[KB186] Virussen, malware en aanvallen op afstand uitgelegd

Oplossing

Veel van de bedreigingen waarvoor ESET-beveiligingsproducten zijn gemaakt kunnen worden geclassificeerd als virussen, malware of aanvallen op afstand. Naast de programma’s die u zelf op uw computer installeert kan uw computer worden aangevallen met kwaadaardige programma’s (malware). Ook kan uw computer worden aangevallen over het netwerk door iemand die op afstand probeert in te breken. Deze kwaadaardige software en aanvallen op afstand kunnen zorgen voor emotionele schade, kunnen veel tijd kosten en kan in het ergste geval grote financiële gevolgen hebben. Hieronder vindt u een aantal beschrijvingen van de meest voorkomende typen bedreigingen. Klik op de links om gelijk naar de bijbehorende sectie te springen.

Virussen | Malware | Aanvallen op afstand

Virussen

Een virus is een programma dat zichzelf koppelt aan uitvoerbare bestanden. Virussen kunnen op verschillende manieren op uw computer terecht komen, hierbij kunt u denken aan verspreiding vanaf een andere computer, via een verwisselbaar medium (USB-stick, CD, etc.) of via het netwerk (lokaal of internet). Er zijn verschillende type virussen:

Bestandsvirussen: Dit type virus valt uitvoerbare bestanden aan en koppelt zichzelf hieraan. Dit kunnen bijvoorbeeld “.exe” en “.com” bestanden zijn.

Scriptvirussen: Scriptvirussen lijken erg op bestandsvirussen en kunnen geschreven zijn in diverse programmeertalen (VBS, Javascript, BAT, PHP, enz.). Deze virussen infecteren andere scripts (bijvoorbeeld een Windows of Linux script of servicebestanden), of vormen een onderdeel van een ander virus. Script virussen zijn in staat andere bestandstypen te infecteren, zoals een Html-bestand, als dit bestand uitgevoerd kan worden.

Boot viruses: Boot viruses attack boot sectors (removable media boot sector or hard disk master boot sector) and set their own loading routines at start-up.

Macrovirussen: Opstartvirussen vallen de opstartsector van opslagmediums (verwisselbaar medium of interne harddisk master boot record) aan. Hierbij wordt de opstart routine aangepast zodat er wat anders gebeurt bij het opstarten van de schijf dan verwacht.

Virussen kunnen ook worden geclassificeerd op de manier dat zij hun acties uitvoeren. Zo zijn er “direct action” virussen welke hun actie direct uitvoeren nadat het geïnfecteerde bestand wordt uitgevoerd. Daarnaast zijn er afwachtende virussen welke zich in het systeem nestelen en pas actief worden na een bepaalde tijd of andere trigger (bijvoorbeeld inactiviteit op de computer).

Malware

Malware is een term die wordt gebruikt om kwaadaardige programma’s en technieken aan te duiden die niet geclassificeerd kunnen worden als virus, maar wel een bedreiging vormen voor uw systeem.

Worm: Een worm is een op zichzelf staand bestand dat, anders dan een virus, als doel heeft zichzelf zoveel mogelijk te verspreiden. Dit doet de worm door kopieën van zichzelf te versturen via het netwerk, internet, e-mails of via zwakheden in het besturingssysteem (bugs).

Naast dat zij zichzelf verspreiden kan het ook zo zijn dat zij extra malware met zich meenemen om bijvoorbeeld een backdoor te installeren m.b.v. een Trojaans paard. Wormen kunnen veel schade veroorzaken en kunnen netwerkverkeer verhinderen doormiddel van een Dos-aanval. Een worm is in staat zich binnen een paar minuten wereldwijd te verspreiden via het internet.

Trojaans paard: Een Trojaans paard is een malware vorm, dat in tegenstelling tot virussen of wormen, zichzelf niet kan kopiëren of bestanden kan infecteren. Meestal zit het verborgen in vorm van een uitvoerbaar bestand (.exe of .com) en doet niets anders dan het uitvoeren van de Trojan code. Daarom is de enige manier om hiervan af te komen om het bestand te verwijderen.

Trojaanse paarden kunnen verschillende functies hebben, van keylogging (het registreren van toetsaanslagen) tot het verwijderen bestanden of het formatteren van harddisks. Sommige Trojaanse paarden hebben de mogelijkheid om een backdoor te installeren waardoor een aanvaller later de computer op afstand kan overnemen. In tegenstelling tot legitieme software installeert een Trojan zich zonder tussenkomst of toestemming van de gebruiker.

