Google-tool helpt hackers malware te perfectioneren
Dat concludeert onafhankelijk beveiligingsonderzoeker Brandon Dixon uit een analyse van gedragspatronen op VirusTotal. Daarvoor nam hij een abonnement op het betaalde gedeelte van VirusTotal, waar onderzoekers informatie kunnen vinden over geüploade bestanden en onder meer nieuwe malware kunnen identificeren.
Shutterstock
Shutterstock
Nadat hij eenmaal doorhad waar hij op moest letten, kon Brandon de activiteiten van hackersgroepen vaak volgen. Zo zag hij de Comment Crew-bende - waarvan vermoed wordt dat die gelieerd is aan het Chinese leger - 3 maanden aan het werk met het aanpassen van installatieroutines en functies om te kijken of hun malware gedetecteerd zou worden. In een aantal gevallen zag hij ook dezelfde code terug in malware-aanvallen die enkele uren of dagen na de testen op VirusTotal werden uitgevoerd.
Malware getest op 35 virusscanners
VirusTotal is een van oorsprong Spaanse dienst die ruim 35 antivirusscanners combineert. Wie een bestand niet vertrouwt, kan dat bestand ter inspectie uploaden naar VirusTotal. Dat doen de hackers zelf overigens ook. Dixon nam een aantal malen waar dat hackersgroepen gestolen bestanden lieten controleren door VirusTotal. Maar hoofddoel bij het gebruik van het tool is perfectioneren van de malware, zodat die door zo min mogelijk virusscanners wordt opgemerkt.
Dixon heeft zijn informatie een aantal jaren onder de pet gehouden, omdat hij de hackers niet wilde laten weten dat hun activiteiten te volgen waren via VirusTotal. Analyse van de bestanden leverde namelijk soms waardevolle informatie op over doelen van hackers en mechanismes in hun malware. In die wetenschap zullen hackers hun gebruik van VirusTotal zeker wijzigen.
Toch publiek gemaakt
Waarom Dixon nu zijn ontdekking toch publiek maakt - via een interview met Wired - blijft enigszins onduidelijk. Zelf zegt hij dat er nu voldoende historische gegevens zijn om patronen te vinden die hij wellicht gemist heeft. En mogelijk vertrouwt hij erop dat met het algoritme dat hij heeft ontwikkeld en gepubliceerd via zijn blogsite, activiteiten van hackers die VirusTotal durven blijven gebruiken, toch tijdig te detecteren zullen zijn
Google heeft nog niet gereageerd op Dixons bevindingen. Die roepen de vraag op of VirusTotal in deze vorm moet blijven bestaan. Anderzijds is de dienst voor leveranciers van beveiligingssoftware wel van belang om nieuwe malwarevarianten te detecteren.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee