48 jaar malware - Change of the Game

Malware is niet van gisteren
11 juni 2019

Admin

Malware is een term die we dagelijks tegenkomen. In het nieuws, op fora, tijdens onze security analyses. Klanten vragen ons regelmatig naar de gevaren van malware en de noodzakelijke maatregelen. Maar wat is malware nu eigenlijk? Wat velen niet weten is dat malware geen nieuw fenomeen is waar cybercriminelen pas enkele jaren gebruik van maken. Sterker nog; malware bestaat al meer dan 48 jaar! In dit blog gaan we in op de geschiedenis en ontwikkelingen van malware. Ook bespreken we de toekomst van malware.

Malware - niets nieuws onder de zon

Malware; een term die tegenwoordig vaak voorbij komt. Daardoor lijkt het iets van de laatste tijd, maar dat is een misvatting. Het bestaat namelijk al sinds begin jaren 70 van de vorige eeuw. Voordat we wat uitgebreider op de geschiedenis vegen we eerst een prangende vraag van tafel: 'Wat is malware nu eigenlijk?'

De term malware is een samenvoeging van Malicious en software, vrij vertaald: kwaadaardige software. Een verzamelterm voor software die wordt ingezet om computersystemen binnen te dringen, deze te verstoren en data buit te maken.  

Odoo tekst en afbeelding blok

Terug in de tijd

In 1971  zag het eerste zelf replicerende programma de wereld, onder de naam Creeper verspreide deze worm zich over het ARPANET gebruikmakend van het TENEX OS. Creeper code was nog redelijk beschaafd door op de geinfecteerde systemen alleen een melding weer te geven (I'M THE CREEPER : CATCH ME IF YOU CAN). In 1974 maakt de wereld kennis met Rabbit, een zelf replicerend programma dat zich verdubbelt, een zogenaamde ForkBom. Door een ForkBom loopt het systeem snel vol met code waardoor uiteindelijk het systeem stopt met functioneren. Vervelend, maar het eerste echte virus in onze geschiedenis is een bootsector virus dat in 1981 het Apple DOS OS infecteerde door de bootsector van de diskettes te te overschrijven. Weer 3 jaar later deed het concept van backdooring zijn intrede toen Ken Thompson de C compiler dusdanig aangepast dat deze tijdens het compileren de backdoor code toe voegde. In 1986 presenteerde de Chaos Computer Club Virdem, het eerste type virus dat DOS executables kon infecteren.

Daarna volgden de ontwikkelingen zich snel op. In 1988 werd het Internet opgeschrikt door de Morris Worm, door een fout in de code was de worm zo effectief dat binnen 15 uur 2000 machines waren geïnfecteerd, uiteindelijk is 10% van het hele internet geïnfecteerd geweest door deze worm (!). In 1989 was er al sprake van ransomware, de AIDS trojan versleutelde alle bestanden op het systeem en liet de melding zien dat je de bestanden kon laten ontsleutelen door $189 over te maken naar een postbusfirma in Panama. In de jaren 90 is de inzet van kwaadaadige code in een stroomverstelling beland door de komst van "warez cd’s" (crazybytes, twilight) en het publieke internet. Eind jaren 90/begin 2000 deden de vbs-wormen en macrovirussen hun intrede, tevens zagen we hier de eerste versies van RAT software voor Windows verschijnen, Backorifice, Sub7 en Netbus deden hun intrede en maakten het mogelijk dat aanvallers de desktop van slachtoffers over konden nemen.

Odoo afbeelding en tekstblok

Van prestige naar verdienmodel

Van de jaren 70 t/m 90 waren ontwikkelaars van malware vooral bezig met het vergaren van prestige. Zij wilden vooral hun skills tonen. Het ging om erkenning. Om wie de expertise had om de kleinste, meest efficiente code te maken, wie het meest innovatief was, wie de meeste infecties kon bereiken met als uiteindelijk doel deze kennis te delen in groepen van gelijkgestemden. Tijdens de hoogtijdagen waren er ruim 100 groepen met bijbehorende magazines. Hoewel er behoorlijk wat coders betrokken waren, was het wereldje toen redelijk besloten. Geïnteresseerden moesten de weg kennen en van wanten weten om aan informatie te kunnen komen en de verkregen informatie te kunnen gebruiken. Er verschenen halverwege de jaren 90 wel een aantal virus generators die na een aantal keuzes de gewenste code genereerden, maar zelfs daar was diepgaande technische kennis nodig om de code om te zetten naar een uitvoerbaar bestand.

Vanaf de eeuwwisseling is er langzaam maar zeker een verschuiving gekomen in de groeperingen die malware inzetten. Sinds die tijd dient het vaak een verdienmodel afhankelijk van het doel van de partij die de malware inzet. De hoofdzakelijke doelen die we nu zien, zijn spionage en ordinair geld verdienen. Er zijn verschillende gevallen bekend van ransomware waar software bestanden en zelfs hele schijven versleuteld om een geldbedrag van het slachtoffer te ontvangen. Wannacry, Petya en SamSam zijn een aantal goed geslaagde exemplaren die de krantenkoppen haalden. Het Stuxnet uit 2010 is een duidelijk voorbeeld dat ook overheden malware inzetten om een doel te bereiken. Wat de bron van Stuxnet is, is vooralsnog alleen giswerk. Het is wel duidelijk dat het doel het saboteren van het atoomprogramma in Iran was. NotPetya is ook een voorbeeld waar het er sterk op lijkt dat deze malware in opdracht van een bepaalde overheid is ingezet om sporen van spionage te wissen. Er zijn sterke aanwijzingen dat er een overheid achter zit die belangen heeft in de Oekraïne.

De toekomst van malware

We kunnen nog heel veel problemen met malware verwachten. IOT speelt een steeds grotere rol in in ons dagelijks bestaan, niet alleen de smart watches en smart televisies die zich aansluiten op het internet maar ook onze verlichting, de energiestromen in ons huis, van zonnepaneel tot thermostaat, de auto en wie weet wat nog meer? Mirai is een botnet worm, die 2016 gebruikt is om IOT cameras en cosumentenrouters in te zetten als DDOS bots.  Tot op de dag van vandaag blijven er nieuwe varianten van Mirai verschijnen om matig beveiligde IOT devices aan te vallen. Met de wildgroei van (budget) IOT devices zetten we onbewust de deur open. Gemak dient de mens maar zeker ook de groei van malware!


Odoo tekst en afbeelding blok

Lees meer artikelen van Glasswall