Verschillende vormen van cybercrime
Geplaatst: 27 jul 2024, 14:04
Onderstaand artikel is overgenomen uit Cybercrime, Van herkenning tot aangifte. Uitgegeven door het Nationaal Cyber Security Centrum, Ministerie van Veiligheid en Justitie.
Het volledige document is in pdf-formaat beschikbaar in Downloads.
De bron is hier te vinden.
Onderstaande uitleg komt uit hoofdstuk 3, Verschijningsvormen van cybercrime.
Malware
Malware is een verzamelnaam voor alle vormen van software met kwaadaardige bedoelingen, zoals computervirussen, wormen, Trojaanse paarden, spyware of keyloggers. Het onderscheid tussen de diverse vormen van malware vervaagt steeds meer. Deze handleiding maakt geen specifiek onderscheid meer tussen bijvoorbeeld computervirussen, wormen of Trojaanse paarden, maar geeft wel een korte omschrijving om de technische herkenbaarheid inzichtelijker te maken.
Wat is een virus?
Een virus is een kwaadaardige programmacode dat zichzelf toevoegt aan bestaande stukken programmacode; dit wordt infecteren genoemd. Er zijn zowel virussen als wormen in omloop die zichzelf aanpassen en veranderen om detectie te ontlopen. Deze worden polymorphic (in verschillende verschijningsvormen) genoemd.
Wat is een worm?
Meestal is een worm een stuk code dat zichzelf repliceert zonder of met minimale menselijke tussenkomst. Wormen zijn mogelijk alleen maar aanwezig en actief in het computergeheugen. Dit soort wormen bevindt zich dan dus alleen in het geheugen van een systeem (memory-resident) en zijn daardoor op bestandsniveau niet of moeilijk te herkennen. Een worm repliceert zich door gebruik te maken van kwetsbaarheden in computer- en netwerksystemen.
Virussen en wormen kwamen vroeger veel voor met het doel om de maker roem en naamsbekendheid te verschaffen onder computervandalen (naming and faming). Computercriminaliteit is steeds geavanceerder geworden en heeft zich geprofessionaliseerd. Virussen en wormen dienen steeds vaker een breder doel of zijn onderdeel van een uitgebreidere aanval.
Een voorbeeld is zogenoemde ransomware waarbij computerbestanden van geïnfecteerde slachtoffers worden versleuteld en pas na betaling weer vrijgegeven. De malware versleutelt bekende bestandstypes. Het slachtoffer krijgt vervolgens een bericht met e-mailadres om de sleutel aan te vragen tegen betaling van een aanzienlijk geldbedrag.
Wat is een Trojaans paard?
Met de term Trojan horse (Trojaans paard) wordt een kwaadaardig programma bedoeld dat ongemerkt met een ander programma meekomt en dat onder valse voorwendselen (direct of indirect) op een computer wordt uitgevoerd.
Tegenwoordig wordt de term Trojaans paard - of simpelweg trojan - gebruikt als verzamelterm voor programma’s die, van binnenuit, onopgemerkt op een computer actief zijn en die een kwaadwillende ongemerkt toegang geeft of (ongewenste) acties uitvoert. Denk hierbij aan het openen van netwerkpoorten of het onderscheppen van gegevens. Voorbeelden zijn zogenoemde backdoors, bots, rootkits, keyloggers of spyware. Trojaanse paarden zijn een vorm van malware.
Om Trojaanse paarden zo lang mogelijk onopgemerkt te laten blijven, worden ze steeds geavanceerder. Daarvoor worden verschillende technieken gebruikt, zoals het uitschakelen van beveiligingssoftware (personal firewalls of antivirussoftware) en het camoufleren van hun activiteiten.
Een trojan komt veelal mee met andere (illegaal verspreide) software. Daarnaast raken computers vaak geïnfecteerd omdat iemand een besmette e-mail opent. Maar ook een usb-stick kan besmet zijn of een bestand dat van een website wordt gedownload (drive by download). Dit heet een client-side attack.
