Blog - Adequate aanpak van antivirus

Door Robert Metsemakers 18 feb 2022

Op elke computer een antivirusprogramma installeren is geen slecht idee – maar ook geen perfect idee. Hieronder licht ik de voor- en nadelen van diverse aanpakken toe.

Veel antivirusprogrammatuur werkt door te letten op iets kenmerkends dat de broncode van het computervirus in zich heeft. Dit noemen we signature (handtekening) gebaseerd. Natuurlijk zijn alleen bekende handtekeningen te herkennen en deze soort AV-programmatuur loopt dus altijd achter de feiten aan. Zeker wanneer de malware-ontwikkelaars nieuwe varianten van de virussen programmeren. Door ‘obfuscatie’ veranderen zij de broncode, waarbij de kwaadaardige functionaliteit hetzelfde blijft. Obfusceren kan met geautomatiseerde tools of gewoon met de hand, bijvoorbeeld door een andere programmeertaal te gebruiken of alle variabelen, processen en labels in de broncode een nieuwe naam te geven. De oude handtekeningen (als een soort ‘spikes’) zijn dan niet meer te signaleren.

Schijnzekerheid
Op sommige websites kun je als eindgebruiker verdachte software uploaden om deze te laten analyseren. Bijvoorbeeld www.virustotal.com meldt of een aantal populaire AV-programma’s in de aangeboden versie van de software een virus herkennen. Het is een soort parallelle PCRtest. Ook hier geldt dat een dergelijke scan-website nooit actueler kan zijn dan de individuele voortdurende bijgewerkte handtekeninglijsten van de door hen gebruikte AVsoftware. Als de in die lijsten gebruikte handtekeningen te kort of te algemeen zijn (bijvoorbeeld: in de broncode van het virus komt de letter A voor), wordt te veel software als virusverdacht aangemeld. Dit geeft veel 'false positives' over 'besmettingen' en leidt daarmee tot onnodige paniek. Langere en specifiekere handtekeningen geven bij een gevonden infectie meer zekerheid dat het werkelijk een bepaald virus is. Maar zeer specifieke handtekeningen hebben, in elk geval bij nieuwe virusvarianten, als bijwerking veel 'false negatives'. In de virusbestrijding zijn die door de gewekte schijnzekerheid nog gevaarlijker.

Boeven testen hun malware ook
Bovendien testen eerdergenoemde boeven (de kwaadwillende ontwikkelaars) hun malware zelf ook bij Virustotal. Om met de testresultaten hun virus net zolang bij te stellen en te schaven totdat het niet meer herkend wordt door de selectie van AV-pakketten bij die scan-website. Als consument ben je dus soms beter af met een onbekend AV-pakket van een kleine, beginnende leverancier. Omdat die een (nieuw) virus dat precies de door Virustotal gebruikte checks weet te omzeilen, wel herkent.

De schijnzekerheid van ‘de meervoudige virusscanner zag niks, dus ik ben veilig’ kan helaas nog verergeren. Namelijk wanneer Virustotal de selectie door hen gebruikte AV-pakketten ooit zou beperken tot slechts één super-AV-pakket. Consumenten zouden vervolgens wereldwijd ook massaal kunnen kiezen voor dit ene AV-pakket, als ‘beste keuze volgens de Consumentenbond’. Dat is zeker zo wanneer internationale overheden daarbij hun onderdanen met boetes, hogere premies en belastingen en gevangenisstraf zouden stimuleren om voor dat ene pakket te kiezen. Ik zeg niet dat een dergelijke monocultuur totaal niet werkt tegen virussen. Maar wel dat hij niet altijd zal blijven werken. Met name niet wanneer een (nieuw) virus opduikt dat juist dat ene - tegen die tijd door iedereen gebruikte AV-pakket - weet te omzeilen.

Blij met eigenwijze mensen
Om het bestaan van een nieuw virus te ontdekken, ben je soms blij dat er nog eigenwijze mensen zijn die een ander AV-programma gebruiken dan de ‘global standard’. En die niet op vreemde linkjes klikken, nooit ongevraagde software installeren maar zelf steeds verdacht gedrag van hun computer monitoren en daarop actie ondernemen. Zoals de verdachte computer loskoppelen van het (draadloze) netwerk en het apparaat in complete isolatie of quarantaine plaatsen en dus ook geen ‘sneakerinterface’ naar andere computers via USB-sticks gebruiken. Ook zijn er gebruikers die zelfs onbaatzuchtig een computer volledig onbeschermd als 'honeypot' aan het internet koppelen. We mogen hen dankbaar zijn, omdat ze helpen om nieuwe virussen te ontdekken. Je vangt immers meer vliegen of tijgerhorzels met honing dan met azijn.

Heuristische AV-aanpak
Er is nog een andere aanpak in de virusbestrijding: AV-pakketten die niet zoeken naar de aanwezigheid van bepaalde handtekeningen, maar juist het gedrag van het virus monitoren. Dit is de heuristische AV-aanpak. Worden meteen na installatie alle mailadressen op de computer opgehaald door een niet-mailpakket? Zijn er veel lees- en schrijfacties naar de harde schijf (of naar het intern geheugen bij 'fileless malware')? Worden daarbij bestanden opgehaald, bewerkt (lees: versleuteld) en meteen daarna opgeslagen, zoals ransomware dat doet? Deze gerichte aanpak van verdacht gedrag is in mijn ogen een betere manier van virusbestrijding. Het is trouwens ook doeltreffender bij security awareness en gedragsverandering, waarover ik al eerder schreef.

Inderdaad, ook heuristische antivirus-programmatuur kan na verloop van tijd verdacht gedrag gaan missen, wanneer het een totaal nieuwe aanvalstechniek of ‘modus operandi’ is. Maar als de verdachte gedragingen op voldoende abstracte niveau zijn gedefinieerd, veroudert deze test op virus-activiteit veel langzamer dan een beveiliging gebaseerd op virus-(deel)identiteit. En worden nieuwe virussen met het oude gedrag nog steeds onderkend, zodat tijdig mitigerende actie mogelijk is. En dat is in computervirusbestrijding 'positief' (excusez le mot).

Robert Metsemakers



Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com

Dit blog verscheen in IB1-2022.