{"id":26019,"date":"2020-09-08T15:32:40","date_gmt":"2020-09-08T13:32:40","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=26019"},"modified":"2020-09-08T15:32:40","modified_gmt":"2020-09-08T13:32:40","slug":"cybersecurity-expert-training","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/cybersecurity-expert-training\/26019\/","title":{"rendered":"De vanger in YARA \u2014 het voorspellen van zwarte zwanen"},"content":{"rendered":"

Het is heel erg lang geleden dat de mensheid een jaar zoals dit jaar kende. Ik denk niet dat ik ooit een jaar heb meegemaakt met zo\u2019n hoge concentratie aan zwarte zwanen van allerlei soorten en maten. En dan heb ik het niet over het soort zwaan met veren<\/a>. Ik heb het over onverwachte gebeurtenissen met verstrekkende gevolgen, zoals de theorie<\/a> van Nassim Nicholas Taleb<\/a>, die in 2007 werd gepubliceerd in zijn boek The Black Swan: The Impact of the Highly Improbable<\/a>. Een van de belangrijkste stellingen van die theorie is dat verrassende gebeurtenissen die al gebeurd zijn achteraf bezien vanzelfsprekend en voorspelbaar lijken. Desondanks heeft niemand ze ook daadwerkelijk voorspeld voordat ze plaatsvonden.<\/p>\n

Voorbeeld: dit vreselijke virus dat de wereld al sinds maart in een houdgreep houdt. Het blijkt dat er een uitgebreide familie<\/a> van coronaviridae<\/em> bestaat \u2014 tientallen \u2014 en dat er regelmatig nieuwe worden ontdekt. Katten, honden, vogels en vleermuizen krijgen ze allemaal. Mensen ook. Sommige van die virussen veroorzaken een verkoudheid. Andere soorten manifesteren zich\u2026 anders. Dus we moeten hier duidelijk vaccins tegen ontwikkelen, net zoals we die voor andere dodelijke virussen maken, zoals bijvoorbeeld voor de pokken en polio. Ok\u00e9, maar het hebben van een vaccin helpt niet altijd even goed. Kijk naar de griep: er is nog altijd geen vaccin dat wordt inge\u00ebnt en volledige bescherming biedt, en dat na hoeveel eeuwen? En voordat er kan worden begonnen met de ontwikkeling van een vaccin, moet men weten waar men naar op zoek is, en dat lijkt meer een kunst dan wetenschap te zijn.<\/p>\n

Waarom vertel ik u dit allemaal? Wat is het verband met\u2026 ach, het gaat sowieso te maken hebben met ofwel cybersecurity ofwel exotische reizen, toch?! Vandaag is het die eerste optie.<\/p>\n

Een van de gevaarlijkste cyberdreigingen die er bestaan zijn zero-days<\/a> \u2014 zeldzame, onbekende (ook voor cybersecurity-experts) kwetsbaarheden in software die groteske<\/em>, vreselijke schade op grote schaal kunnen aanrichten \u2014 maar ze blijven vaak onontdekt tot (of soms zelfs tot na) het moment dat ze benut worden.<\/p>\n

Cybersecurity-experts hebben echt hun methodes om met onduidelijkheid en het voorspellen van zwarte zwanen om te gaan. In deze post wil ik het over een van die methodes hebben: YARA<\/a>.<\/p>\n

Kort samengevat: YARA helpt malware-onderzoek en -detectie door bestanden te identificeren die aan bepaalde voorwaarden voldoen en biedt een op regels gebaseerde aanpak voor het cre\u00ebren van beschrijvingen van malware-families op basis van tekstuele en binaire patronen. (Oei, dat klinkt ingewikkeld. Lees verder voor de uitleg.) YARA wordt gebruikt voor het zoeken naar vergelijkbare malware door patronen te identificeren. Het doel is om te kunnen vaststellen dat bepaalde schadelijke programma\u2019s eruitzien alsof ze door dezelfde lui zijn gemaakt, met vergelijkbare doeleinden.<\/p>\n

Ok\u00e9, laten we een andere metafoor gebruiken \u2014 net zoals de zwarte zwaan eentje die met water te maken heeft: de zee.<\/p>\n