Een Trojaans paard kan ook worden gebruikt om virussen en wormen te verspreiden. Het belangrijkste verschil is, dat virussen en wormen zichzelf verspreiden naar slachtoffers (push) en Trojaanse paarden meestal door het slachtoffer worden binnengehaald (pull).
Zo worden trojans verspreid:
Er zijn veel soorten Trojaanse paarden. Grofweg kan een onderscheid gemaakt worden tussen het ongewenst verzamelen van gegevens en het ongewenst toegang verlenen tot een systeem. Hieronder worden enkele soorten trojans uitgelegd.
Backdoor
De term backdoor wordt heel algemeen gebruikt voor (onderdelen van) software die buiten de normale methoden om toegang geeft tot een systeem. Een voorbeeld hiervan is een stuk programmacode dat door een programmeur in een programma is gestopt, zodat hij of zij zichzelf later toegang kan verschaffen tot de software of het systeem waar het op draait. Veel malware bevatten tegenwoordig een backdoor component, die een kwaadwillende op een later tijdstip toegang kan verschaffen tot de geïnfecteerde computer.
Rootkit
Een rootkit is een Trojaans paard dat zich, met volledige beheerderrechten, in een besturingssysteem heeft genesteld en essentiële onderdelen van het systeem vervangt. Alle rootkits hebben als overeenkomst dat ze verborgen willen blijven en dat ze actief willen zijn. Ze moeten dus geladen worden door het besturingssysteem. Het blijft echter moeilijk om de aanwezigheid van de rootkit vanaf het systeem zelf te detecteren, omdat sporen van de aanwezigheid door de vervangen onderdelen worden verborgen. Vooral rootkits die zich in het hart van het besturingsysteem (kernel)
nestelen zijn moeilijk te detecteren. Veel rootkits bevatten een backdoor component.
Keylogger
Een keylogger is de benaming voor een specifiek soort software die maar één ding doet: het loggen van toetsaanslagen en eventueel muisklikken. De gelogde gegevens worden vaak automatisch verstuurd naar een derde partij. Een keylogger kan op zichzelf staan maar komt ook voor als onderdeel van een backdoor of een rootkit.
Spyware
Spyware is de benaming voor (onderdelen van) software die specifieke gegevens van een computer verzamelen, zoals bijvoorbeeld surfgedrag. Spyware wordt soms door de softwarefabrikant toegevoegd en soms door anderen aan bestaande software toegevoegd. In zeldzame gevallen wordt
in licentievoorwaarden melding gemaakt van spywareactiviteiten, maar over het algemeen is dit niet het geval. Spyware ‘verstopt’ zich vaak niet echt en is redelijk gemakkelijk op te sporen.
Bot
De term bot wordt over het algemeen gebruikt voor malware met een backdoor component. Bots melden zich aan bij een centrale commandoserver (‘Command & Control’-kanaal) waarna ze commando’s kunnen ontvangen.¹ Zo worden computers waarop bots aanwezig zijn vaak gebruikt om gezamenlijk DDoS-aanvallen (Distributed Denial of Service) uit te voeren, maar kunnen ze ook worden ingezet als proxies die kunnen worden gebruikt voor het versturen van spam.
¹ Vaak werden IRC-kanalen gebruikt maar ook HTTP of bijvoorbeeld peer-to-peer-netwerken. Tegenwoordig zijn de C&C kanalen divers en moeilijker op te sporen.
SHA1 hashcode: 419bc28cc3e06a814acb4c7d5c765c9e4f21aae6 20240729 1096w #102
Het volledige document is in pdf-formaat beschikbaar in Downloads.
De bron is hier te vinden.
Onderstaande uitleg komt uit hoofdstuk 3, Verschijningsvormen van cybercrime.
