8.0_MalwareOverview.pdf

# Algemeen overzicht van malware Dit document introduceert het concept van kwaadaardige software (malware), definieert wat het is, geeft voorbeelden van verschillende soorten malware en bespreekt de doelen die malware-aanvallers nastreven. ## 1. Algemeen overzicht van malware Malware, oftewel "malicious software", is software die is ontworpen om een computer binnen te dringen zonder de geïnformeerde toestemming van de eigenaar. Het omvat een breed scala aan kwaadaardige programma's die verschillende schade kunnen aanrichten [3](#page=3). ### 1.1 Wat is malware? Malware is software die specifiek is ontwikkeld om ongeautoriseerd toegang te krijgen tot een computersysteem. Het omzeilt normale authenticatieprocedures en wordt vaak geïnstalleerd via andere kwaadaardige software zoals Trojan horses of worms [3](#page=3). ### 1.2 Soorten malware Er zijn verschillende soorten malware, elk met hun eigen kenmerken en methoden van infectie en schade: * **Computer virussen**: Programma's die zich kunnen repliceren en verspreiden naar andere bestanden en systemen [3](#page=3). * **Worms**: Vergelijkbaar met virussen, maar kunnen zichzelfstandig verspreiden via netwerken zonder menselijke tussenkomst [3](#page=3). * **Trojan horses**: Programma's die zich voordoen als legitieme software, maar verborgen kwaadaardige functionaliteit bevatten [3](#page=3). * **Ransomware**: Gevolgde software die bestanden of toegang tot een systeem versleutelt en losgeld eist voor de ontsleuteling [3](#page=3). * **Scareware**: Malware die gebruikers bang maakt met valse waarschuwingen of bedreigingen om hen te overhalen geld te betalen of schadelijke software te downloaden [3](#page=3). * **Spyware**: Software die stiekem informatie verzamelt over de gebruiker en diens computergebruik, zonder toestemming [3](#page=3). * **Adware**: Software die ongewenste advertenties toont, vaak in pop-ups of tijdens het browsen [3](#page=3). * **Backdoors**: Manieren om ongeautoriseerde toegang tot een systeem te krijgen, vaak gecreëerd door de oorspronkelijke ontwikkelaar of door aanvallers [3](#page=3). * **Botnets**: Een netwerk van geïnfecteerde computers (bots) die op afstand worden bestuurd door een aanvaller voor kwaadaardige doeleinden [3](#page=3). ### 1.3 Doelen van malware-aanvallers Malware-aanvallers nastreven diverse doelen, waaronder: * **Financiële winst**: Dit kan gebeuren door middel van losgeldbetalingen (ransomware) of door het stelen van financiële gegevens [3](#page=3). * **Diefstal van gevoelige informatie**: Dit omvat persoonlijke gegevens, bedrijfsgeheimen, inloggegevens en andere vertrouwelijke informatie [3](#page=3). * **Reputatieschade**: Dit kan variëren van het defaceren van websites tot het verspreiden van misinformatie, vaak gedreven door "hacktivisme" [3](#page=3). > **Tip:** Het is cruciaal om op de hoogte te zijn van de verschillende soorten malware en hun doelen om effectieve beveiligingsmaatregelen te kunnen implementeren en jezelf te beschermen. > **Tip:** De bronnen vermeld op pagina 8 tot en met 12 bieden aanvullende inzichten in de kosten van cyberaanvallen, statistieken, en wie te contacteren tijdens een incident, evenals informatie over onderzoek en tooling [10](#page=10) [11](#page=11) [12](#page=12) [8](#page=8) [9](#page=9). --- # Specifieke malware-voorbeelden en -mechanismen Dit gedeelte behandelt specifieke voorbeelden van malware, zoals CryptoLocker en WannaCry, en de mechanismen die ze gebruiken voor verspreiding, infectie en werking. ### 2.1 Ransomware voorbeelden #### 2.1.1 CryptoLocker CryptoLocker is een voorbeeld van ransomware die bestanden op een geïnfecteerd systeem versleutelt en losgeld eist voor de ontsleuteling [4](#page=4) [5](#page=5). #### 2.1.2 WannaCry WannaCry is een bekende ransomware die zich snel verspreidde door gebruik te maken van een kwetsbaarheid in het SMBv1 protocol van Windows, met name de EternalBlue exploit [6](#page=6). > **Tip:** WannaCry vereiste geen gebruikersinteractie om zich te verspreiden dankzij de exploitatie van systeemkwetsbaarheden [6](#page=6). ##### 2.1.2.1 Stappen van WannaCry Het infectieproces van WannaCry volgt een specifieke reeks stappen: 1. **Start op geïnfecteerde machine:** De ransomware begint zijn werking op een reeds geïnfecteerd systeem [6](#page=6). 