Stelt u zich voor dat uw netwerk de oceaan is, vol met duizenden soorten vissen, en u bent een industrieel visser op uw schip en gooit enorme drijfnetten uit om vissen te vangen, maar alleen bepaalde soorten vissen (malware die is gecre\u00eberd door specifieke hackergroepen) zijn interessant voor u. Het drijfnet is niet zomaar een net. Het beschikt over speciale compartimenten en alleen vissen van een bepaalde soort (met malware-kenmerken) kunnen in elk compartiment gevangen worden.<\/p>\n

Vervolgens, aan het einde van een werkdag, hebt u een hoop vissen die allemaal gecompartimenteerd zijn, waarvan sommige relatief nieuwe, nog nooit eerder geziene vissen zijn (nieuwe malware-samples) waar u nog bijna niets vanaf weet. Maar ze zitten wel in een bepaald compartiment, bijvoorbeeld het \u201cLijkt op het ras [hackergroep] X\u201d of \u201cLijkt op het ras [hackegroep] Y\u201d.<\/p>\n

Hier vindt u een case<\/a> die deze vis-metafoor illustreert. In 2015 ging onze YARA-goeroe en hoofd van GReAT<\/a>, Costin Raiu, op de cyber-Sherlock-tour om een exploit<\/a> in Microsofts Silverlight software te vinden. U zou dat artikel eigenlijk moeten lezen, maar wat Raiu in het kort deed, was het zorgvuldig bestuderen van bepaalde door hackers gelekte e-mailcorrespondentie om vanuit praktisch niets een YARA-regel op te stellen, en hij ging nog verder om te helpen bij het vinden van de exploit en dus de wereld tegen enorme problemen te beschermen. (De correspondentie was van een Italiaanse firma met de naam Hacking Team \u2014 hackers die hackers hacken!)<\/p>\n

Dus, over die YARA-regels\u2026<\/p>\n

We onderwijzen al jarenlang de kunst van het cre\u00ebren van YARA-regels. De cyberdreigingen die YARA helpt te onthullen zijn nogal complex, en daarom deden we deze cursussen altijd persoonlijk en dus offline, en alleen voor een kleine groep toponderzoekers op het gebied van cybersecurity. Sinds maart is offline training natuurlijk lastig vanwege de lockdowns; maar de behoefte aan dit soort training is er zeker niet minder op geworden, en we hebben dan ook geen daling gezien wat betreft de interesse in onze cursussen.<\/p>\n

Dat is logisch: cyberschurken blijven steeds geavanceerdere aanvallen bedenken \u2014 en zelfs meer dan ooit<\/a> tijdens de lockdown. Derhalve zou het simpelweg fout zijn om onze gespecialiseerde knowhow over YARA voor onszelf te houden in deze tijden. We hebben daarom (1) onze training online beschikbaar gemaakt en (2) is deze nu voor iedereen toegankelijk. Hij is niet gratis, maar voor een cursus op zo\u2019n niveau (het allerhoogste) is het een zeer scherpe en marktconforme prijs<\/p>\n

We introduceren<\/a>:<\/p>\n

\"Op<\/strong><\/p>\n

Wat was er nog meer?<\/p>\n

Ah, juist.<\/p>\n

Gegeven de huidige virus-gerelateerde problemen over de hele wereld, blijven we hulp bieden aan degenen in de frontlinie. We begonnen aan het begin van deze hele corona-situatie te helpen door gratis licenties aan zorgorganisaties te verstrekken<\/a>. Nu breiden we deze actie uit met licenties voor een verscheidenheid aan non-profit- en niet-gouvernementele organisaties die zich inzetten voor verschillende goede doelen of die proberen om de cyberspace tot een betere plek te maken (de volledige lijst vindt u hier<\/a>). Voor deze organisaties zal onze YARA-training gratis zijn.<\/p>\n

Waarom? Omdat ngo\u2019s met zeer gevoelige informatie werken die gehackt kan worden in gerichte aanvallen<\/a>, en niet alle ngo\u2019s kunnen zich de luxe van een afdeling met IT-experts veroorloven.<\/p>\n

\"Online<\/strong><\/p>\n

Een snel overzicht van wat deze cursus allemaal biedt:<\/p>\n