Malware
Malware is een verzamelnaam voor alle vormen van software met kwaadaardige bedoelingen, zoals computervirussen, wormen, Trojaanse paarden, spyware of keyloggers. Het onderscheid tussen de diverse vormen van malware vervaagt steeds meer. Deze handleiding maakt geen specifiek onderscheid meer tussen bijvoorbeeld computervirussen, wormen of Trojaanse paarden, maar geeft wel een korte omschrijving om de technische herkenbaarheid inzichtelijker te maken.
Wat is een virus?
Een virus is een kwaadaardige programmacode dat zichzelf toevoegt aan bestaande stukken programmacode; dit wordt infecteren genoemd. Er zijn zowel virussen als wormen in omloop die zichzelf aanpassen en veranderen om detectie te ontlopen. Deze worden polymorphic (in verschillende verschijningsvormen) genoemd.
Wat is een worm?
Meestal is een worm een stuk code dat zichzelf repliceert zonder of met minimale menselijke tussenkomst. Wormen zijn mogelijk alleen maar aanwezig en actief in het computergeheugen. Dit soort wormen bevindt zich dan dus alleen in het geheugen van een systeem (memory-resident) en zijn daardoor op bestandsniveau niet of moeilijk te herkennen. Een worm repliceert zich door gebruik te maken van kwetsbaarheden in computer- en netwerksystemen.
Virussen en wormen kwamen vroeger veel voor met het doel om de maker roem en naamsbekendheid te verschaffen onder computervandalen (naming and faming). Computercriminaliteit is steeds geavanceerder geworden en heeft zich geprofessionaliseerd. Virussen en wormen dienen steeds vaker een breder doel of zijn onderdeel van een uitgebreidere aanval.
Een voorbeeld is zogenoemde ransomware waarbij computerbestanden van geïnfecteerde slachtoffers worden versleuteld en pas na betaling weer vrijgegeven. De malware versleutelt bekende bestandstypes. Het slachtoffer krijgt vervolgens een bericht met e-mailadres om de sleutel aan te vragen tegen betaling van een aanzienlijk geldbedrag.
Wat is een Trojaans paard?
Met de term Trojan horse (Trojaans paard) wordt een kwaadaardig programma bedoeld dat ongemerkt met een ander programma meekomt en dat onder valse voorwendselen (direct of indirect) op een computer wordt uitgevoerd.
Tegenwoordig wordt de term Trojaans paard - of simpelweg trojan - gebruikt als verzamelterm voor programma’s die, van binnenuit, onopgemerkt op een computer actief zijn en die een kwaadwillende ongemerkt toegang geeft of (ongewenste) acties uitvoert. Denk hierbij aan het openen van netwerkpoorten of het onderscheppen van gegevens. Voorbeelden zijn zogenoemde backdoors, bots, rootkits, keyloggers of spyware. Trojaanse paarden zijn een vorm van malware.
Om Trojaanse paarden zo lang mogelijk onopgemerkt te laten blijven, worden ze steeds geavanceerder. Daarvoor worden verschillende technieken gebruikt, zoals het uitschakelen van beveiligingssoftware (personal firewalls of antivirussoftware) en het camoufleren van hun activiteiten.
Een trojan komt veelal mee met andere (illegaal verspreide) software. Daarnaast raken computers vaak geïnfecteerd omdat iemand een besmette e-mail opent. Maar ook een usb-stick kan besmet zijn of een bestand dat van een website wordt gedownload (drive by download). Dit heet een client-side attack.
Een Trojaans paard kan ook worden gebruikt om virussen en wormen te verspreiden. Het belangrijkste verschil is, dat virussen en wormen zichzelf verspreiden naar slachtoffers (push) en Trojaanse paarden meestal door het slachtoffer worden binnengehaald (pull).
