Malware

Malware-ecosystemen en aanvalsketens

Moderne malware-ecosystemen worden in toenemende mate gekenmerkt door modulariteit, herbruikbaarheid en taakverdeling binnen één aanvalsketen. In plaats van één “all-in-one” payload wordt vaak gestart met een initiële loader of dropper die primair is ontworpen om een foothold te creëren: het vaststellen van uitvoerbaarheid op het doelwit, het omzeilen van beveiligingsmaatregelen, het leggen van een basale communicatielijn met externe infrastructuur en het voorbereiden van latere fasen. Zodra die eerste fase is geslaagd, volgt doorgaans het selectief downloaden van aanvullende modules, waarbij het gedrag afhankelijk kan zijn van het type systeem, aanwezige beveiligingsproducten, domeinlidmaatschap, privileges van de gebruiker en de waarde van de omgeving. Hierdoor ontstaat een adaptieve aanvalsketen die zich aanpast aan omstandigheden, en die forensisch juist daardoor niet altijd in één artifact valt te vangen.

Binnen deze ketens komen terugkerende functionele domeinen voor, zoals privilege escalation, persistence, credential harvesting en laterale beweging. Privilege escalation kan plaatsvinden via exploitatie van kwetsbaarheden, misbruik van foutieve configuraties of misleiding van gebruikersprocessen; persistence kan uiteenlopen van registry keys en scheduled tasks tot misbruik van WMI subscriptions of het plaatsen van diensten die ogenschijnlijk legitiem lijken. Credential harvesting kan zowel “in memory” plaatsvinden als via keylogging, browser data extraction of het misbruiken van token- en sessie-informatie. Laterale beweging wordt vervolgens gefaciliteerd door het misbruik van beheertools, remote management protocollen of het hergebruiken van verkregen credentials, met als doel bredere toegang binnen een netwerk, exfiltratie van gevoelige data of positionering voor impactvolle acties zoals versleuteling.

De ketenmatige aard van zulke ecosystemen heeft directe gevolgen voor het bewijsbeeld. Een incident kan op endpointniveau slechts een loader of een beperkte module tonen, terwijl de beslissende acties—zoals opdrachtverstrekking, selectie van doelen, of het activeren van destructieve functies—elders plaatsvinden, bijvoorbeeld via command-and-control systemen, panels of geautomatiseerde workflows. Tegelijkertijd kan dezelfde loader in verschillende campagnes worden hergebruikt, waardoor attributie op basis van code-overeenkomsten alleen zelden voldoende is. Het dossier vraagt in zulke gevallen om contextuele samenhang: tijdslijnen, netwerkcorrelatie, overeenkomende infrastructuurkenmerken, configuratieparameters, en sporen die wijzen op operationele keuzes, zoals doelgerichte filtering, “hands-on-keyboard” momenten en het op maat aanpassen van modules aan specifieke omgevingen.

Rollen, ketenverantwoordelijkheid en “malware-as-a-service”

De professionalisering van cybercriminaliteit heeft geleid tot een marktstructuur waarin ontwikkelaars, verspreiders en operators gescheiden rollen kunnen innemen, met uiteenlopende mate van nabijheid tot de daadwerkelijke impact op slachtoffers. “Malware-as-a-service” modellen brengen vaak een ecosysteem van partijen samen: ontwikkelaars leveren codebases, builders en updates; affiliates verzorgen verspreiding via phishing, exploit chains of credential stuffing; operators voeren de daadwerkelijke intrusie uit, navigeren door de omgeving en bepalen het moment van exfiltratie of encryptie; en ondersteunende diensten leveren infrastructuur, bulletproof hosting, obfuscation, crypters of toegang tot initial access brokers. Deze fragmentatie creëert een juridische uitdaging omdat één technisch incident in de buitenwereld als één aanval wordt ervaren, terwijl de onderliggende besluitvorming en uitvoering verspreid kan zijn over meerdere actoren met verschillende intenties en kennisniveaus.