Adware: Adware is een adverteringssoftware. Dit type software is erop gericht de gebruiker advertenties te laten zien. Adware werkt door pop-up vensters te tonen tijdens het surfen op internet of door bepaalde pagina’s als startpagina in te stellen. Ook kan het programma een hiervoor een los programma openen die de advertenties laat zien.

Adware wordt vaak gebundeld met gratis programma’s op het internet. In veel gevallen staat in de voorwaarden van deze gratis applicatie ook vermeld dat de gebruikers akkoord gaan met de installatie van deze software. Veel ontwikkelaars voegen deze software toe om advertentie-inkomsten te genereren omdat de software zelf gratis is. Vaak is door dat de gebruiker hier zelf mee akkoord gaat de software legitiem op de computer gekomen. Echter hebben sommige adware programma’s een agressieve manier van het tonen van advertenties dat dit de legitimiteit in twijfel stelt.

Spyware: Spyware is software die gebruik maakt van het internet om gevoelige informatie van de gebruiker te verkrijgen, zonder dat dit duidelijk wordt gemaakt aan de gebruiker zelf. Sommige Spyware programma’s kijken naar informatie zoals geïnstalleerde applicaties, de geschiedenis van bezochte websites, waar andere een veel gevaarlijker doel voor ogen hebben, namelijk het verkrijgen van persoonlijke gegevens met het idee om identiteitsdiefstal te plegen.

Riskware: Deze soort Malware betreft alle applicaties die het dreigingsrisico vergroten. Net als bij Spyware en Adware installaties, word Riskware software geïnstalleerd na het accepteren van een gebruikersovereenkomst. Zogeheten “Dialers” zijn een veelvoorkomend voorbeeld van Riskware. Dit type software zorgt ervoor dat wanneer u inbelt om verbinding te maken met internet dat er een ander telefoonnummer wordt ingesteld. Deze programma’s worden soms legaal gebruikt door internetproviders, maar worden ook vaak misbruikt zonder dat de gebruiker dit merkt.

Gevaarlijke applicaties: Gevaarlijke applicaties is een term die veel wordt gebruikt voor een legitiem programma. Ondanks dat het programma legitiem is stelt het programma de gebruiker bloot aan beveiligingsrisico’s. Hierbij kunt u denken aan commerciële keylogging (registreren van toetsenbord aanslagen) of het maken van schermafbeeldingen, toegang op afstand tools, wachtwoord hacking en programma’s die lekken proberen te vinden in de computer.

Hoaxen: Een hoax is een opzettelijk foutief bericht dat verstuurd wordt via e-mail en zich verspreid door nietsvermoedende of slecht geïnformeerde mensen dit doorsturen. Hoaxen zijn er meestal op gericht de gebruiker een handeling te laten uitvoeren die zij anders niet zouden doen. Kwaadaardige hoaxen adviseren gebruikers vaak om kritieke systeem bestanden te verwijderen door te zeggen dat deze bestanden gevaarlijk zijn of virussen bevatten.

In veel gevallen refereren hoaxen naar betrouwbare nieuwsbronnen of bedrijven om de aandacht te trekken. Voorbeelden hiervan zijn “Microsoft waarschuwt dat…” of “De NOS heeft aangekondigd dat.” Deze berichten waarschuwen vervolgens vaak dat er iets vervelends of iets met grote gevolgen te gebeuren staat. De berichten hebben de overeenkomst dat zij de lezer aansporen dit door te sturen naar alle mensen die zij kennen, dit zorgt ervoor dat deze hoaxen soms lang op het internet ronddwalen. 99.9% van dit soort berichten zijn hoaxen.

Hoaxen kunnen zichzelf niet verspreiden, de enige manier om jezelf hiertegen te beschermen is door zelf de authenticiteit van het bericht te controleren voordat u hierop actie onderneemt.

Scams: Scams is de Engelse benaming voor oplichting. Deze term is in grote lijnen als volgt gedefinieerd: Scams zijn misleidingen gepleegd op de computer van gebruikers met het oog op financieel gewin of identiteitsdiefstal. Een van de veel voorkomende scams zijn berichten, ongevraagde faxberichten, e-mails of brieven uit Nigeria of een ander West-Afrikaans land. De brief ziet er vaak uit als een zakelijk voorstel, echter zal er eerst een bedrag overgemaakt moeten worden om dit voorstel te kunnen realiseren. Het voorstel is natuurlijk een poging tot fraude en eventuele betalingen ziet u niet meer terug.