2. **Scannen op kwetsbare systemen:** Het zoekt naar Windows-computers die kwetsbaar zijn voor de EternalBlue exploit, specifiek systemen met SMBv1 en zonder de Microsoft patch MS17-010 [6](#page=6). 3. **Exploitatie:** De SMB-kwetsbaarheid wordt benut om code op afstand uit te voeren, zonder dat de gebruiker iets hoeft te doen [6](#page=6). 4. **Installatie van DoublePulsar:** Een lichtgewicht backdoor, DoublePulsar, wordt geïnstalleerd om betrouwbaar aanvullende code op het doelwit te kunnen uitvoeren [6](#page=6). 5. **Droppen en uitvoeren van ransomware:** De eigenlijke ransomware-payload wordt gedropt en uitgevoerd [6](#page=6). 6. **Controleren van de "kill switch" domein:** De malware controleert een specifiek domein dat dient als een 'kill switch' om verdere verspreiding te stoppen als dit domein actief is [6](#page=6). 7. **Encryptie van bestanden:** Gangbare bestandstypen worden versleuteld, de extensies worden gewijzigd naar.WNCRY, en een losgeldbrief wordt getoond [6](#page=6). 8. **Verdere verspreiding:** De ransomware probeert zich verder te verspreiden naar andere systemen [6](#page=6). ##### 2.1.2.2 EternalBlue EternalBlue is de specifieke exploit die WannaCry gebruikte om zich te verspreiden door misbruik te maken van een kwetsbaarheid in het Server Message Block (SMB) protocol van Windows [6](#page=6). ### 2.2 Scareware Scareware is malware die misleidende pop-ups, waarschuwingen of aanbiedingen toont om gebruikers te overtuigen een "reparatie"- of "opschoon"-tool te installeren, die zelf vaak kwaadaardig is [7](#page=7). ### 2.3 Algemene virus levenscyclus Virussen doorlopen doorgaans zes fasen: 1. **Ontwerp:** Het ontwikkelen van de viruscode met behulp van programmeertalen of kant-en-klare kits [15](#page=15). 2. **Replicatie:** Het virus repliceert zich gedurende een bepaalde periode binnen het doelsysteem en verspreidt zich vervolgens [15](#page=15). 3. **Lancering:** Het virus wordt geactiveerd wanneer de gebruiker bepaalde acties uitvoert, zoals het starten van een geïnfecteerd programma [15](#page=15). 4. **Detectie:** Een virus wordt geïdentificeerd als een dreiging die doelsystemen infecteert [15](#page=15). 5. **Inschakeling:** Anti-virus softwareontwikkelaars ontwikkelen verdedigingen tegen het virus [15](#page=15). 6. **Eliminatie:** Gebruikers installeren bijgewerkte anti-virussoftware en elimineren de virusdreigingen [15](#page=15). ### 2.4 Infectiemethoden Apparaten kunnen op verschillende manieren geïnfecteerd raken: #### 2.4.1 Ongedifferentieerde aanvallen Dit zijn aanvallen die niet gericht zijn op specifieke slachtoffers: * Ontvangen van phishing-e-mails met schadelijke bijlagen (bv. "invoice.pdf.exe" of een Word-document) [16](#page=16). * Bezoeken van "gevaarlijke" websites, maar ook van "niet-gevaarlijke" websites die gehackt zijn, zoals nieuwswebsites [16](#page=16). * Downloaden van illegale programma's of games van onbetrouwbare bronnen [16](#page=16). #### 2.4.2 Gerichte aanvallen (APT) Bij Advanced Persistent Threats (APT) zijn virussen vaak speciaal ontwikkeld voor een specifieke organisatie. Ze kunnen een bedrijfsnetwerk binnendringen door kwetsbaarheden in websites te exploiteren [16](#page=16). ### 2.5 Doelen van virusinfectie Virussen kunnen verschillende delen van een systeem infecteren: * **Hard drive boot sector (MBR):** Bijvoorbeeld NotPetya, dat zich verspreidde via een update van MeDoc en ook gebruik maakte van EternalBlue [27](#page=27). * **Bestanden:** Bestanden op het systeem kunnen direct geïnfecteerd worden [27](#page=27). * **Multipartite virussen:** Deze infecteren zowel de MBR als bestanden. Een voorbeeld hiervan is Ghostball [27](#page=27). * **Macro virussen:** Deze maken gebruik van VBA-code ingebed in