De vanger in YARA — het voorspellen van zwarte zwanen

Kaspersky introduceert een specialistische online cybersecurity-trainingsreeks die begint met een uitgebreide cursus over YARA.

Het is heel erg lang geleden dat de mensheid een jaar zoals dit jaar kende. Ik denk niet dat ik ooit een jaar heb meegemaakt met zo’n hoge concentratie aan zwarte zwanen van allerlei soorten en maten. En dan heb ik het niet over het soort zwaan met veren. Ik heb het over onverwachte gebeurtenissen met verstrekkende gevolgen, zoals de theorie van Nassim Nicholas Taleb, die in 2007 werd gepubliceerd in zijn boek The Black Swan: The Impact of the Highly Improbable. Een van de belangrijkste stellingen van die theorie is dat verrassende gebeurtenissen die al gebeurd zijn achteraf bezien vanzelfsprekend en voorspelbaar lijken. Desondanks heeft niemand ze ook daadwerkelijk voorspeld voordat ze plaatsvonden.

Voorbeeld: dit vreselijke virus dat de wereld al sinds maart in een houdgreep houdt. Het blijkt dat er een uitgebreide familie van coronaviridae bestaat — tientallen — en dat er regelmatig nieuwe worden ontdekt. Katten, honden, vogels en vleermuizen krijgen ze allemaal. Mensen ook. Sommige van die virussen veroorzaken een verkoudheid. Andere soorten manifesteren zich… anders. Dus we moeten hier duidelijk vaccins tegen ontwikkelen, net zoals we die voor andere dodelijke virussen maken, zoals bijvoorbeeld voor de pokken en polio. Oké, maar het hebben van een vaccin helpt niet altijd even goed. Kijk naar de griep: er is nog altijd geen vaccin dat wordt ingeënt en volledige bescherming biedt, en dat na hoeveel eeuwen? En voordat er kan worden begonnen met de ontwikkeling van een vaccin, moet men weten waar men naar op zoek is, en dat lijkt meer een kunst dan wetenschap te zijn.

Waarom vertel ik u dit allemaal? Wat is het verband met… ach, het gaat sowieso te maken hebben met ofwel cybersecurity ofwel exotische reizen, toch?! Vandaag is het die eerste optie.

Een van de gevaarlijkste cyberdreigingen die er bestaan zijn zero-days — zeldzame, onbekende (ook voor cybersecurity-experts) kwetsbaarheden in software die groteske, vreselijke schade op grote schaal kunnen aanrichten — maar ze blijven vaak onontdekt tot (of soms zelfs tot na) het moment dat ze benut worden.

Cybersecurity-experts hebben echt hun methodes om met onduidelijkheid en het voorspellen van zwarte zwanen om te gaan. In deze post wil ik het over een van die methodes hebben: YARA.

Kort samengevat: YARA helpt malware-onderzoek en -detectie door bestanden te identificeren die aan bepaalde voorwaarden voldoen en biedt een op regels gebaseerde aanpak voor het creëren van beschrijvingen van malware-families op basis van tekstuele en binaire patronen. (Oei, dat klinkt ingewikkeld. Lees verder voor de uitleg.) YARA wordt gebruikt voor het zoeken naar vergelijkbare malware door patronen te identificeren. Het doel is om te kunnen vaststellen dat bepaalde schadelijke programma’s eruitzien alsof ze door dezelfde lui zijn gemaakt, met vergelijkbare doeleinden.

Oké, laten we een andere metafoor gebruiken — net zoals de zwarte zwaan eentje die met water te maken heeft: de zee.

Stelt u zich voor dat uw netwerk de oceaan is, vol met duizenden soorten vissen, en u bent een industrieel visser op uw schip en gooit enorme drijfnetten uit om vissen te vangen, maar alleen bepaalde soorten vissen (malware die is gecreëerd door specifieke hackergroepen) zijn interessant voor u. Het drijfnet is niet zomaar een net. Het beschikt over speciale compartimenten en alleen vissen van een bepaalde soort (met malware-kenmerken) kunnen in elk compartiment gevangen worden.

Vervolgens, aan het einde van een werkdag, hebt u een hoop vissen die allemaal gecompartimenteerd zijn, waarvan sommige relatief nieuwe, nog nooit eerder geziene vissen zijn (nieuwe malware-samples) waar u nog bijna niets vanaf weet. Maar ze zitten wel in een bepaald compartiment, bijvoorbeeld het “Lijkt op het ras [hackergroep] X” of “Lijkt op het ras [hackegroep] Y”.