In een strafrechtelijke context kan de beoordeling daardoor verschuiven van de vraag “wie heeft de schade veroorzaakt” naar de vraag welke bijdrage op welk moment is geleverd, met welke wetenschap en met welke mate van controle. Een actor die uitsluitend toegang verkoopt tot een gecompromitteerd netwerk kan betogen geen betrokkenheid te hebben bij latere ransomware-activiteiten, terwijl de omstandigheden—prijsstelling, communicatie, selectiviteit van targets, of het expliciet aanbieden van “domain admin access”—juist kunnen duiden op het faciliteren van ernstige vervolgdelicten. Evenzo kan een ontwikkelaar stellen uitsluitend software te hebben geschreven zonder zicht op specifieke slachtoffers, terwijl documentatie, marketingtaal, feature-sets (bijvoorbeeld stealth, data exfiltration modules, kill-switches) en de feitelijke distributiekanalen relevante indicatoren kunnen vormen voor de beoogde inzet.

Het bewijsrechtelijk zwaartepunt ligt in dergelijke dossiers vaak bij communicatie- en transactiepatronen, infrastructuurkoppelingen en de vraag of een actor beschikkingsmacht had over cruciale schakels. Panels, builders, updatekanalen, signing keys, of de mogelijkheid om modules te activeren of te deactiveren zijn typische “control points” die een bijdrage kunnen inkleuren als meer dan louter faciliterend. Tegelijkertijd vraagt een juridisch houdbare analyse om terughoudendheid bij het trekken van conclusies uit enkel technische nabijheid: het bestaan van gedeelde code, gebruik van dezelfde obfuscator of het hosten bij dezelfde provider kan ook voortkomen uit commoditisering van tooling. Een consistente reconstructie vereist daarom dat technische indicaties worden verbonden aan gedragsmatige en contextuele elementen die de rol, intentie en kennis van betrokkenen plausibel maken.

Strafrechtelijke relevantie van vervaardigen, aanbieden en voorhanden hebben

Malwarezaken raken veelal niet alleen het “uitvoeren” van een aanval, maar ook voorbereidende en faciliterende gedragingen rondom het vervaardigen, verspreiden, aanbieden of voorhanden hebben van hulpmiddelen die zijn bestemd voor het plegen van cyberdelicten. De kern van zulke beoordeling ligt in de bestemming en het kennelijke gebruiksdoel van de middelen, bezien in samenhang met omstandigheden zoals context, configuratie, documentatie en de feitelijke inzet. Daarmee verschuift de focus van louter schade naar preventie en risico: het strafwaardig karakter kan reeds ontstaan voordat concrete impact is gerealiseerd, juist omdat de hulpmiddelen een reële en substantiële bijdrage kunnen leveren aan digitale inbreuken, en omdat de operationele schade pas later of bij derden kan optreden.

In dossiers kan discussie ontstaan over het onderscheid tussen algemene IT-tools en specifieke hulpmiddelen met een overwegend kwaadaardig karakter. Veel tooling kent dual-use kenmerken: remote administration tools, scripting frameworks, network scanners en credential managers hebben legitieme toepassingen in beheer en beveiliging, maar kunnen eveneens worden misbruikt in aanvalsketens. De beoordeling vraagt daarom om een fijnmazige analyse van kenmerken zoals default-configuraties, hardcoded command-and-control parameters, obfuscation, anti-analysis functionaliteiten, ingebouwde exfiltratiekanalen, encryptieroutines, en handleidingen die zich expliciet richten op ongeautoriseerd gebruik. Ook het samenstel van omstandigheden is relevant: aanwezigheid op een endpoint in combinatie met logs die wijzen op execution op ongebruikelijke tijdstippen, verbindingen naar verdachte infrastructuur of het ontbreken van een plausibele beheercontext kan de interpretatie van “legitieme tooling” wezenlijk kantelen.