Word- en Excel-documenten [27](#page=27). * **Cluster virussen:** Deze veranderen de pointers in het bestandssysteem [27](#page=27). ### 2.6 Geavanceerde virusmechanismen #### 2.6.1 Stealth / Tunneling Deze technieken worden gebruikt om detectie door anti-virus software te ontlopen [28](#page=28). #### 2.6.2 Encryptie Virussen kunnen hun payload versleutelen om detectie door anti-virus software te bemoeilijken. Hyperion is een voorbeeld van een virus dat deze techniek gebruikt [29](#page=29). #### 2.6.3 Polymorfisme Polymorfe code is code die zichzelf muteert terwijl het oorspronkelijke algoritme intact blijft. Een goed geschreven polymorf virus heeft geen constante onderdelen [30](#page=30). #### 2.6.4 Metamorfisme Metamorfe virussen zijn geavanceerde polymorfe virussen die zichzelf herschrijven [30](#page=30). #### 2.6.5 Overwriting/Cavity Cavity virussen overschrijven een deel van een bestand dat constante waarden bevat, zonder de bestandsgrootte te vergroten en de functionaliteit te behouden [31](#page=31). #### 2.6.6 Sparse Infector Dit mechanisme infecteert bestanden op een selectieve manier, vaak door slechts een deel van het bestand te wijzigen [32](#page=32). #### 2.6.7 Companion/Camouflage Companion virussen creëren een nieuw uitvoerbaar bestand met dezelfde naam als een legitiem programma, maar met een andere extensie. Camouflage kan ook het verbergen van de ware aard van een bestand inhouden [33](#page=33). #### 2.6.8 Shell Bij shell-virussen vormt de viruscode een schil rondom de code van het doelprogramma. Het virus wordt zo het oorspronkelijke programma en de oorspronkelijke code wordt een sub-routine. Bijna alle boot-programma virussen zijn shell-virussen [34](#page=34). #### 2.6.9 File Extension manipulatie Deze virussen veranderen de extensies van bestanden om gebruikers te misleiden. Als bestandsextensies zijn uitgeschakeld in Windows, kan een bestand zoals "document.txt.vbs" worden weergegeven als "document.txt", waardoor de gebruiker het als een onschuldig tekstbestand kan openen en uitvoeren. Het uitschakelen van "Hide file extensions" in Windows is een tegenmaatregel [35](#page=35). #### 2.6.10 Transient en Terminate and Stay Resident (TSR) virussen * **Transient virussen:** Deze laden zichzelf in het geheugen en voeren hun actie uit, waarna ze verdwijnen [36](#page=36). * **Terminate and Stay Resident (TSR) virussen:** Deze blijven actief in het geheugen van het systeem, zelfs nadat de oorspronkelijke taak is voltooid, om continu kwaadaardige activiteiten uit te voeren of te wachten op bepaalde triggers [36](#page=36). --- # Verschillen tussen virussen, wormen en Trojans Dit onderwerp verduidelijkt de fundamentele verschillen tussen virussen, wormen en Trojans, inclusief hun kenmerken, voortplantingsmethoden en specifieke doelen [37](#page=37) [38](#page=38) [39](#page=39) [40](#page=40) [42](#page=42). ### 3.1 Virussen Een virus, per definitie, kopieert zichzelf. Virussen bestaan uit twee delen [38](#page=38): * **Het infectiegedeelte**: Dit is code die is geschreven om zichzelf te repliceren en te verspreiden via e-mail, websites of gedeelde bestanden [38](#page=38). * **De payload**: Dit is het actieve deel dat schade aanricht. Een virus is meestal een toevoeging aan andere programmacode en wordt uitgevoerd wanneer dit programma wordt gestart [38](#page=38). ### 3.2 Wormen Een worm wordt ook beschouwd als een type virus, maar is ontworpen volgens het principe "Write Once, Read Many". Het belangrijkste verschil met een traditioneel virus is dat een worm geen secundair programma nodig heeft en dus **geen gebruikersinterventie** vereist om zich te verspreiden [39](#page=39). #### 3.2.1 Anatomie van een worm Wormen bestaan doorgaans uit drie onderdelen [40](#page=40): * **De kwetsbaarheid die ze benutten (enabling vulnerability)**: Een worm installeert zichzelf door gebruik te maken van een exploit op een kwetsbaar systeem [40](#page=40). * **Voortplantingsmechanisme (propagation mechanism)**: Na het verkrijgen van toegang tot