WannaCry: Anti-virus is niet voldoende

Ondanks dat bijna elke organisatie antivirussoftware gebruikt, zijn er veel slachtoffers van de WannaCry-ransomware.

De anatomie van een aanval

Als we kijken naar de bedreigingen van vandaag, is vertrouwen op antivirus gewoon niet meer genoeg. Technieken voor het omzeilen van antivirusprogramma’s worden steeds geavanceerder en gebruiksvriendelijker, waardoor het zeer moeilijk te detecteren is. Om de infectietechniek van de hedendaagse aanvallen te begrijpen, moeten we de anatomie van een aanval kennen. Deze bestaan uit de volgende onderdelen: Een kwetsbaarheid, een exploit en een payload.

WannaCry: Anti-virus is niet voldoende

De kwetsbaarheid

De kwetsbaarheid is het deel van de software dat de beveiligingsfout bevat. De WannaCry-malware maakt gebruik van een kwetsbaarheid in de Windows SMB-service. Deze kwetsbaarheid werd al vroeg ontdekt door de NSA en werd gebruikt om organisaties en buitenlandse regeringen te infiltreren. Nadat de The Shadow Brokers de aanstootgevende NSA-tools hadden gelekt, begonnen malwaremakers deze te implementeren.

De exploit

De exploit is de code die door de hacker is geschreven om misbruik te maken van het beveiligingslek. Het is een klein stukje computercode dat in dit geval leidt tot een mogelijkheid om controle over de computer te krijgen.

De payload

Zodra de aanvaller de computer onder controle heeft, is het tijd om de computer te vertellen wat hij ermee moet doen. Dit noemen we de payload. Toen de NSA deze Zero Day gebruikte, werd het hoogstwaarschijnlijk gebruikt om backdoors in te zetten. De WannaCry-malware gebruikt deze kwetsbaarheid echter om alle bestanden op de computer te versleutelen.

WannaCry-infectie

Nu we de anatomie van de aanval kennen, kunnen we het gebruiken om het te voorkomen. De beste manier om een aanval te voorkomen, is door de kwetsbaarheid te verwijderen. Dit kan eenvoudig door de Microsoft-updates te installeren.

De meeste malware, ransomware en zelfs de meerderheid van de “Advanced Persistent Threats” gebruiken kwetsbaarheden met openbaar beschikbare exploits. Zelfs de meest actuele dreiging, de WannaCry-ransomware, maakt gebruik van een algemeen bekende exploit binnen de Windows SMB-service. Microsoft heeft in maart een patch voor deze fout uitgebracht, wat betekent dat infectie voorkomen had kunnen worden door correct patchbeheer.

Kwetsbaarheden kunnen ook worden geïntroduceerd door andere gebreken dan verouderde software, bijvoorbeeld een verkeerde configuratie van software. Door het implementeren van een Vulnerabilities proces worden bekende kwetsbaarheden zichtbaar en kunnen deze worden geadresseerd. Zelfs als het patchbeheerproces is geïmplementeerd en correct werkt, moet kwetsbaarheidsbeheer worden uitgevoerd om de juiste implementatie van de patches te controleren. Als er geen kwetsbaarheid is, hebben aanvallers niets om uit te buiten en zullen aanvallen niet succesvol zijn.