De intentiecomponent wordt in zulke zaken zelden uitsluitend uit één indicatie afgeleid, maar uit een cumulatief beeld. Codecommentaar, changelogs, release-notes, chatcommunicatie, ticketing, of zelfs naming conventions kunnen aanwijzingen geven over beoogde functionaliteit en gebruik. Daarnaast kan het ontbreken van normale waarborgen—zoals licenties, audit trails, toegangsbeheer, of documentatie gericht op compliance—worden meegewogen wanneer tooling in een omgeving wordt aangetroffen waar geen professionele pentest- of beheersituatie aannemelijk is. Een juridisch robuuste benadering vraagt, met het oog op bewijsminimum en tegenspraak, om expliciete weging van alternatieve verklaringen en het zorgvuldig afbakenen van wat uit de aanwezigheid van tooling wel en niet kan worden afgeleid.

Dual-use tooling en de betekenis van context, configuratie en gebruikssporen

Dual-use tooling vormt een terugkerend spanningsveld in cyberdossiers omdat de technische functionaliteit op zichzelf niet altijd beslissend is voor de juridische kwalificatie. Een netwerkscanner kan onderdeel zijn van regulier beheer, maar kan ook dienen als voorverkenning voor laterale beweging; een remote management utility kan worden gebruikt voor helpdeskdoeleinden, maar kan ook worden ingezet voor ongeautoriseerde controle over systemen. In die context verschuift de bewijsvraag naar omstandigheden die de bestemming en het gebruik aannemelijk maken: wie heeft de tool geïnstalleerd, wanneer is installatie gebeurd, via welke bron, met welke parameters, en in welke samenhang met andere artifacts zoals credential dumpers, persistence mechanismen of data staging directories.

Configuratie is daarbij vaak doorslaggevend. Tools die legitiem kunnen zijn, worden in aanvalsscenario’s veelal geconfigureerd met stealth- of evasiekenmerken, zoals het uitschakelen van logging, het forceren van encrypted tunnels naar externe endpoints, het instellen van autorun-gedrag, of het gebruik van ongebruikelijke poorten en protocollen. Daarnaast kunnen sporen in command history, scheduled tasks, registry keys, service-installaties en prefetch artifacts aanwijzingen bieden over execution en frequentie. Ook netwerktelemetrie—bijvoorbeeld DNS-requests, TLS-handshakes, beaconing patronen en verbindingen met IP-ranges die in threat intelligence terugkomen—kan het contextbeeld versterken, mits zorgvuldig gedocumenteerd en herleidbaar.

Gebruikssporen vormen ten slotte het brugpunt tussen “aanwezigheid” en “handeling”. Het aantreffen van een toolbestand zonder execution artifacts kan een wezenlijk ander bewijsgewicht hebben dan een scenario waarin logs of telemetry concrete uitvoering ondersteunen, zeker wanneer execution samenvalt met escalatiemomenten, credential harvesting of exfiltratie. Tegelijkertijd is voorzichtigheid geboden: artifacts kunnen worden verwijderd, logs kunnen ontbreken of zijn geroteerd, en adversaries kunnen living-off-the-land technieken gebruiken waarbij standaardcomponenten van het systeem worden ingezet. Een dossier dat dual-use tooling centraal stelt, heeft daarom baat bij een samenhangende tijdlijn waarin installatie, configuratie, uitvoering en netwerkgedrag worden gecorreleerd met gebruikersaccounts, privilege-niveaus en eventuele externe aansturing, zodat een onderscheid kan worden gemaakt tussen legitieme beheerhandelingen en kwaadwillend operationeel gedrag.

Ransomware: afpersing, dreiging, data-exfiltratie en financieel spoor

Ransomware-incidenten onderscheiden zich door een combinatie van technische impact en gedragingen die vaak een afpersings- of bedreigingscomponent bevatten. Het klassieke model—versleuteling van systemen in ruil voor betaling—heeft zich ontwikkeld tot “double extortion” en soms “triple extortion”, waarbij niet alleen versleuteling, maar ook diefstal en dreiging met publicatie van data, reputatieschade of het benaderen van klanten en partners een rol speelt. Daardoor krijgt het incident een bredere dimensie: de schade is niet beperkt tot downtime en herstelkosten, maar omvat ook risico’s voor vertrouwelijkheid, mogelijke schendingen van verplichtingen rond gegevensbescherming en contractuele aansprakelijkheid, en het ontstaan van externe druk via public leak sites of directe communicatiekanalen.