apparaten, repliceert een worm zich en selecteert nieuwe doelen [40](#page=40). * **Payload**: Zodra een apparaat is geïnfecteerd met een worm, krijgt de aanvaller toegang tot de host, vaak als een bevoorrechte gebruiker. Aanvallers kunnen een lokale exploit gebruiken om hun privilege-niveau te escaleren naar dat van een administrator [40](#page=40). ### 3.3 Trojans (Trojaanse paarden) Een Trojan Horse lijkt op een worm, maar is doorgaans verborgen binnen legitieme, werkende software. Het cruciale onderscheid is dat Trojans **niet zelf-replicerend** zijn, wat betekent dat een Trojan **geen virus** is in de strikte zin van het woord. Ze vertrouwen op misleiding om de gebruiker te verleiden de kwaadaardige software te installeren of uit te voeren [42](#page=42). --- > **Tip:** Het belangrijkste onderscheid tussen deze drie malware-types ligt in hun zelfstandigheid en replicatiemechanisme. Virussen hebben vaak een hostprogramma nodig, wormen verspreiden zich zelfstandig, en Trojans misleiden gebruikers om installatie te bewerkstelligen zonder zichzelf te vermenigvuldigen. --- # Industriële controlesystemen (ICS) en malware Dit gedeelte introduceert Industriële Controlesystemen (ICS), de verschillende impact van malware op deze systemen en de unieke uitdagingen die ze met zich meebrengen [17](#page=17) [18](#page=18). ### 4.1 Wat zijn industriële controlesystemen (ICS)? Industriële Controlesystemen (ICS) zijn systemen die worden gebruikt om industriële processen te monitoren en te besturen. Ze vormen de ruggengraat van veel kritieke infrastructuren, zoals energiecentrales, waterzuiveringsinstallaties en productiebedrijven. In tegenstelling tot traditionele IT-systemen, zijn ICS ontworpen met een focus op betrouwbaarheid, beschikbaarheid en veiligheid, vaak ten koste van flexibiliteit of beveiliging tegen cyberdreigingen [18](#page=18) [19](#page=19) [20](#page=20). #### 4.1.1 Architectuur van ICS Een typische ICS-architectuur omvat verschillende lagen [19](#page=19): * **Kantoornetwerk (Office Network)**: Dit is het traditionele IT-netwerk van een organisatie, waar bedrijfsapplicaties draaien. * **Supervisielaag (Supervision Layer)**: Hier bevinden zich systemen zoals SCADA (Supervisory Control and Data Acquisition) servers, Engineering Stations en Historians/Logging servers. Deze laag verzamelt data van de productielagen en biedt mogelijkheden voor monitoring en controle. * **Productienetwerk (Production Network)**: Dit netwerk communiceert direct met de fysieke processen. Het bevat componenten zoals Programmable Logic Controllers (PLCs), Human-Machine Interfaces (HMIs), Drives, Sensoren en Robots. Industriële netwerken, vaak gebaseerd op specifieke protocollen, verbinden deze componenten. #### 4.1.2 Verschil met traditionele IT Het belangrijkste verschil tussen ICS en traditionele IT ligt in de prioriteiten en de levenscyclus [20](#page=20). * **Prioriteiten**: ICS leggen de nadruk op de continuïteit van het proces, de veiligheid van de operatie en de betrouwbaarheid van de hardware. Downtijd kan kostbaar en gevaarlijk zijn. Traditionele IT daarentegen focust meer op databeveiliging en informatiebeschikbaarheid [22](#page=22) [23](#page=23). * **Levenscyclus**: ICS-systemen hebben vaak een zeer lange levensduur, soms wel 15 tot 20 jaar of langer. Dit betekent dat ze vaak opereren met verouderde hardware en software die niet eenvoudig te updaten of te patchen is [20](#page=20). ### 4.2 De impact van malware op ICS Malware kan een aanzienlijk andere en potentieel veel grotere impact hebben op ICS dan op traditionele IT-systemen. Terwijl malware op een kantoorcomputer voornamelijk leidt tot datalekken of productiviteitsverlies, kan malware in een ICS-omgeving leiden tot fysieke schade, productie-onderbrekingen of zelfs gevaarlijke situaties [22](#page=22) [23](#page=23). #### 4.2.1 Specifieke impactscenario's * **Productieverstoring**: Malware kan processen stoppen, machines lamleggen of de kwaliteit van de output beïnvloeden [22](#page=22) [23](#page=23). * **Fysieke