met een Mac-versie in 2007, een van de eerste malwaresoorten die zichzelf naar meerdere besturingssystemen wilde verspreiden.
Valse antivirus (2005)
Het is niet bekend wie voor het eerst op het idee kwam om malware te verspreiden die zich vermomde als anti-virussoftware, maar het was een duivels goed idee dat nog steeds veel geld in het laatje brengt.
In het begin imiteerden malwareschrijvers vooral het XP Security Center, maar later aapten ze steeds vaker verkopers van securitysoftware na. We zitten voorlopig nog met deze plaag opgescheept.
Bagle (2006)
Rootkits horen tot de meest akelige vormen van infecties, omdat ze geavanceerd zijn en moeilijk te verwijderen. Bagle was een van de eerste varianten in zijn soort en zoals je via deze blogpost van F-Secure kunt zien, was het al bijzonder slim in elkaar gestoken, met verschillende onderdelen die samenwerkten om maximaal succes te behalen.
Volgende pagina: Malware wordt slimmer
Nuwar (Storm) worm (2007)
De auteurs van Nuwar speelden bijzonder slim in op een dodelijke storm op het Europese continent en begonnen met de verspreiding van geïnfecteerde boodschappen op de dag dat het noodweer zijn hoogtepunt bereikte.
De Storm worm, zoals hij vooral bekend stond, was ook nog eens een van de eerste kwaadaardige programma’s die polymorphische technieken gebruikte, wat inhield dat het om de tien minuten zijn code veranderde om antivirusscanners te misleiden. Bovendien gebruikte het een P2P-netwerk om zo snel de IP-adressen van zijn controleservers te kunnen wijzigen.
Microsoft’s Malicious Software Removal Tool (MSRT) wist de worm in 2007 op de knieën te krijgen, maar in 2008 was het nog altijd actief in versleutelde vorm, al was zijn invloed van windkracht tien overgegaan naar een briesje.
Koobface (2008)
Tien jaar geleden bestonden sociale netwerken nog nauwelijks, maar in 2008 was Facebook al populair genoeg om doelwit te worden van het beruchte Koobface, een irritante cross-platform worm die opdook bij Windows, Mac en Linux. Koobface, een anagram van Facebook, stal logingegevens, bouwde zo een botnet op en verdiende zijn geld door aanvullende malware te installeren bij zijn slachtoffers.
Facebook onthoofdde in 2011 de Koobface-controleservers, waarna eerst veiligheidsonderzoeker Dancho Danchev en daarna de netwerksite zelf de persoonlijke gegevens van de verantwoordelijke bende op het web publiceerden.
Conficker (2008-heden)
Conficker is het prototype van moderne malware.
Zijn genialiteit schuilt in het feit dat het de Windows-functie Autorun misbruikte, een pop-upvenster dat gebruikers om actie vraagt als zij een usb-toestel in hun pc of laptop steken. Omdat usb-sticks zo populair waren, wist Conficker een enorm aantal machines te besmetten en bemachtigde vervolgens beheerderswachtwoorden via een simpele aanvalsstrategie.
Microsoft loofde een beloning van 250.000 dollar uit voor het vangen van de maker van Conficker en sloot het gat in Windows 7 waardoor de malware naar binnen kon komen. Het duurde echter tot begin 2011 tot ook Windows XP en Vista bescherming ontvingen voor de achterdeur.
Een coalitie van veiligheidsspecialisten wist het Conficker-botnet via legale procedures te ontmantelen, maar er zijn nog altijd miljoenen pc’s die besmet zijn met de usb-worm. Omdat er echter niemand meer aan de touwtjes trekt, is de daadkracht van Conficker verdwenen.
Op de volgende pagina: Eindelijk eigen anti-virus
Microsoft Security Essentials (2009)
Waarom duurde het zo lang voordat Microsoft eindelijk op de proppen kwam met een zelfgebouwde gratis antivirusoplossing? Dat heeft waarschijnlijk veel te maken met een anti-trustzaak die Microsoft in 2001 aan de broek kreeg. De softwaremaker werd verboden om eigen software te bundelen met Windows die concurrenten kon benadelen, waardoor Microsoft erg voorzichtig was met het introduceren van eigen beveiligingsmaatregelen.
Security Essentials, gebaseerd op dezelfde engine als zijn zakelijke Forefront-product, was een groot succes en met de introductie van Windows 8 zal Microsoft het pakket standaard integreren, al zal het wel de bekende Windows Defender-naam hanteren.
Zeus/Spyeye (2010/2011)
Deze sterk verwante malwarefamilies staan voor een verontrustende trend. Ja, er zitten weliswaar capabele programmeurs achter deze trojans, die zich specialiseren in het stelen van gegevens voor internetbankieren.
Maar nieuw en anders aan deze auteurs is dat ze in feite een franchise hebben opgericht, waarbij ze hun creaties als kits verkopen aan relatieve leken. Volgens sommige schattingen hebben de Zeus/Spyeye-botnets al meer dan 100 miljoen aan gestolen geld opgeleverd.
Microsoft startte onlangs een agressieve wereldwijde campagne via de rechter om de meeste van deze botnets uit de lucht te halen. De softwaremaker gebruikt deze tactiek steeds vaker, en met steeds groter succes.
Andermans producten (2011)
Malwareschrijvers vallen Internet Explorer al sinds begin het millenium onophoudelijk aan en surfers zijn steeds meer overgestapt naar andere browsers. Nu verleggen de criminelen hun aandachtsveld en beginnen ook Chrome- en Firefox-gebruikers aan te vallen. Waarschijnlijk dezelfde mensen die MacDefender maakten, voerden onlangs een gerichte aanval uit op de Google-browser, zoals je hier kunt zien.
Alureon/TDL4/TDSS (2012)
Aan het begin van de eeuw waren malwareauteurs vooral geïnteresseerd in de aandacht en veroorzaakten spectaculaire, vernietigende uitbraken.
Nu zijn ze alleen nog geïnteresseerd in geld en doen ze alles om onopgemerkt te blijven. Dat heeft geleid tot de opkomst van bovengenoemde rootkits, die bijzonder akelige eigenschappen hebben.
Vroege versies besmetten de Master Boot Record (MBR), maar nieuwere versies zijn zelfs in staat om een eigen geïnfecteerde schijfpartitie aan te maken.
Dit is het gezicht van de nieuwe generatie malwareschrijvers in 2012: vastberaden, flexibel en bijzonder gemotiveerd.