28 november 2008

Symantec-dochter MessageLabs voorspelt malware die zich als hypervisor gedraagt. Een logische maar gevaarlijke stap. De leverancier van hosted security, sinds oktober onderdeel van Symantec, heeft deze week de Security Predictions voor 2009 gepubliceerd. In het het rapport schrijft MessageLabs dat cybercriminelen bezig zijn met het schrijven van malware die als hypervisor functioneren. '[The most] sophisticated [malware] will take the form of hypervisor technology, where the malware will exist as a virtualization layer running directly on the hardware and intercepting some key operating system calls. This will mean that the 'real' operating system, will be unaware of the existence of the underlying malware'. 'We hebben dergelijke malware nog niet in het wild gezien, het is dan ook een voorspelling', zegt Maksym Schipka, senior architect bij MessageLabs, tegenover Techworld.nl. 'We zien wel tekenen dat het eraan zit te komen, en de stap naar het hypervisorniveau is een logische voor malware om te nemen. Een pakket als Mebroot kan bijvoorbeeld al doordringen tot het master boot record'. Malwaremakers experimenteren volgens Schipka al driftig met type-1 (bare metal) hypervisortechnologie. 'Malware bestaat tegenwoordig vaak uit aparte componenten; eentje voor de verspreiding, eentje die het geheel verbergt, eentje voor de payload enzovoorts'.

Het bouwen van een hypervisor, zeker een type 1 hypervisor, is een lastige klus, maar dat is ook helemaal niet nodig. 'Het is niet alsof de malwareschrijvers een volledige hypervisor hoeven te ontwikkelen. Omdat het onder de OS opereert, kan directe toegang tot verschillende hardwarecomponenten worden overgelaten aan het besturingssysteem. Dat neemt criminelen werk uit handen', zo zegt Schipka. Malwaremakers zullen zich vooral op Windows richten, maar omdat hypervisors onafhankelijk van besturingssystemen zijn, is het volgens Schipka mogelijk om bijvoorbeeld ook op Unix-achtigen te mikken. 'Vooral oudere versies van Windows zouden in de problemen kunnen komen, omdat deze schijftoegang op sectorniveau mogelijk maken', aldus Schipka. 'Met Vista is dat gelukkig niet meer mogelijk, dus daar zullen de criminelen het moeilijker door krijgen'. Doordat de malware slechts een klein gedeelte van de systeemtaken overneemt is het extreem lastig om deze te detecteren. De enige herstelmogelijkheid is in dat geval een volledig nieuwe systeeminstallatie. 'En ook dat zal niet altijd werken', waarschuwt Schipka. 'Het is moeilijk te zeggen of dat het geval is, maar het kan zijn dat het domweg uitrollen van een nieuwe image niet genoeg zal zijn'. MessageLabs voorspelt verder nog een aantal ontwikkelingen, zoals: 'Malware-as-a-Service', die het voor de 'slechterikken' mogelijk maakt 'to request the type of malware they are seeking from an automated system and have it delivered instantaneously'. Daarnaast zal gepersonaliseerde span aanzienlijk toenemen: 'Social networking sites will continue to be phished but in a much more professional way with a goal of collecting as much personal information and information surrounding a person’s social network as possible to enable highly targeted and personalized spam. In 2009, spam will include proper names and will be segmented according to demographic or market. These same messages will be shorter with less content to filter and some will resemble legitimate newsletters and other special offers'. En tenslotte voorspelt het bedrijf 'Mobile Mayhem': 'Attacks disguised as free application downloads and games have already targeted new smartphones in 2008. While these threats were more prank-like than truly malicious, 2009 will see mobile attacks become more malicious as criminals devise ways to make money by exploiting these devices further. …. criminals will target mobile users in the same way, autodialing SMS texts to such numbers with the intent of bilking credit

from the mobile user’s account'. Het wordt een enerverend malware jaar, dat 2009….