schade**: In sommige gevallen kan malware systemen dwingen buiten hun veilige operationele parameters te opereren, wat kan leiden tot schade aan apparatuur of infrastructuur [22](#page=22) [23](#page=23). * **Veiligheidsrisico's**: Een gecompromitteerd ICS kan leiden tot gevaarlijke situaties voor werknemers en de omgeving, zoals ongecontroleerde chemische reacties of mechanische storingen [22](#page=22) [23](#page=23). * **Datacorruptie of -manipulatie**: Malware kan meetgegevens of controleniveaus manipuleren, wat leidt tot verkeerde beslissingen of onjuiste processturing [22](#page=22) [23](#page=23). #### 4.2.2 Uitdagingen in de beveiliging van ICS De beveiliging van ICS wordt gecompliceerd door verschillende factoren: * **Legacy-systemen**: Oude besturingssystemen en applicaties die niet meer ondersteund worden, vormen een groot beveiligingsrisico [20](#page=20). * **Netwerksegmentatie**: Vaak is er beperkte scheiding tussen het IT- en OT (Operational Technology)-netwerk, waardoor bedreigingen zich gemakkelijk kunnen verspreiden [19](#page=19). * **Beperkte patchmogelijkheden**: Het patchen van ICS-systemen is complex omdat dit vaak de productie stillegt. Veel systemen kunnen niet zonder risico worden herstart of bijgewerkt [20](#page=20). * **Gebrek aan zichtbaarheid**: Vaak is er onvoldoende inzicht in de assets en de communicatie binnen het OT-netwerk [24](#page=24). * **Protocollen**: ICS gebruiken vaak gespecialiseerde en soms onbeveiligde industriële protocollen die niet door standaard beveiligingstools worden herkend. ### 4.3 Real-world monitoring en detectie Tools zoals Shodan spelen een rol bij het identificeren van kwetsbare ICS-systemen die publiekelijk toegankelijk zijn. Shodan is een zoekmachine die het publieke IP-bereik scant en indexeert voor verschillende TCP-poorten, waardoor blootgestelde apparaten en systemen zichtbaar worden. Dit benadrukt het belang van het beveiligen van de grenzen tussen de IT- en OT-netwerken en het minimaliseren van de blootstelling van industriële systemen aan het internet [24](#page=24). > **Tip:** Begrijp de prioriteiten van ICS (beschikbaarheid, veiligheid, betrouwbaarheid) en hoe deze verschillen van die van traditionele IT. Dit helpt bij het inschatten van de potentiële impact van cyberaanvallen. > > **Tip:** Denk na over de "levensduur" van ICS-componenten. Oudere systemen die niet langer beveiligingsupdates ontvangen, zijn bijzonder kwetsbaar. > > **Voorbeeld:** Een ransomware-aanval die een kantoor-IT-systeem infecteert, kan leiden tot dataverlies of het versleutelen van bestanden. Dezelfde ransomware die een SCADA-systeem infecteert, kan echter leiden tot een productiestop van een chemische fabriek, met potentieel catastrofale gevolgen. --- # Moderne malware en detectietechnieken Dit onderwerp behandelt geavanceerde malware-aanvallen zoals supply chain attacks (Shai Hulud), en de verschillende methoden voor malware-detectie, zoals antivirus, EDR en XDR [46](#page=46). ### 5.1 Geavanceerde malware-aanvallen #### 5.1.1 Botnets Een botnet is een netwerk van gecompromitteerde computers, ook wel "zombies" of "bots" genoemd, die onder controle staan van een externe aanvaller. Elk geïnfecteerd apparaat volgt commando's van een centrale server. Een veelvoorkomend gebruiksscenario voor wormen is het creëren van botnets [43](#page=43) [44](#page=44). ##### 5.1.1.1 Mirai botnet Het Mirai botnet, actief rond 2016, maakte gebruik van veelvoorkomende standaard- of hardgecodeerde inloggegevens op IoT-apparaten, zoals "root/root", "admin/admin", of "root/12345", om zich te verspreiden via SSH/Telnet, en had niet altijd een exploit nodig [45](#page=45). #### 5.1.2 Supply chain attacks: Shai Hulud Shai Hulud is een voorbeeld van een supply chain attack die gericht is op het stelen van API-sleutels en het dumpen ervan in een publieke repository via `npm install`. Deze aanval ontvouwt zich in meerdere fasen [47](#page=47): ##### 5.1.2.1 Fase 1: Credential harvesting De initiële stap van de malware is het oogsten van