De operationele realiteit van ransomwarecampagnes omvat doorgaans meerdere fasen waarin bewijs op verschillende plaatsen kan worden gevonden. Voorafgaand aan encryptie wordt vaak een periode van verkenning en data staging gezien: het identificeren van kritieke servers, het uitschakelen van backups, het verzamelen van credentials, en het gereedmaken van exfiltratie via tools en protocollen die variëren van cloud storage uploads tot custom exfiltration clients. Encryptie zelf kan worden geoptimaliseerd om detectie te minimaliseren en herstel te bemoeilijken, bijvoorbeeld door het uitschakelen van shadow copies, het targeten van specifieke bestandstypen, of het paralleliseren van encryptieprocessen. Na encryptie volgen communicatie- en drukmiddelen, waaronder ransom notes, chatportalen, deadlines, en soms demonstratieve publicatie van sample data.

Het financiële spoor kan het dossier verbreden naar cryptovaluta, witwasconstructies en internationale componenten. Betalingen verlopen vaak via cryptocurrency wallets, mixers of chain-hopping technieken, en opbrengsten kunnen worden verdeeld tussen operators en affiliates. In bewijsrechtelijke zin kunnen wallet-adressen, transactiepatronen, timing van betalingen, en koppelingen met exchange-accounts aanwijzingen bieden, mits de herleidbaarheid naar natuurlijke personen of specifieke control points zorgvuldig wordt onderbouwd. Een juridisch houdbare duiding vereist hier doorgaans een combinatie van technische attributie (bijvoorbeeld wallet- en panelkoppelingen) en gedragsbewijs (communicatie, toegang tot accounts, possession van recovery keys of decryptors), zodat het onderscheid tussen toevallige exposure en bewuste betrokkenheid overtuigend kan worden gemaakt.

Forensische analyse: artefacten, methoden en bewijswaarde

Forensische analyse in malwarezaken beoogt het reconstrueren van gebeurtenissen op basis van digitale sporen, waarbij de nadruk ligt op reproduceerbaarheid, integriteit van het bewijsmateriaal en de herleidbaarheid van conclusies naar concrete artefacten. In de praktijk betekent dit dat onderzoek niet blijft steken bij het vaststellen dát malware aanwezig was, maar dat wordt uitgewerkt hoe de malware is binnengekomen, welke componenten zijn uitgevoerd, welke privileges zijn verkregen, welke systemen zijn benaderd en welke gegevensstromen hebben plaatsgevonden. De bewijswaarde van een conclusie hangt in belangrijke mate af van de mate waarin het onderzoek de volledige keten van handelingen kan duiden: van initiële besmetting tot eventuele aansturing, en van configuratie tot feitelijk effect op systemen en data. Daarbij spelen ook randvoorwaarden zoals chain of custody, imaging-procedures, hashing van data en het vastleggen van onderzoeksstappen een rol, omdat onzorgvuldigheid op dit niveau direct kan doorwerken in de betrouwbaarheid van de reconstructie.

De concrete focusgebieden in malwareforensiek omvatten doorgaans binaries en hun kenmerken (hashes, packers, strings, imports, section entropy), persistence-artefacten (registry keys, scheduled tasks, services, startup folders, WMI subscriptions), en geheugen- en procesinformatie (running processes, injected threads, network sockets, loaded modules). Network forensics vormt een tweede pijler, waarbij command-and-control verkeer, DNS-resoluties, TLS-certificaatkenmerken, beaconing patronen en data-exfiltratie worden onderzocht en in een tijdlijn worden geplaatst. Ook wordt gekeken naar aanwijzingen voor privilege escalation en laterale beweging, zoals misbruik van beheerprotocollen, authenticatie-events, afwijkende loginpatronen, of het gebruik van tooling die past bij credential harvesting. De kracht van het onderzoek zit daarbij in correlatie: een los artifact kan ambigue zijn, maar een samenstel van artefacten dat consistent wijst op één aanvalsketen kan een substantiële bewijsbasis vormen.

