Zo gebruiken hackers antivirussoftware om toegang te krijgen tot computers

Wie denkt dat antivirussoftware de natuurlijke vijand is van hackers, heeft het mis. Een slimme hacker kiest de frontale aanval en kaapt het antivirusprogramma.

Eerst ziet u het vertrouwde scherm van uw antivirusprogramma: alles is in orde, uw computer is in veilige handen, alle seinen staan op groen. 'Zal ik al uw bestanden versleutelen?', vraagt de virusscanner. U twijfelt even, maar hé, uw persoonlijke beschermheer zal het wel weten.

Dan toont uw poortwachter ineens zijn janusgezicht. Het geruststellende groen is rood geworden en alarmerende mededelingen dringen om voorrang. U bent gekaapt, uw computer is geïnfecteerd, uw bestanden worden versleuteld zodat u er niet meer bij kunt. Of, erger nog, vernietigd. En dat alles ook nog eens door toedoen van de software die er juist voor moet zorgen dat zulke rampen zich níét voltrekken.

Een denkbeeldig scenario? Niet helemaal. Beveiligingsbedrijf Cybellum liet onlangs een zogenoemde proof of concept zien waarbij precies dit gebeurde. Alle bekende antivirusmakers (Norton, F-Secure, Kaspersky, McAfee, noem maar op) zijn volgens dit beveiligingsbedrijf kwetsbaar voor een nieuw lek, DoubleAgent genaamd. Deze dubbelagent kan elk programma aanpassen in Windows, maar Cybellum koos ervoor zich te richten op antivirussoftware.

Uit publicitair oogpunt logisch, want als er iets is wat de consument vertrouwt, is het wel zijn antivirussoftware. Deze beschermt hem immers in de donkere hoeken van cyberspace. Niet dus. Niets is veilig voor cybercriminelen, ook de software niet die er voor dient uw computer veilig te laten functioneren. Het is alsof de slotenmaker hoogstpersoonlijk alle deuren van uw huis openzet en zijn criminele vriendjes uitnodigt om uw drankvoorraad soldaat te maken, dan de boel kort en klein slaat en er uiteindelijk met uw dochter vandoor gaat. O ja: hij zet ook nog even nieuwe sloten op uw huis en houdt de sleutels zelf.

De boodschap van de beveiligers is duidelijk: zodra DoubleAgent in actie komt, kan elk programma zo worden aangepast dat het alles kan doen. In theorie. Er is ook goed nieuws: deze zero day (een lek dat nog niet bekend is bij de softwaremaker) is in handen van een beveiligingsbedrijf dat, moeten we aannemen, het beste met de wereld voorheeft. En niet in handen van kwaadwillende hackers die het op uw computerbestanden hebben voorzien. Cybellum heeft de fabrikanten ruim van te voren op de hoogte gesteld van het nieuwe lek. Een aantal van hen heeft dan ook een patch uitgebracht die het lek in hun software dicht. U bent dus weer even veilig, in elk geval voor DoubleAgent.

Een van de fabrikanten die zo'n patch hebben uitgebracht, is Trend Micro. 'We nemen dit heel serieus', zegt technisch directeur Albert Kramer. 'Ook al is het een theoretisch probleem, het is een terechte waarschuwing.' Het is naïef te denken dat antivirussoftware per definitie veilig is, zegt hij. 'Voor alle software geldt: er kunnen altijd lekken in zitten, hoe goed je het ook controleert. Het gaat immers om heel veel regels code. Niets is honderd procent veilig. Je mag wel aannemen dat makers van beveiligingssoftware extra hun best doen.' Toch ziet ook Kramer dat hackers zich steeds vaker op juist deze software richten.

Maar waarom dan? Waarom geen makkelijker slachtoffer uitgekozen? Volgens 'ethisch hacker' (een hacker die aan de goede kant staat) Edwin van Andel van Zerocopter is het juist 'heel slim' dat criminelen naar antivirussoftware kijken. 'Het is een constante strijd tussen softwaremakers en aanvallers. Vroeger richtten hackers zich op Windows, omdat dat nu eenmaal door iedereen wordt gebruikt. Maar Windows werd veiliger en mensen werden zich meer bewust van de risico's. Toen kwam Internet Explorer in beeld. Zelfde verhaal. Daarna Office. Programma's kortom die door iedereen worden gebruikt. Maar ook voor Office geldt: gebruikers worden achterdochtig en installeren niet meer zomaar alles.

En nu vragen hackers zich af: wat heeft iedereen nog meer op zijn pc? Juist, antivirussoftware. Bijkomend voordeel is dat mensen deze software bij uitstek vertrouwen. Ze zijn dus eerder geneigd om op 'ok' te klikken als die programma's iets opperen.

Ook Kramer herkent dit beeld: 'Firewalls en antivirusprogramma's zitten nadrukkelijk in de aandachtsgebieden van hackers. We zijn in beeld, om het zo maar te zeggen. Ik snap dat wel; als hackers toegang hebben tot onze software, kunnen ze alles. En de gebruiker wordt totaal op het verkeerde been gezet.'

Trend Micro heeft geen aanwijzingen dat het door Cybellum naar buiten gebrachte lek in het wild is opgedoken zodat criminelen er misbruik van hebben kunnen maken. 'Maar helemaal zeker weten doe je dat nooit.'

Tot die tijd blijft het dus oppassen. Niet zomaar overal op klikken en usb-sticks voor gebruik altijd scannen.

Hoe werkt DoubleAgent?

DoubleAgent maakt gebruik van een ouder Windows-programma (Application Verifier genaamd) dat juist bedoeld is om programmeurs te helpen hun software beter te maken. Hiermee kunnen bestanden in die software worden vervangen. Maar het kan ook misbruikt worden door software met kwaadaardige bestandjes te laten infecteren. Dat gaat gelukkig niet zomaar. Belangrijkste voorwaarde is dat de computergebruiker zogenoemde admin-rechten heeft en zelf programma's mag installeren. Dat maakt het vooral tot risico voor thuisgebruikers. Verder moeten aanvallers toegang zien te krijgen tot een systeem. Dat kan bijvoorbeeld via een besmette usb-stick of via een link naar een aangepaste site.

DoubleAgent maakt gebruik van een ouder Windows-programma (Application Verifier genaamd) dat juist bedoeld is om programmeurs te helpen hun software beter te maken. Hiermee kunnen bestanden in die software worden vervangen. Maar het kan ook misbruikt worden door software met kwaadaardige bestandjes te laten infecteren.

Dat gaat gelukkig niet zomaar. Belangrijkste voorwaarde is dat de computergebruiker zogenoemde admin-rechten heeft en zelf programma's mag installeren. Dat maakt het vooral tot risico voor thuisgebruikers. Verder moeten aanvallers toegang zien te krijgen tot een systeem. Dat kan bijvoorbeeld via een besmette usb-stick of via een link naar een aangepaste site.

Bron: Laurens Verhagen, de Volkskrant

Next up