Microsoft doet HoneyMonkey-project uit de doeken

Twee maanden geleden is Microsoft begonnen met een project, codenaam Strider HoneyMonkey, om in een vroeg stadium veiligheidslekken en daarvoor geschreven exploits te detecteren. Hierover is nu een gedetailleerd rapport verschenen dat uitgebreid ingaat op de gebruikte technieken om de exploits te ontdekken. De onderzochte veiligheidslekken waren de lekken die uitgebuit worden om met minimale tussenkomst van de gebruiker spyware te installeren op de computers. De eerste maand dat het project on-line kwam, zijn er 752 urls gevonden die doorverwezen naar websites die spyware wisten te installeren op een ongepatchte Windows XP machine. Begin juli werd een exploit ontdekt die een volledig gepatchte machine wist te infecteren met ongewenste software.

Projectopzet

Als systeemopzet werden er computers geinstalleerd met Microsoft Virtual PC en een image van verschillende Windows XP-installaties, die ten opzichte van elkaar een toenemende hoeveelheid toegepaste veiligheidspatches hadden. Om naar lekken te zoeken hebben de onderzoekers een stappenplan ontwikkeld om het vinden en volgen van de juiste websites eenvoudig en efficiënt te maken. Als eerste moesten de computers een startpunt hebben. Hiervoor werd binnen een zoekmachine gezocht op varianten van het hosts-bestand van Windows XP die gebruikt worden om reclame- en spywaresites te blokkeren. Dit, samen met een lijst van al bekende kwaadwillende sites, werden ingevoerd in de zogenaamde 'monkey'-software. Deze software gedraagt zich als een gewone, surfende gebruiker die de lijst met websites langsgaat en op hyperlinks binnen de sites klikt. Spywarepagina's zijn vaak zo opgebouwd dat een browser doorgestuurd wordt naar andere sites die eveneens kwaadaardige stukken code bevatten, om op die manier zo veel mogelijk verschillende lekken te proberen uit te buiten. Door de browsers mee te laten voeren met deze doorstuurtechnieken, kunnen de onderzoekers de VM's blootstellen aan zoveel mogelijk lekken.

Om de aanvallen te detecteren hebben de onderzoekers gebruik gemaakt van de 'black box'-aanpak, waarbij een monitorprogramma het register en harde schijfactiviteit in de gaten houdt. Zodra er een verandering wordt gedetecteerd, wordt dit gerapporteerd en gemarkeerd als potentiële exploit. De gevonden informatie wordt doorgespeeld aan een volgende virtual machine met een beter gepatchte versie van Windows XP, die dan controleert of het lek nog steeds aanwezig is. Is dit het geval, wordt de URL doorgegeven aan een nog beter systeem. De originele VM-sessie wordt vernietigd om daarna met een nieuwe, schone installatie de rest van de URLs af te gaan. Als de best beveiligde installatie ook kwetsbaar is voor de exploit, wordt het onderzoeksteam ingeschakeld.

Resultaten

Na een maand surfen werden de resultaten geëvalueerd. In onderstaande tabel staan deze gesorteerd per VM.

	Type installatie		Exploit URLs
	Ingevoerd		752
	Windows XP SP1 (Ongepatched)		688
	Windows XP SP2 (Ongepatched)		204
	Windows XP SP2 (Gedeeltelijk gepatched)		17
	Windows XP SP2 (Volledig gepatched)		0

Volgens de onderzoekers is de meest logische conclusie die direct uit de resultaten kan worden getrokken het feit dat een computer die niet up to date is onnodig veel te duchten heeft van spyware. De volledig gepatchte SP2-installatie had in de eerste maand geen last van de aanvallen die via de webbrowser werden uitgevoerd. Analyse van de doorstuurpaden van de URLs wijst uit dat, hoewel er aardig wat grote spywarehosts zijn, deze verdeeld zijn onder enkele individuen die vaak sites over de hele wereld bezitten. Als lokkertje voor de websites wordt het meest pornografie gebruikt. Het gebeurt ook nogal eens dat ontwikkelaars van antispywaresoftware zelf exploits gebruiken om surfers te overtuigen van het nut van hun tools. Een andere methode waarmee gebruikers in contact kunnen komen is door middel van zoekmachines. Op het moment van het opstellen van het rapport, presenteerden Google en Yahoo respectievelijk 13.6% en 13.3% van de onderzochte URLs in hun zoekresultaten. MSN Search bevatte maar 6.5% van de oorspronkelijk ingevoerde lijst, maar ook deze URLs zijn uit het cache gehaald zodat MSN Search geen hits meer gaf.

Vooruitzichten

Microsoft is van plan de machines in de lucht te houden om door te gaan met het detecteren van lekken. Op basis van de statistieken die gegenereerd worden, bepalen de ontwikkelaars hoe dringend het patchen van een bepaald lek is. Daarnaast worden de bevindingen doorgespeeld aan het juridische departement om te onderzoeken of de websites in kwestie in overtreding zijn en het aanspannen van rechtzaken gewenst is. Ook zoekmachines worden onder de loep genomen; de websites die de meeste hits krijgen worden onderzocht op spyware om te kunnen verzekeren dat de populaire sites geen schadelijke code bevatten. De lijst met exploitsites zal verder worden uitgebreid met links die met spam- en phishing-e-mails meekomen. Tot slot willen de onderzoekers het aantal netwerken met HoneyMonkeys laten toenemen en verspreiden over de wereld, zodat spywaresites de netwerken niet kunnen blokkeren.