Sluwe malware vermijdt detectie door muisgebrek

Moderne malware weet detectie door securitybedrijven te herkennen en vermijden. De truc om honeypots te omzeilen? Het feit dat die (vaak virtuele) machines geen muis gebruiken.

Symantec somt sluwe middelen op die malwaremakers inzetten om geautomatiseerde detectiesystemen van securityleveranciers te vermijden. Zogeheten honeypot-systemen moeten malware-infecties aantrekken om de kwaadaardige software dan te kunnen analyseren. Vervolgens gebruiken onderzoekers die informatie om tegenmiddelen te ontwikkelen en zo snel mogelijk door te voeren in security-producten.

Zich koest houden
Technisch gezien vermijdt dergelijke sluwe malware de honeypots niet, maar wordt het niet actief op dergelijke systemen. "Als malware zichzelf kan verbergen voor geautomatiseerde systemen voor de detectie van threats dan kan het opgaan in de miljoenen sample-bestanden", blogt Symantec. "Antivirusapplicaties zijn dan mogelijk niet in staat om uit te vogelen dat de code kwaadaardig is."

Malware is al geruime tijd in staat om te detecteren in wat voor omgeving het draait; niet alleen besturingssysteem en versie, maar ook virtueel of niet. Met name de detectie van virtualisatie als ondergrond voor een besmet systeem blijkt nuttig om detectie te voorkomen.

Muis- en/of videodrivers
Zo controleert moderne malware op de aanwezigheid van drivers voor muizen en videokaarten. Virtuele omgevingen hebben die namelijk niet van zichzelf geïnstalleerd staan. Naast deze voor de hand liggende verkenning zijn er nog andere manieren om virtuele omgevingen waar te nemen. Daaronder ook de aanwezigheid van bepaalde analysetools, die eveneens in gebruik kunnen zijn door systeembeheerders.

Symantec meldt twee nieuwe middelen, tenminste nieuw uitgevoerd door malwaremakers. Ten eerste blijkt sluwe malware concrete muisactiviteit te gebruiken als trigger om actief te worden. Aanwezigheid van een muisdriver, maar gebrek aan muis-input duidt erop dat de malware zich niet op een 'echte' computer met echte gebruikers bevindt. Het blijft vervolgens inactief.

Sluipmalware
Een tweede, verfijnde methode is het langzaamaan doen. Zodra de kwaadaardige code draait, wacht het met echt iets doen. Een toch, langs andere weg, gedetecteerd stuk malware wacht maar liefst vijf minuten voordat het zijn kwaadaardige lading uitpakt. Vervolgens wacht het maar liefst twintig minuten voordat het die payload uitvoert, waarna het weer twintig minuten wacht voor de volgende stap.

"Geautomatiseerde threat analysis-systemen spenderen maar een kleine hoeveelheid tijd aan elk bestand, dus kunnen ze deze code mogelijk niet detecteren als zijnde malware", legt Symantec uit. Volgens de leverancier zijn er in 2011 zo'n 400 miljoen nieuwe malwarevarianten geschapen. Dat komt gemiddeld neer op 33 miljoen stuks per maand, ofwel 1 miljoen per dag.