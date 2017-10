"We zien bijna iedere dag dat er een nieuwe exploit of onbekende malware het netwerk binnenkomt", zegt Steven Lentz, CSO bij Samsung Research. "We houden diverse dingen tegen met de beveiligingsmiddelen die we hebben, in het netwerk of bij het endpoint." Maar hij maakt zich vooral zorgen over bestandsloze aanvallen, ook bekend als 'zero-footprint', 'macro', 'fileless' of 'non-malware' aanvallen.

Zero-footprint?

Dit soort aanvallen installeert geen nieuwe software op computers van slachtoffers, waardoor de meeste beveiligingstools ze niet opmerken. Ze werken bovendien ondanks whitelisting. Daarmee worden alleen enkel vooraf goedgekeurde installaties uitgevoerd, maar dit type malware maakt misbruik van applicaties die reeds zijn geïnstalleerd en worden goedgekeurd.

De termen 'bestandsloos', 'zero-footprint' en 'non-malware' zijn eigenlijk niet helemaal juist, want ze laten sporen en bestanden na nadat gebruikers malafide bijlages hebben geopend. "Zelfs als malware zich niet installeert op harde schijven, laat de aanval sporen na", zegt FireEye-analist Cristiana Brafman Kittner. "Daarnaast omzeilen ze antimalware niet volledig, omdat de software nog steeds malafide links of bijlages kan herkennen, zelfs als er geen executable wordt geïnstalleerd."

Via gastlaptops binnen

Slechteriken beseffen dat ze met bestandsloze aanvallen een grotere kans hebben om binnen te komen. "Hier zit de echte bedreiging", zegt Lentz. Samsung Research gebruikt systemen die op gedrag letten om het netwerk te beveiligen. Zo 'herkent' het netwerk als gebruikers buiten het interne systeem om zijn geïnfecteerd dat er malware wordt gebruikt, aan de hand van bijvoorbeeld ongebruikelijke informatiestromen. "We zagen bijvoorbeeld keyloggers en wachtwoordstelers op laptops van gasten."

De hoeveelheid bestandsloze malware is in 2016 binnen een jaar tijd gegroeid van 3 naar 13 procent, zegt Mike Viscuso, CTO van Carbon Black. "En het blijft groeien. We zien dat één op de drie infecties een bestandsloos component heeft." Omdat niet alle klanten aanvallen blokkeren, maar alleen een melding willen, vermoedt de CTO dat bestandsloze aanvallen een nog hogere succesratio hebben.

Lokgegevens

Sommige klanten gebruiken honeypots of laten zelfs delen van het netwerk opereren zonder gedraggebaseerde bescherming, speciaal om te zien waar aanvallers mee bezig zijn en hoe ze hun methodes escaleren. "Zo zorgen ze ervoor dat de het belangrijkste deel van de omgeving is voorbereid op de aanval", aldus Viscuso.

Hierna: Toolkits die het simpel maken deze malware te ontwerpen zorgen voor een revolutie bij criminelen.