Een andere veel voorkomende vorm van scamming zijn het sturen van phising e-mailberichten of websites. Het doel van deze scams zijn het toegang krijgen tot gevoelige data zoals bankrekeningnummers, pincodes, enzovoorts. Toegang wordt meestal verkregen door een e-mail te sturen die eruitziet als een bericht van bijvoorbeeld uw bank of verzekeringsmaatschappij.

De e-mail (of website waar u naartoe wordt geleid) kan er legitiem uit zien en heeft vaak dezelfde opmaak en afbeeldingen als de originele website die zij proberen te imiteren. De gebruiker zal gevraagd worden om zijn persoonlijke gegevens zoals bankrekeningnummers of gebruikersnamen en wachtwoorden op te geven. Als de gebruiker deze gegevens opgeeft kunnen deze gemakkelijk worden misbruikt door de aanvallers.

Hierbij moet worden opgemerkt dat banken, verzekeringsmaatschappijen en andere legitieme bedrijven u nooit zomaar een e-mail zullen sturen met hierin de vraag uw gebruikersnaam en wachtwoord op te geven. Voor meer informatie over hoaxen, scamming en phishing klikt dan hier.


Aanvallen op afstand

Bij aanvallen op afstand wordt vaak gebruik gemaakt van speciale technieken die er voor zorgen dat een aanvaller toegang krijgt tot een systeem. Deze aanvallen kunnen worden onderverdeelt in de volgende categorieën:

DoS aanvallen: Dos, of Denial of Service, is een aanval dat als doel heeft een computer of netwerk ontoegankelijk te maken voor de beoogde gebruikers. Dos aanvallen verhinderen communicatie tussen betrokken gebruikers en zorgen dat er bijvoorbeeld niet op een werkbare manier verder kan worden gewerkt. Een veelgebruikte aanvalsmethode is een grote hoeveelheid verbindingen op te zetten met de doelmachine waardoor legitieme verbindingen er niet meer “bij passen” of dat het zodanig langzaam is dat er in de praktijk niet mee te werken is. Dit soort aanvallen zorgen voor een serveroverload. Computers die zijn blootgesteld aan Dos aanvallen moeten vaak opnieuw worden opgestart voordat zij weer normaal kunnen functioneren.

De doelen van Dos aanvallen zijn webservers en de bedoeling is meestal om deze onbereikbaar te maken voor gebruikers voor een bepaalde periode.

DNS Poisoning: Door gebruik te maken van DNS (Domain Name Server) poisioning kunnen hackers DNS servers of computers zijn data als authentiek en legitiem te laten zien. Deze data wordt tijdelijk opgeslagen door deze apparaten wat de aanvaller in staat stelt DNS verzoeken door te sturen naar een ander IP-adres dan is opgevraagd. Hierdoor komen gebruikers bij de verkeerde server terecht en zullen zij bijvoorbeeld virussen of wormen op hun computer krijgen in plaats van de website die zij proberen te bezoeken.

Port scanning: Port scanning wordt gebruikt om te bepalen welke poorten er openstaan op een netwerkapparaat. Een poort scanner is een programma dat is gemaakt om deze poorten te vinden.

Een computer-poort is een virtueel punt dat inkomende en uitgaande data behandeld - dit is van cruciaal belang vanuit een oogpunt van veiligheid. In een groot netwerk, kan de verzamelde informatie door poortscanners helpen om potentiële kwetsbaarheden te identificeren. Een dergelijk gebruik is legitiem.

Toch wordt het scannen van poorten vaak gebruikt door hackers om te proberen de veiligheid in gevaar te brengen. De eerste stap is om pakketten naar elke poort te sturen. Afhankelijk van het soort reactie, is het mogelijk om te bepalen welke poorten in gebruik zijn. Het scannen zelf veroorzaakt geen schade, maar wees ervan bewust dat deze activiteit potentiële kwetsbaarheden kan onthullen en laat aanvallers de controle over computers op afstand te nemen.

Netwerkbeheerders wordt geadviseerd om alle ongebruikte poorten te blokkeren en de bescherming van degenen die in gebruik zijn tegen onbevoegde toegang.