geheimen uit de volledige ontwikkelomgeving. Dit omvat niet alleen lokale bestanden zoals `.npmrc` en `.git-credentials`, maar ook geheimen die zijn opgeslagen in omgevingsvariabelen (`process.env`) en de query naar cloud metadata endpoints in AWS en GCP-omgevingen om referenties van draaiende instanties of services te verkrijgen [49](#page=49). ##### 5.1.2.2 Fase 2: Interne broncode scanning Met een gestolen GitHub-token vanuit de eerste oogstfase, scant de malware interne, private GitHub-repositories waartoe het gecompromitteerde account toegang heeft. Hiervoor wordt de open-source tool TruffleHog gebruikt om meer waardevolle geheimen, zoals productie-API-sleutels of databasecredentials, te vinden die direct in de broncode zijn vastgelegd [50](#page=50). ##### 5.1.2.3 Fase 3: Zelfreplicatie via NPM Met een gestolen NPM-token begint de worm zich te verspreiden. Het inventariseert automatisch de softwarepakketten die door de gecompromitteerde ontwikkelaar worden onderhouden en injecteert eigen kwaadaardige code in deze pakketten. Vervolgens publiceert het deze geïnfecteerde projecten als nieuwe versies naar het NPM-register, wat een kettingreactie veroorzaakt waarbij iedereen die de bijgewerkte pakketten downloadt, wordt geïnfecteerd [51](#page=51). ##### 5.1.2.4 Fase 4: Exfiltratie via dubbele methode De malware gebruikt twee methoden om gestolen data naar de aanvallers te sturen: * **Publieke blootstelling**: Er wordt een nieuwe, publieke GitHub-repository aangemaakt onder de account van het slachtoffer, vaak genaamd "Shai-Hulud". Hierin wordt een JSON-bestand gecommit met alle geoogste geheimen, systeeminformatie en omgevingsvariabelen [52](#page=52). * **Stealthy Webhook**: Tegelijkertijd wordt een kwaadaardig GitHub Actions workflow-bestand (`.github/workflows/shai-hulud-workflow.yml`) in de repositories van het slachtoffer geplaatst. Deze workflow serialiseert de geheimen van het account en POST ze rechtstreeks naar een door de aanvaller gecontroleerde webhook, wat een meer heimelijk kanaal voor datadiefstal creëert [52](#page=52). ##### 5.1.2.5 Fase 5: Amplificatie en blootstelling De worm probeert de datalekken te vergroten door door de repositories van het slachtoffer te itereren en, indien de permissies dit toelaten, de zichtbaarheid van privé repositories te wijzigen naar publiek. Door de kwaadaardige workflow in meer repositories te injecteren, worden meer triggers voor data-exfiltratie gecreëerd, wat de impact van de aanval maximaliseert [53](#page=53). ### 5.2 Malware-detectietechnieken #### 5.2.1 Antivirus (AV) Antivirussoftware maakt gebruik van signature-based detection. Hierbij onderhoudt de antivirus een database met bekende malware-signaturen (hashes en bestandinhoud). Bij het openen, downloaden of uitvoeren van een bestand berekent de antivirus de hashes, scant de bestandsinhoud en vergelijkt deze met de eigen signatuurdatabase. Antivirus is primair ontworpen voor individuele apparaten en is gedecentraliseerd en beperkt in scope, waardoor het minder geschikt is voor zakelijke omgevingen. Een gratis online virusscanner is www.virustotal.com [57](#page=57). #### 5.2.2 Endpoint Detection and Response (EDR) EDR-systemen monitoren continu endpoints en analyseren gedrag om bedreigingen in real-time te detecteren, onderzoeken en erop te reageren. In tegenstelling tot AV, detecteert EDR verdacht gedrag in plaats van enkel bekende malware-signaturen. Geaggregeerde data wordt verzonden naar een centrale beheerconsole. Waar AV probeert malware te blokkeren, helpt EDR bij het detecteren en reageren wanneer aanvallen toch door de verdediging komen [58](#page=58). #### 5.2.3 Extended Detection and Response (XDR) XDR bouwt voort op de functionaliteit van EDR en breidt de bescherming uit over meerdere omgevingen. XDR kan cloud-infrastructuur, servers, e-mailverkeer en meer beveiligen. Het doel is om een beheersbare stroom van notificaties te creëren voor IT-personeel, met een gecentraliseerd beheerplatform dat verenigd is over de gehele IT-omgeving. XDR