Symantec heeft haar jaarrapport over 2009 uitgebracht, het Internet Security Threat Report, met daarin alle cijfers over de verschillende bedreigingen en de trends daarin. Welke virussen zijn het meest gesignaleerd, van waaruit werden aanvallen gelanceerd, waar worden de botnets gehost, hoeveel verschillende nieuwe virussen zijn er ontdekt, en nog een aantal van dit soort rijtjes. Het persbericht van Symantec meldt als hoogtepunten het toenemend aantal gerichte aanvallen en dat cybercrime makkelijker is dan ooit door het gebruik van toolkits.

Nederland komt een aantal keer in een top 10 voor, maar nooit hoger dan de vijfde plaats en altijd op straatlengte afstand van de winnaars. “Specifiek voor Nederland staat er niets spannends in”, zegt ook Tom Welling van Symantec. “Nederland draait een beetje mee in de middenmoot.” Maar hij signaleert wel een belangrijke ontwikkeling ten opzichte van 2008. Het aantal signatures van virussen dat de antivirusfabrikant heeft verspreid is dramatisch groter geworden. In 2008 waren er 1,6 miljoen nieuwe signatures, in 2009 2,9 miljoen. Dat is bijna twee keer zo veel.

Singletons

Achter die 2,9 miljoen signatures gaan 240 miljoen nieuwe kwaadaardige codes schuil. Dat betekent dat er gemiddeld 80 varianten ondervangen worden door één definitie. Maar er zijn ook signatures die maar één virus definiëren. En dat is de belangrijkste trend die Tom Welling ziet. Hij heeft het dan over de toename van het aantal 'singletons'. “Singletons zijn virussen die we maar één keer tegenkomen. Het zijn virussen die voor een specifiek doel geschreven zijn, voor één enkele aanval op één persoon. Of het zijn natuurlijk mislukte virussen, dat kan ook”, legt hij uit. Hoeveel singletons er precies tussen die 240 miljoen nieuwe virussen zitten, kan Welling niet zeggen, maar hij weet wel dat het er steeds meer worden.

I won't be back

Die singletons vormen een probleem voor antivirus die op signatures is gebaseerd. Want als een virus maar één keer voorkomt, dan is de aanval die je signaleert de enige die ertoe doet. De signature die je vervolgens naar je product uploadt, staat daar als mosterd na de maaltijd niets te doen. Blacklisten heeft met singletons dus geen zin.

Ook bij GData zien ze deze trend, vertelt Eddy Willems. Alleen noemen ze deze malware daar geen singletons, maar oneliners. “Dat is inderdaad een trend die zich steeds meer begint door te drukken, dat is ook onze opvatting”, zegt Willems. Deze oneliners worden vooral ingezet bij targeted attacks, legt hij uit, die op bepaalde bedrijven of op een bepaald persoon zijn gericht.

Ook Gdata geeft aan dat detectie van deze virussen een probleem vormt. Bij de bestrijding ervan moeten ander technieken worden ingezet dan signatures. GData gebruikt heuristics die kijken naar het profiel van de software. Symantec heeft er ook iets op gevonden, vertelt Welling. “Wij bieden reputation based technology. Daarmee kijken we naar de herkomst van een file, en de manier waarop het binnenkomt en nog een aantal andere factoren. Als het dan een flash-ding is van een onvertrouwde plaats, dan kunnen we de gebruiker tenminste waarschuwen. Vervolgens is het zijn eigen verantwoordelijkheid of hij het opent of niet.” Beide beveiligers benadrukken wel dat dit complementaire technieken zijn, die samen met blacklisting moeten worden ingezet.

Botnets

Een andere verontrustende trend die Tom Welling ziet is verbonden aan een positief punt in het rapport. Symantec ziet steeds minder botnets. “Maar dat hoeft niet te betekenen dat ze er niet meer zijn. Het kan ook zijn dat we ze niet meer zien”, zegt hij. Virussen als Conficker kunnen ze makkelijk meten, omdat die zich verspreiden via het netwerk. Maar malware die zich drive by verspreidt door een lek in een browser of plugin is minder makkelijk te traceren, omdat het geen gebruik maakt van het netwerk.

Ook Willems ziet een veranderend gebruik van botnets. “Botnets zijn niet van de baan”, stelt hij. “Er is wel een daling, maar geen zware. Je ziet alleen niet meer van die hele grote en bekende, zoals Conficker.” Maar er is volgens Willems wel een verschuiving in de trend. “Botnets worden tegenwoordig steeds meer gebruikt ter ondersteuning van de gerichte aanvallen. De botnets zorgen voor de financiering van de gerichte aanvallen.” Er zijn duidelijke links tussen de verschillende activiteiten, dat is volgens Willems gebleken uit onderzoek van de verschillende opsporingsdiensten waar GData contact mee heeft, die de grotere verbanden zien tussen de verschillende criminele activiteiten. Dat maakt weer eens extra duidelijk dat er een hele economie schuilt achter de cybercrime, stelt Willems.

Volg de auteur op Twitter voor meer nieuws Bron: Techworld