'2014 kenmerkt zich door minder Java zero-day exploits'

december 10, 2013   Nieuws
2014 zal zich kenmerken door onder andere minder Java zero-day exploits. De zero-day exploits die wel gevonden worden zijn voornamelijk browser-gebaseerd. Daarnaast zal het aantal watering-hole aanvallen naar verwachting de hoeveelheid spear-phishing aanvallen overtreffen. Mobiele malware maakt een snelle opkomst door, wat het beveiligingslandschap een stuk complexer zal maken. Dit stelt beveiligingsbedrijf FireEye is een vooruitblik op komend jaar.
'2014 kenmerkt zich door minder Java zero-day exploits'
FireEye doet in totaal vijftien verschillende voorspellingen voor 2014. De volledige lijst is hieronder te vinden:
  • Geavanceerde threat actors blijven zich verschuilen achter traditionele en veel verkochte crimeware. De cybercriminelen zijn hierdoor lastig te identificeren door netwerkbeveiligers.
  • De hoeveelheid binaire aanvallen die gebruik maken van zowel gestolen als geldige signatures zal toenemen. Malware gebruikt deze signatures als vermomming, wat de software in staat stelt eenvoudig langs traditionele antivirussoftware te glippen.
  • Mobiele malware vormt een toenemende dreiging en gaat een grotere rol spelen in het cybercrime-landschap. Hybride dreigingen die zowel desktop als mobiele apparaten gaan inzetten tijdens een aanval zullen steeds meer opduiken. Denk hierbij bijvoorbeeld aan bevestiging via SMS. Cybercriminelen volgen de populariteit van mobiele apparaten. Met de enorme toename van het gebruik van smartphones en tablets verwacht FireEye dan ook een aanhoudende focus op mobiele apparatuur.
  • De hoeveelheid Java zero-day exploits neemt komend jaar af. Ondanks de relatief eenvoudige ontwikkeling van een dergelijke exploit, is er na februari 2013 geen nieuwe versie meer geïntroduceerd. De reden hiervoor is onduidelijk. Als mogelijke oorzaken noemt FireEye de beveiligingswaarschuwingen in Java 1.7 en de toegenomen aandacht van ‘white-hat’ beveiligingsonderzoekers. Een andere reden voor de afname van het aantal zero-day Java exploits is volgens het bedrijf dat er steeds minder mensen gebruik maken van de kwetsbare varianten van Java. Dit gegeven maakt het voor exploitontwikkelaars minder aantrekkelijk om te zoeken naar mogelijke bugs om te misbruiken.
  • Kwetsbaarheden in browsers zullen vaker worden ingezet. Aanvallers worden steeds beter in het omzeilen van ASLR (Address Space Layout Randomization) in de browser. In tegenstelling tot het lage tempo waarin nieuwe Java-exploits worden gevonden en gebruikt, neemt het aantal zero-day aanvallen dat gebruik maakt van kwetsbaarheden in browsers snel toe.
  • Malware-ontwikkelaars gaan vaker geheime technieken bij command-and-control (CnC) communicatie gebruiken. Via legitieme protocollen omzeilen de cybercriminelen communicatie, terwijl legale internetdiensten en bijbehorend internetverkeer worden ingezet om niet te worden ontdekt. Deze verschuiving van technieken is een direct resultaat van de toenemende hinder die malware-ontwikkelaars ondervinden van netwerkbeveiliging.
  • Watering-hole en social media-aanvallen verdringen spear-phishing e-mails steeds verder naar de achtergrond. Watering-holes en social media netwerken bieden naar verwachting een soort van neutrale zone waardoor slachtoffers minder op hun hoede zijn. Vertrouwen is hierbij bijna geen obstakel, waardoor het in de val lokken van een slachtoffer daarom weinig inspanning vergt.
  • Steeds meer malware weet zijn weg te vinden naar de productieketen. FireEye waarschuwt dan ook dat er rekening moet worden gehouden met een toenemende hoeveelheid kwaadaardige codes in BIOS- en firmware-updates.
  • Vanwege de ‘click to play’ beperking van Adobe Flash, zullen er nieuwe heap-spray technieken worden ontwikkeld. Zo is Flash de laatste maanden meerdere keren ingezet voor spray the heap, een techniek om het uitvoeren van willekeurige codes te vereenvoudigen. Sinds de laatste Flash-update van Adobe, waarin ‘click to play’ werd geïmplementeerd, werkt deze techniek echter niet meer. Dat hier snel op in wordt gespeeld, blijkt volgens FireEye uit de meest recente zero-day docx/tiff exploit. Deze exploit maakte geen gebruik meer van Flash.
  • Aanvallers zoeken naar nieuwe manieren om geautomatiseerde (sandbox) analysesystemen te omzeilen. Zo worden gebruikers aangespoord hun machine opnieuw op te starten, applicaties af te sluiten, door te klikken met de muis, etc. Deze nieuwe ontwikkelingen zullen malware veel krachtiger maken.
  • Steeds meer crimeware zal de besturingssystemen van gecompromitteerde systemen als laatste stap van een aanval vernietigen. Cybercriminelen doen dit om hun sporen uit te wissen en een mogelijke arrestatie te voorkomen. Ze maken hiervoor gebruik van een nieuwe functie in de malware Zeus.
  • Er zullen in 2014 meer ‘digitale kwartiermakers’ achter gerichte aanvallen zitten. Sunshop DQ is volgens FireEye dus slechts het begin. Meer threat actors centraliseren hun ontwikkeling en logistieke activiteiten om hiermee schaalvoordeel te creëren en malware te industrialiseren.
  • Cybercrime wordt steeds persoonlijker. Cybercriminelen zullen steeds vaker inzien dat specifieke informatie veel waardevoller is dan algemene data. Als gevolg van deze ontwikkeling zien we steeds meer aanvallen waarbij de focus ligt op het verkrijgen van hoogwaardige en zeer gevoelige gegevens.
  • FireEye verwacht dat het detecteren van geavanceerde malware langer gaat duren. De tijd die bedrijven hiervoor nodig denken te hebben verschilt, maar ligt tussen de 80 en 100 dagen voor detectie en tussen de 120 en 150 dagen voor het oplossen. Malware verschuilt zich volgens FireEye steeds beter. Het is dan ook zeer waarschijnlijk dat niet alleen detectie moeilijker wordt, maar ook het vinden van een oplossing langer zal duren.
  • Steeds meer organisaties werken wereldwijd samen in de strijd tegen cybercriminaliteit. Dankzij deze samenwerking zullen meer bendes worden geïdentificeerd en gearresteerd.