is met name interessant vanwege de hogere kosten in scenario's met werktelefoons, hybride omgevingen en aanzienlijke cloudinfrastructuur [59](#page=59). > **Tip:** Antivirus (AV), EDR en XDR vertegenwoordigen verschillende lagen en scopes in malware-detectie en threat response. AV is de basis voor individuele apparaten, EDR biedt endpoint-level gedragsanalyse en respons, terwijl XDR een geïntegreerde aanpak biedt over de gehele IT-infrastructuur [60](#page=60). --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | Malware | Kwaadaardige software (malware) is software die is ontworpen om een computer binnen te dringen zonder de geïnformeerde toestemming van de eigenaar. Het omvat verschillende soorten schadelijke programma's. | | Computervirus | Een type malware dat zichzelf kan repliceren en zich kan verspreiden door code te injecteren in andere programma's of bestanden, vaak vereist interactie van de gebruiker om te activeren. | | Worm | Een zelfstandig type malware dat zich kan verspreiden over netwerken zonder menselijke tussenkomst, door gebruik te maken van beveiligingskwetsbaarheden om zich te repliceren en nieuwe systemen te infecteren. | | Trojan Horse (Trojaans paard) | Een type malware dat zich voordoet als legitieme software, maar verborgen kwaadaardige functionaliteit bevat. Het is niet zelf-replicerend en vereist meestal dat de gebruiker het uitvoert. | | Ransomware | Een type malware dat de toegang tot een computersysteem of gegevens vergrendelt en losgeld eist voor het herstellen van de toegang. Dit gebeurt vaak door bestanden te versleutelen. | | Scareware | Software die gebruikers probeert te misleiden door valse alarmen te genereren over computervirussen of andere beveiligingsproblemen, om hen te dwingen betaalde, vaak nutteloze, software te kopen. | | Spyware | Malware ontworpen om informatie te verzamelen over een persoon of organisatie zonder hun medeweten, en deze informatie door te sturen naar derden. | | Adware | Software die automatisch advertenties weergeeft, vaak in de vorm van pop-ups of banners, tijdens het gebruik van een computer. Hoewel niet altijd schadelijk, kan het invasief zijn. | | Backdoor | Een verborgen methode om toegang te krijgen tot een computersysteem of software, die normale authenticatieprocedures omzeilt, vaak gebruikt door malware om ongeautoriseerde toegang te verkrijgen. | | Botnet | Een netwerk van gecompromitteerde computers (bots of zombies) die onder controle staan van een enkele aanvaller (botmaster), vaak gebruikt voor gecoördineerde aanvallen of illegale activiteiten. | | Cryptolocker | Een specifiek voorbeeld van ransomware die bestanden op een geïnfecteerd systeem versleutelt en losgeld eist in ruil voor de decryptiesleutel. | | WannaCry | Een wereldwijde ransomware-aanval die in 2017 veel organisaties trof, gebruikmakend van de EternalBlue-exploit om zich snel te verspreiden via het SMBv1-protocol. | | EternalBlue | Een exploit die oorspronkelijk werd ontwikkeld door de NSA en werd gelekt, en die werd gebruikt door malware zoals WannaCry om kwetsbare Windows-systemen aan te vallen via het Server Message Block (SMB) protocol. | | DoublePulsar | Een backdoor die door de NSA werd gebruikt en later door hackers, waaronder de makers van WannaCry, om externe code-uitvoering op Windows-systemen mogelijk te maken. | | Industriële Controlesystemen (ICS) | Systemen die worden gebruikt voor de controle en automatisering van industriële processen, zoals energiecentrales, waterzuiveringsinstallaties en productiefabrieken. Deze systemen hebben specifieke beveiligingsuitdagingen. | | Shodan | Een zoekmachine die openbaar toegankelijke apparaten op het internet indexeert, waardoor beveiligingsonderzoekers en aanvallers kwetsbare systemen kunnen identificeren. | | Boot Sector Virus | Een type virus dat de master boot record (MBR) of de boot sector van een opslagapparaat infecteert, waardoor het systeem opstart voordat het besturingssysteem wordt geladen. | | Multipartite Virus | Een virus dat meerdere