De interpretatie van forensische uitkomsten vereist echter een expliciete afweging van onzekerheden en alternatieve verklaringen. Logretentie kan beperkt zijn, endpoints kunnen opnieuw zijn opgestart, memory dumps kunnen ontbreken en aanvallers kunnen sporen hebben gewist. Daarnaast kunnen legitieme beheerhandelingen sporen achterlaten die oppervlakkig lijken op aanvallersgedrag, terwijl aanvallers juist kunnen proberen op beheerhandelingen te lijken door gebruik te maken van standaardcomponenten van het systeem. Een juridisch robuuste uitwerking vraagt daarom om het benoemen van aannames, het transparant vastleggen van de methodiek en het onderscheiden van harde feiten (bijvoorbeeld geobserveerde verbindingen, aangetroffen configuraties, execution-artifacts) en interpretaties (bijvoorbeeld aannames over intentie of rol). Dit onderscheid is in dossiers essentieel om zowel de bewijsvoering als de tegenspraak inhoudelijk hanteerbaar te maken.

Command-and-control, infrastructuur en aanwijzingen voor aansturing

Command-and-control infrastructuur vormt in veel malwarezaken de ruggengraat van operationele controle. Waar de loader of initiële payload slechts het startpunt vormt, wordt via C2-communicatie bepaald welke opdrachten worden uitgevoerd, welke modules worden gedownload en welke doelen worden geselecteerd. Het onderzoek richt zich daarom vaak op het identificeren van C2-endpoints, de gebruikte protocollen en de specifieke kenmerken van het communicatiepatroon. Denk aan periodieke beaconing, unieke User-Agent strings, vaste URI-paths, specifieke cipher suites, of het gebruik van domain generation algorithms. Juist dergelijke kenmerken kunnen helpen bij het onderscheiden van toevallige netwerkactiviteit van doelbewuste, geautomatiseerde aansturing, zeker wanneer de communicatie samenvalt met wijzigingen op het systeem of met exfiltratie-activiteiten.

Infrastructuuranalyse reikt verder dan het enkel vaststellen van IP-adressen of domeinnamen. Relevant kan zijn of infrastructuur is gedeeld met andere campagnes, of sprake is van fast-flux hosting, reverse proxies, content delivery misbruik, of bulletproof hosting-constructies. Even belangrijk zijn operationele details zoals rotatie van C2-servers, failover-mechanismen en het gebruik van staging servers voor module-hosting. In dossiers kan het bewijsbeeld worden versterkt door te laten zien dat meerdere systemen in dezelfde periode vergelijkbare C2-verbindingen legden, dat dezelfde TLS-certificaten of hostingkenmerken terugkeren, of dat C2-communicatie wordt gevolgd door voorspelbare command sequences. Tegelijkertijd moet zorgvuldig worden omgegaan met attributie: hergebruik van infrastructuur kan ook duiden op commodity tooling, en domeinregistratiegegevens kunnen gemaskeerd zijn of door derden zijn misbruikt.

De vraag naar aansturing is juridisch relevant omdat zij raakt aan beschikkingsmacht en rolverdeling. Het aantonen dat een persoon of entiteit toegang had tot een panel, beheeromgeving of command interface kan een sterk indicium zijn voor operationele betrokkenheid. In de praktijk wordt daarom gezocht naar koppelingen via credentials, sessietokens, IP-logins op panels, configuratiebestanden met API-keys, of chatlog-communicatie waarin opdrachten worden besproken. Ook kan de aanwezigheid van decryptors, private keys of builder-configuraties aanwijzingen geven voor controle over de malware lifecycle. Voor een houdbare reconstructie is het van belang dat dergelijke koppelingen niet uitsluitend op één signaal rusten, maar worden ondersteund door meerdere, onafhankelijke sporen die consistent wijzen op toegang en aansturing, zodat het dossier bestand is tegen alternatieve scenario’s zoals credential theft, gedeelde accounts of impersonatie.