Zo worden trojans verspreid:
| ● ● | als verborgen component bij (legale) software die is aangeschaft of gedownload. Besmette populaire games of zogenoemde gratis antivirussoftware (fake antivirus), gedownload van het internet, zijn de bekendste voorbeelden; |
| ● ● | geautomatiseerd via kwetsbaarheden in software, veelal webbrowsers. Trojaanse paarden worden bijvoorbeeld geïnstalleerd vanaf een webpagina waarop mensen per ongeluk terechtkomen; |
| ● | als component bij een virus of worm, zodat deze, na het infecteren van de computer, ook een Trojaans paard installeert; |
| ● | via een software-update. Soms is een software-update dusdanig door een kwaadwillende gemanipuleerd dat deze een Trojaans paard bevat; |
| ● ● | via e-mail. Soms wordt op zeer grote schaal e-mail verspreid (spam) waaraan als bijlage een Trojaans paard hangt. Door de ontvanger over te halen de bijlage te installeren wordt het Trojaans paard verspreid; |
| ● ● | direct door een hacker. Deze installeert een Trojaans paard om het systeem te misbruiken en/of later makkelijker opnieuw te kunnen binnendringen. |
Backdoor
De term backdoor wordt heel algemeen gebruikt voor (onderdelen van) software die buiten de normale methoden om toegang geeft tot een systeem. Een voorbeeld hiervan is een stuk programmacode dat door een programmeur in een programma is gestopt, zodat hij of zij zichzelf later toegang kan verschaffen tot de software of het systeem waar het op draait. Veel malware bevatten tegenwoordig een backdoor component, die een kwaadwillende op een later tijdstip toegang kan verschaffen tot de geïnfecteerde computer.
Rootkit
Een rootkit is een Trojaans paard dat zich, met volledige beheerderrechten, in een besturingssysteem heeft genesteld en essentiële onderdelen van het systeem vervangt. Alle rootkits hebben als overeenkomst dat ze verborgen willen blijven en dat ze actief willen zijn. Ze moeten dus geladen worden door het besturingssysteem. Het blijft echter moeilijk om de aanwezigheid van de rootkit vanaf het systeem zelf te detecteren, omdat sporen van de aanwezigheid door de vervangen onderdelen worden verborgen. Vooral rootkits die zich in het hart van het besturingsysteem (kernel)
nestelen zijn moeilijk te detecteren. Veel rootkits bevatten een backdoor component.
Keylogger
Een keylogger is de benaming voor een specifiek soort software die maar één ding doet: het loggen van toetsaanslagen en eventueel muisklikken. De gelogde gegevens worden vaak automatisch verstuurd naar een derde partij. Een keylogger kan op zichzelf staan maar komt ook voor als onderdeel van een backdoor of een rootkit.
Spyware
Spyware is de benaming voor (onderdelen van) software die specifieke gegevens van een computer verzamelen, zoals bijvoorbeeld surfgedrag. Spyware wordt soms door de softwarefabrikant toegevoegd en soms door anderen aan bestaande software toegevoegd. In zeldzame gevallen wordt
in licentievoorwaarden melding gemaakt van spywareactiviteiten, maar over het algemeen is dit niet het geval. Spyware ‘verstopt’ zich vaak niet echt en is redelijk gemakkelijk op te sporen.
Bot
De term bot wordt over het algemeen gebruikt voor malware met een backdoor component. Bots melden zich aan bij een centrale commandoserver (‘Command & Control’-kanaal) waarna ze commando’s kunnen ontvangen.¹ Zo worden computers waarop bots aanwezig zijn vaak gebruikt om gezamenlijk DDoS-aanvallen (Distributed Denial of Service) uit te voeren, maar kunnen ze ook worden ingezet als proxies die kunnen worden gebruikt voor het versturen van spam.
¹ Vaak werden IRC-kanalen gebruikt maar ook HTTP of bijvoorbeeld peer-to-peer-netwerken. Tegenwoordig zijn de C&C kanalen divers en moeilijker op te sporen.
SHA1 hashcode: 419bc28cc3e06a814acb4c7d5c765c9e4f21aae6 20240729 1096w #102