infectiemethoden gebruikt, zoals het infecteren van zowel de bootsector als uitvoerbare bestanden. | | Macro Virus | Een virus geschreven in macrotaal (zoals VBA in Microsoft Office) dat wordt ingebed in documenten (Word, Excel) en wordt geactiveerd wanneer het document wordt geopend. | | Stealth Virus | Een type virus dat ontworpen is om detectie door antivirussoftware te vermijden, bijvoorbeeld door zichzelf te verbergen of tijdelijk te verwijderen uit geïnfecteerde bestanden wanneer deze worden gescand. | | Polymorfisch Virus | Een virus dat zijn code verandert (muteert) telkens wanneer het zich repliceert, waardoor het moeilijker wordt om het te detecteren met signature-based antivirussoftware. | | Metamorf Virus | Een geavanceerdere vorm van polymorfische virussen die zichzelf herschrijven en zich mogelijk volledig herstructureren bij elke replicatie. | | Cavity Virus | Een type virus dat een deel van een bestand overschrijft zonder de lengte van het bestand te vergroten of de functionaliteit ervan te beïnvloeden, vaak door gebruik te maken van lege ruimtes (nulls) in het bestand. | | Sparse Infector | Een virus dat slechts een deel van de bestanden op een systeem infecteert, vaak om detectie te vermijden door de kans op infectie te verminderen. | | Companion Virus | Een virus dat zichzelf identificeert als een legitiem uitvoerbaar bestand en het originele bestand vergezelt, zodat het wordt uitgevoerd wanneer de gebruiker het originele bestand probeert te openen. | | Camouflage Virus | Een virus dat zich voordoet als een legitiem bestand of proces om detectie door gebruikers en beveiligingssoftware te ontwijken. | | Shell Virus | Een virus dat zich als een "omhulsel" om een ander programma heen plaatst, waardoor het zichzelf identificeert als het originele programma en het originele programma als een sub-routine uitvoert. | | File Extension Virus | Een virus dat de bestandsextensies manipuleert of verbergt om de ware aard van een bestand te verbergen, wat kan leiden tot onbedoelde uitvoering door de gebruiker. | | Transient Virus | Een virus dat actief is voor een korte periode en zichzelf vervolgens deactiveert of verwijdert uit het geheugen, om detectie te bemoeilijken. | | Terminate and Stay Resident (TSR) Virus | Een virus dat, na infectie, een deel van zichzelf in het RAM-geheugen van de computer achterlaat, zodat het actief kan blijven en operaties kan uitvoeren, zelfs nadat het oorspronkelijke programma is gesloten. | | Supply Chain Attack | Een type cyberaanval waarbij de aanvaller een legitieme component of leverancier in de toeleveringsketen van software of hardware compromitteert om uiteindelijk het einddoelwit te bereiken. | | Shai Hulud | Een specifiek voorbeeld van een supply chain attack, gericht op ontwikkelaars, waarbij gestolen credentials en broncode worden gebruikt om verdere infecties te verspreiden via pakketbeheerders zoals NPM. | | Npm | Een pakketbeheerder voor JavaScript, gebruikt om bibliotheken en afhankelijkheden in Node.js-projecten te beheren. | | TruffleHog | Een open-source tool die wordt gebruikt om geheimen (zoals API-sleutels en wachtwoorden) in Git-repositories te vinden. | | GitHub Actions | Een CI/CD (Continuous Integration/Continuous Deployment) platform van GitHub dat automatisering van softwareworkflows mogelijk maakt, en dat door malware kan worden misbruikt. | | Signature-based Detection | Een antivirusmethode die malware detecteert door bekende malware-signaturen (hashes of patronen) te vergelijken met bestanden op een systeem. | | Endpoint Detection and Response (EDR) | Een beveiligingsoplossing die eindpunten (computers, servers) continu monitort, gedrag analyseert en bedreigingen detecteert, onderzoekt en erop reageert in realtime. | | Extended Detection and Response (XDR) | Een evolutie van EDR die beveiligingsgegevens verzamelt en correleert uit meerdere bronnen (eindpunten, netwerk, cloud, e-mail) om een breder en meer geïntegreerd beeld van bedreigingen te bieden en de detectie en respons te verbeteren. |