Slachtofferbesmetting versus operatorhandelen: het kernonderscheid

Een fundamenteel onderscheid in malwarezaken ligt tussen besmetting als slachtoffer en besmetting als operator. Een geïnfecteerd apparaat kan onderdeel zijn van een botnet of kan malware hosten zonder dat de gebruiker daarvan kennis heeft, bijvoorbeeld door drive-by downloads, misbruik van kwetsbaarheden of het openen van phishing-bijlagen. In dergelijke gevallen kan het systeem sporen bevatten van command execution, netwerkcommunicatie en zelfs laterale beweging, terwijl de feitelijke aansturing extern plaatsvindt. Dit maakt het gevaarlijk om op basis van de enkele aanwezigheid van malware-artefacten conclusies te trekken over betrokkenheid bij het operationeel inzetten ervan. Het dossier moet daarom expliciet adresseren welke handelingen plausibel autonoom door malware zijn uitgevoerd en welke handelingen duiden op bewuste interactie door een operator.

Het onderscheid wordt vaak gemaakt door te kijken naar patronen die passen bij “hands-on-keyboard” gedrag. Voorbeelden zijn interactieve sessies via remote shells, het gebruik van administratieve commando’s buiten de normale softwarelogica, het uitvoeren van verkenningscommando’s die niet door de malware zelf worden geautomatiseerd, of het aanpassen van configuraties op maat van de omgeving. Ook timing kan relevant zijn: een periodiek beacon is typisch voor geautomatiseerde malware, terwijl een reeks handelingen met menselijke cadans—zoals het openen van directories, het controleren van privileges, het uitrollen van tooling en het testen van toegang—kan wijzen op operatorinteractie. In aanvulling daarop worden gebruikerscontexten onderzocht: welk account draaide de processen, welke privileges waren betrokken, welke login-events zijn zichtbaar en welke endpoints fungeerden als springplank.

De bewijsrechtelijke uitwerking van dit onderscheid vraagt om voorzichtigheid en precisie. Malware kan legitieme accounts misbruiken, credentials kunnen worden gestolen, en logins kunnen worden uitgevoerd via gecompromitteerde VPN’s of RDP-kanalen. Omgekeerd kan een operator sporen doelbewust minimaliseren, bijvoorbeeld door het gebruik van system tools, het uitschakelen van logging of het uitvoeren van handelingen in memory. De kern van een juridisch robuuste benadering is daarom een reconstructie van controle: welke entiteit had op relevante momenten de feitelijke mogelijkheid om opdrachten te geven, welke sporen wijzen op bewuste deelname, en in hoeverre zijn alternatieve verklaringen—zoals onbewuste besmetting, remote misbruik door derden of toevallig aanwezig zijn van artefacten—uitgesloten of onvoldoende aannemelijk. Een dossier dat dit onderscheid scherp uitwerkt, vergroot de kwaliteit van de bewijsvoering en beperkt het risico op onjuiste roltoedeling.

Beschikkingsmacht en controlepunten: sleutels, panels, wallets en toegang

In malwarezaken is beschikkingsmacht vaak het scharnierpunt tussen technische observaties en juridische toerekening. Beschikkingsmacht ziet in dit verband op de feitelijke mogelijkheid om een aanvalsketen te sturen: het activeren van modules, het selecteren van doelen, het initiëren van exfiltratie of encryptie, en het beheren van infrastructuur die essentieel is voor de operatie. In de praktijk worden daarom “control points” geïdentificeerd, zoals toegang tot beheerpanels, possession van private keys, beheer van updatekanalen, controle over command servers of de mogelijkheid om builder-configuraties te gebruiken. Het aantreffen van dergelijke control points kan, afhankelijk van de context en de herleidbaarheid, een sterkere indicatie opleveren dan de aanwezigheid van malware op een endpoint, omdat control points direct raken aan de aansturingscapaciteit.

Sleutels en credentials vormen daarbij een primaire categorie. Private keys die decryptie mogelijk maken, authenticatiegegevens voor C2-panels, API-keys voor hostingomgevingen of cloud storage accounts die voor exfiltratie zijn gebruikt, kunnen het bewijsbeeld substantieel versterken. Ook kunnen configuratiebestanden of logbestanden aanwijzingen bevatten over toegang: cached credentials, browser-sessies naar panels, of tokenbestanden die toegang geven tot operatorinterfaces. Bij cryptovaluta speelt een vergelijkbare rol voor wallets: controle over een wallet kan blijken uit possession van seed phrases, signing capability, of aantoonbare transactie-initiaties. Daarbij is het essentieel om het onderscheid te maken tussen het kennen van een wallet-adres (dat publiek kan zijn) en het daadwerkelijk kunnen beschikken over de wallet (dat doorgaans private keys vergt).