TCP desynchonisatie: Is een techniek die gebruikt wordt voor TCP Hijacken aanvallen. Het wordt geactiveerd door een proces waarbij het volgnummer in inkomende pakketten afwijkt van het verwachte volgnummer. Pakketten met een onverwacht volgnummer worden ontslagen (of opgeslagen in bufferopslag als ze aanwezig zijn in de huidige communicatie scherm zijn).

In desynchonisatie, zijn beide communicatie-eindpunten om te ontslaan en te ontvangen van pakketten, op dit punt zijn externe aanvallers in staat  om te infiltreren en leveren pakketten met het juiste volgnummer. De aanvallers kunnen zelfs de communicatie wijzigen of manipuleren.

TCP Hijacken zijn aanvallen gericht op server-cliënt en / of peer-to-peer-communicatie om deze te onderbreken. Veel aanvallen kunnen worden voorkomen door verificatie voor elk TCP-segment. Het wordt ook geadviseerd de aanbevolen configuraties voor uw netwerkapparaten te gebruiken.

SMB Relay: SMB Relay en SMBRelay 2 zijn speciale programma's die in staat zijn  aanvallen op externe computers uit te voeren De programma's profiteren van de Server Message Block file sharing protocol dat is opgeslagen in de NetBIOS. Een gebruiker die het delen van een map of directory binnen het LAN, gebruikt hoogstwaarschijnlijk dit protocol file sharing. Binnen de lokale netwerkcommunicatie, zijn wachtwoord hashes uitgewisseld.

SMBRelay ontvangt een verbinding op UDP-poort 139 en 445, en stuurt de pakketten uitgewisseld door de cliënt en de server, en wijzigt hen. Na het aansluiten en verifiëren, wordt de verbinding met de klant verbroken. SMBRelay maakt een nieuw virtueel IP-adres. Het nieuwe adres kan worden benaderd met behulp van de opdracht "net use \ 192.168.1.1". Het adres kan vervolgens worden gebruikt door de Windows netwerkfuncties. SMBRelay relais SMB-protocol communicatie met uitzondering van de onderhandelingen en verificatie. Externe aanvallers kunnen het IP-adres gebruiken, zolang de cliënt computer is aangesloten.

SMBRelay2 werkt volgens hetzelfde principe als SMB Relay, alleen gebruikt NetBIOS namen in plaats van IP-adressen. Beide kunnen 'man-in-the-middle "aanvallen uit voeren. Deze aanvallen kunnen externe aanvallers lezen, invoegen en berichten uitwisselen tussen twee communicatie-eindpunten te wijzigen zonder opgemerkt te worden. Computers blootgesteld aan dergelijke aanvallen reageren vaak niet meer of starten onverwachts opnieuw op. Om aanvallen te voorkomen raden wij u aan authenticatie wachtwoorden en sleutels te gebruiken.

ICMP aanvallen: ICMP (Internet Control Message Protocol) is een populaire en veel gebruikt internet protocol. Het wordt voornamelijk gebruikt door computers in een netwerk om verschillende foutmeldingen te verzenden.

Externe aanvallers proberen om de zwakke punten van ICMP-protocol te benutten. ICMP-protocol is ontworpen voor one-way communicatie en vereist geen authenticatie. Hierdoor kunnen externe aanvallers triggers Dos (Denial of Service) -aanvallen, of aanvallen die onbevoegden toegang tot inkomende en uitgaande pakketten te geven.

Typische voorbeelden van een ICMP-aanval zijn ping flood, ICMP_ECHO flood en smurf aanvallen. Computers blootgesteld aan een ICMP-aanval zullen beduidend tragere prestaties leveren in toepassingen die gebruik maken van het internet en hebben problemen met de verbinding met het internet.

Om meer te leren over bedreigingen, afstandsaanvallen en malware, Bezoekt u onze bedreigingen Encyclopedie.

Behoefte aan persoonlijke ondersteuning in Nederland?

Onze specialisten staan voor u klaar om te ondersteunen. Bel 0184-647730 voor direct telefonisch contact of stuur verzoek direct naar support@eset.nl.



Behoefte aan persoonlijke ondersteuning in België?

Onze support medewerkers staan voor u klaar. Vul het online formulier in om met de ESET klantendienst in België in contact te treden en wij nemen binnen de 24 uren contact met u op (tijdens de bureeluren)!