Hier vindt u een case die deze vis-metafoor illustreert. In 2015 ging onze YARA-goeroe en hoofd van GReAT, Costin Raiu, op de cyber-Sherlock-tour om een exploit in Microsofts Silverlight software te vinden. U zou dat artikel eigenlijk moeten lezen, maar wat Raiu in het kort deed, was het zorgvuldig bestuderen van bepaalde door hackers gelekte e-mailcorrespondentie om vanuit praktisch niets een YARA-regel op te stellen, en hij ging nog verder om te helpen bij het vinden van de exploit en dus de wereld tegen enorme problemen te beschermen. (De correspondentie was van een Italiaanse firma met de naam Hacking Team — hackers die hackers hacken!)

Dus, over die YARA-regels…

We onderwijzen al jarenlang de kunst van het creëren van YARA-regels. De cyberdreigingen die YARA helpt te onthullen zijn nogal complex, en daarom deden we deze cursussen altijd persoonlijk en dus offline, en alleen voor een kleine groep toponderzoekers op het gebied van cybersecurity. Sinds maart is offline training natuurlijk lastig vanwege de lockdowns; maar de behoefte aan dit soort training is er zeker niet minder op geworden, en we hebben dan ook geen daling gezien wat betreft de interesse in onze cursussen.

Dat is logisch: cyberschurken blijven steeds geavanceerdere aanvallen bedenken — en zelfs meer dan ooit tijdens de lockdown. Derhalve zou het simpelweg fout zijn om onze gespecialiseerde knowhow over YARA voor onszelf te houden in deze tijden. We hebben daarom (1) onze training online beschikbaar gemaakt en (2) is deze nu voor iedereen toegankelijk. Hij is niet gratis, maar voor een cursus op zo’n niveau (het allerhoogste) is het een zeer scherpe en marktconforme prijs

We introduceren:

Op jacht naar APTs met YARA als een GReAT-ninja

Wat was er nog meer?

Ah, juist.

Gegeven de huidige virus-gerelateerde problemen over de hele wereld, blijven we hulp bieden aan degenen in de frontlinie. We begonnen aan het begin van deze hele corona-situatie te helpen door gratis licenties aan zorgorganisaties te verstrekken. Nu breiden we deze actie uit met licenties voor een verscheidenheid aan non-profit- en niet-gouvernementele organisaties die zich inzetten voor verschillende goede doelen of die proberen om de cyberspace tot een betere plek te maken (de volledige lijst vindt u hier). Voor deze organisaties zal onze YARA-training gratis zijn.

Waarom? Omdat ngo’s met zeer gevoelige informatie werken die gehackt kan worden in gerichte aanvallen, en niet alle ngo’s kunnen zich de luxe van een afdeling met IT-experts veroorloven.

Online training in cybersecurity: hands-on met een YARA-regel

Een snel overzicht van wat deze cursus allemaal biedt:

  • 100% online training op eigen tempo. U kunt de cursus intens volgen in een paar avonden of deze juist over een hele maand uitspreiden.
  • Een combinatie van zowel theorie als praktische taken. Er is een virtueel lab voor training in geschreven regels en het zoeken naar malware-samples in onze verzameling.
  • Praktische oefeningen gebaseerd op voorbeelden van echte cyberspionage-aanvallen.
  • Een module over de kunst van het zoeken naar iets waar u geen precieze kennis van heeft: wanneer uw intuïtie u vertelt dat er cyberkwaad op de loer ligt maar u niet precies weet welk soort cyberkwaad dit is en waar u het kunt vinden.
  • Een certificaat na voltooiing van de cursus die uw nieuwe status als YARA-ninja bevestigt. Volgens eerdere afgestudeerden helpt deze cursus hen ook daadwerkelijk verder in hun carrière.

Online cybersecurity-trainingsoefening: BlueTraveller

Dus dat is het dan, mensen: alweer een extreem handige potentiële pijl op uw boog voor het bestrijden van zeer geavanceerde cyberdreigingen. Ondertussen is het business as usual hier bij K, waar we constant bezig blijven met ons cyberdetective-werk zodat we altijd de nieuwste knowhow en praktische ervaringen in onze strijd tegen het kwaad kunnen delen.

Tips