Het juridische gewicht van dergelijke aanwijzingen hangt echter af van de keten van herleidbaarheid en de weerlegging van plausibele alternatieven. Credentials kunnen gestolen zijn, panels kunnen gedeeld worden tussen affiliates, en wallets kunnen door meerdere partijen worden beheerd via multisig-constructies of gedeelde seed phrases. Daarom is in dossiers doorgaans een bredere context nodig: IP-logins op panels die corresponderen met locaties of netwerken die aan een persoon zijn gekoppeld, communicatie waarin toegang wordt besproken, of het aantreffen van tooling die specifiek is ingericht om een bepaalde infrastructuur te beheren. Een DLA Piper-stijl uitwerking vraagt om het expliciet structureren van deze redenering: welke feiten zijn vastgesteld, welke inferenties worden getrokken, welke onzekerheden blijven bestaan en welke aanvullende sporen dragen de conclusie dat sprake is van beschikkingsmacht in plaats van toevallige exposure.

Bewijsconstructie, tijdlijnen en juridische robuustheid in malwaredossiers

Een malwaredossier staat of valt met de kwaliteit van de reconstructie: de tijdlijn waarin artefacten, netwerkgebeurtenissen en gebruikerscontexten in een samenhangend verhaal worden geplaatst. Een tijdlijn die alleen technische events opsomt, is zelden voldoende; vereist is een analyse die laat zien hoe gebeurtenissen elkaar logisch opvolgen en elkaar ondersteunen. Bijvoorbeeld: een phishing-attachment wordt geopend, waarna een process tree ontstaat die past bij dropper-gedrag, gevolgd door outbound verbindingen naar een C2-endpoint, gevolgd door module-downloads, gevolgd door credential harvesting en laterale logins. Door deze keten te concretiseren met timestamps, hosts, accounts, hashes en netwerkparameters ontstaat een bewijsstructuur die zowel toetsbaar als uitlegbaar is, en die ruimte laat voor het expliciet markeren van lacunes of momenten waarop de data beperkt is.

Juridische robuustheid vereist daarnaast een heldere scheidslijn tussen vaststellingen en duidingen. Vaststellingen betreffen controleerbare feiten, zoals aangetroffen binaries, geobserveerde netwerkverbindingen, logevents, file writes en registry changes. Duidingen betreffen interpretaties, zoals het kwalificeren van gedrag als “exfiltratie”, het afleiden van intentie uit configuratie, of het toeschrijven van handelingen aan een actor. In een overtuigend dossier worden duidingen telkens teruggekoppeld aan specifieke feiten en wordt duidelijk gemaakt welke alternatieve interpretaties zijn overwogen. Dit is niet alleen relevant voor de inhoudelijke overtuigingskracht, maar ook voor de bewijsrechtelijke houdbaarheid, omdat te stellige conclusies zonder expliciete onderbouwing kwetsbaar zijn bij tegenspraak, deskundigenkritiek of vragen over methodiek en bias.

Ten slotte vraagt een solide bewijsconstructie om aandacht voor procedurele kwaliteit: chain of custody, forensische imaging, hashing, logging van onderzoeksstappen en het gebruik van gevalideerde tools en methoden. Onvoldoende documentatie kan leiden tot discussies over contaminatie, onbedoelde wijzigingen of selectieve interpretatie. Ook moet rekening worden gehouden met internationale componenten, zoals logs bij buitenlandse providers, hostingjurisdicties, en het veiligstellen van data via rechtshulp of preservation requests. Een dossier dat deze elementen integreert, maakt het mogelijk om niet alleen te beschrijven wat technisch is gebeurd, maar om het juridisch relevante criterium van controle en bewuste deelname overtuigend te onderbouwen, met een bewijsvoering die bestand is tegen zowel technische als juridische tegenwind.