Dropper

Een dropper is een klein hulpprogramma dat de levering en installatie van malware vergemakkelijkt. Spammers en andere slechte actoren gebruiken droppers om de handtekeningen te omzeilen die anti-virus programma's gebruiken om kwaadaardige code te blokkeren of in quarantaine te plaatsen. Het is veel eenvoudiger om de dropper te veranderen, mocht zijn handtekening worden herkend, dan om de kwaadaardige codebase te herschrijven.

Droppers kunnen, net als veel van hun grotere Trojaanse tegenhangers, persistent of niet-persistent zijn. Niet-persistente droppers installeren malware en verwijderen zichzelf dan automatisch. Persistente droppers kopiëren zichzelf naar een verborgen bestand en blijven daar tot ze hun taak hebben volbracht.

Droppers kunnen worden verspreid door mensen die:

  • Een geïnfecteerde e-mailbijlage openen.
  • Een drive-by download op een geïnfecteerde website oppikken.
  • Klik op een kwaadaardige link in een e-mail of op een website.
  • Gebruik een geïnfecteerde flashdrive.

Soms worden droppers gebundeld met gratis hulpprogramma's (zoals ad blockers) om detectie door antivirussoftware te voorkomen. Wanneer het gratis programma wordt uitgevoerd, downloadt en installeert de dropper eerst malware voordat het legitieme hulpprogramma wordt uitgepakt en geïnstalleerd.

Hoe droppers zich verbergen

Droppers kunnen door de gebruiker moeten worden uitgevoerd, maar ze kunnen ook worden uitgevoerd door misbruik te maken van een kwetsbaarheid in de beveiliging. Droppers worden vaak vermomd en verborgen in de directory's (mappen) van een computer, zodat ze weliswaar zichtbaar zijn, maar eruit zien als geldige programma's of bestandstypen. Soms worden droppers gebundeld met gratis hulpprogramma's (zoals ad blockers) om detectie door antivirussoftware te voorkomen. Wanneer het gratis programma wordt uitgevoerd, downloadt en installeert de dropper eerst malware voordat het legitieme hulpprogramma wordt uitgepakt en geïnstalleerd.

Droppers worden niet geassocieerd met bestandsextensies, waardoor ze moeilijker te detecteren zijn. De software, die in wezen werkt als een Trojaans paard, wordt vaak gebruikt bij spear phishing-aanvallen.

Hoewel droppers van oudsher standalone programma's zijn, worden hun mogelijkheden steeds vaker opgenomen als onderdeel van een malwarepakket. Eind 2014 meldde de FBI bijvoorbeeld dat malware die werd gebruikt bij aanvallen op Sony in verband met hun film The Interview was verpakt in een uitvoerbare dropper die zichzelf installeerde als een Windows-service. Data collected by the 2020 Verizon DBIR shows that nearly 25% of public sector incidents involve a dropper.

Preventing droppers

The Cybersecurity and Infrastructure Security Agency (CISA) recommends users and administrators:

  • Block email attachments that cannot be scanned by antivirus software.
  • Implement a zero-trust strategy.
  • Adhere to the principle of least privilege (POLP).
  • Implement network slicing to segment and segregate networks and functions.

Take a Quiz!

1. Zeus, also known as Zbot, is a popular malware tookit that allows bad actors to build their own _________________.
a. virus signatures
b. Trojan horses
Answer

2. What is a mantrap?
a. a command and control server that issues directives to infected devices.
b. a small room with two doors.
Answer

3. Hoe noem je de programmering die is ingebed in het persistente geheugen van het toetsenbord van je computer?
a. software driver
b. firmware
Antwoord

4. Wat doet een backdoor?
a. helpt de beveiligingsmechanismen van een computer te omzeilen.
b. ontkoppelt de voorkant van een website van de achterkant om de privacy te verbeteren.
Antwoord

5. Persistent droppers worden vaak gebruikt om APT-aanvallen uit te voeren. Waar staat APT voor?
a. advanced persistent threat
b. automated programming thread
Antwoord