Het zijn lastige tijden voor mensen die werken in de informatiebeveiliging ofwel de cybersecurity. Dagelijks zijn er berichten over inbraken in bedrijfsnetwerken en diefstal van gegevens van miljoenen klanten. Het publiek vindt dit inmiddels zo normaal, dat het massaal de schouders ophaalt als er weer eens tientallen miljoenen privémailtjes, foto's, berichten of records op straat komen te liggen.
Als security-specialisten moeten we het hoofd erbij houden en ons vooral niet bang laten maken. Het is immers niet eens zó lastig om de grootste ellende buiten te houden. Er zijn een aantal zetten die je moet doen om niet de volgende Sony, LinkedIn, Yahoo of Ashley Madison te worden. De meeste aanvallen beginnen meestal met social engineering en/of ongepatchte software. Focus op deze twee en je houdt een heleboel alvast tegen.
Maar als het simpel was, zouden er wellicht niet zoveel organisaties met succes bestolen worden. Het kan erg moeilijk zijn om malware te detecteren, omdat gemotiveerde en vasthoudende aanvallers er alles aan doen om hun trojans, exploits en exfiltratietechnieken onder de radar te houden. Vandaag kijken we naar de tien onopvallendste technieken van de vijand.
- PowerShell-malware
- Malware in gloednieuwe apparaten of software
- Malware op de router
- Taakplanner-malware
- Malafide certificaten
- Netwerkworm
- social media-apps
- Draadloze man-in-the-middle
- Keyboard-loggers
- usb-hackapparaten
1. PowerShell-malware
Microsofts bedoeling van scripttaal PowerShell is dat Windows-beheerders een flexibele tool hebben om systemen en Active Directory te beheren. Het is geweldig voor het automatiseren van routinetaken en het op afstand beheren van een heleboel systemen. Malafide hackers vinden het fijn, omdat het lastig is om te zien dat een legitieme dool voor malafide doeleinden wordt gebruikt.
Hacken met PowerShell is van een relatief theoretische optie die onderzocht werd door beveiligingsexperts naar de voorkeurstool van slechteriken. De laatste tijd is het zelfs zeldzaam dat PowerShell niet wordt gebruikt tijdens een aanval. De meeste code is met zorg geobfusceerd om detectie te voorkomen.
Twee populaire toolkits zijn PowerSploit en PowerShell Empire. Die zijn ontwikkeld voor pentesters om zwakke plekken in de beveiliging te kunnen dichten, maar worden ook door aanvallers gebruikt. Je kunt je tegen PS-aanvallen beschermen – bijvoorbeeld door alleen getekende scripts toe te staan – maar vaak reageren bedrijven pas op PowerShell-aanvalstechnieken als het te laat is.
2. Malware in gloednieuwe apparaten of software
Niemand verwacht dat als je iets uit de doos haalt het al besmet is met troep, maar het gebeurt. Dat overkomt niet alleen kleine leveranciers, maar ook producten van Microsoft en Apple. Het zit al in flashgeheuegn, usb-sticks, netwerkapparaten en smartphones. Zelfs digitale fotolijstjes zijn niet veilig. Microsoft ontdekte ooit dat twintig procent van in China geleverde pc's malware bevatten.
Hoe dat gebeurt? Soms gaat het per ongeluk omdat een fabrikant iets installeert dat besmet is. Soms is het een werknemer die bewust producten besmet. Soms wordt het toegevoegd door iemand ergens in de keten van toeleveranciers voordat het apparaat bij de fabrikant raakt. Hoe het ook gebeurt en of het nu per ongeluk of expres is, soms krijg je malware meteen vanuit de doos.
3. Malware op de router
Draadloze routers zijn een het voorportaal van hackers. Het zijn in feite minicomputers die je over-the-air kunt bijwerken met aanpassingen. Erger nog, veel draaien code die veel kwetsbaarheden bevat of worden alleen beschermd met een standaardwachtwoord. Aanvallers plukken hier al jaren de vruchten van en het wordt alleen maar makkelijker met tools die het internet afspeuren naar vatbare routers.
Slechteriken gebruiken de routers om (financiële) informatie te stelen die via het draadloze netwerk loopt of om de rekenkracht te gebruiken voor sinistere doeleinden. Een openstaande router zorgt er verder voor dat onverlaten malafide acties kunnen uitvoeren via het netwerk van een ander, met alle gevolgen van dien.
Routers waren al jaren een doelwit van onderzoekers die als roepende in de woestijn waarschuwen voor de negatieve effecten van de kwetsbare machines, maar inmiddels beginnen we het mainstream te voelen. De populairste IoT-malware van dit moment, Mirai, wordt gebruikt door aanvallers om een botnet van routers en andere internetverbonden apparaten op te zetten. En dat leidt tot DDoS-aanvallen die belangrijke diensten omver knikkeren.
4. Taakplanner-malware
De meeste jobs uit de Taakplanner zijn een volledig mysterie voor de meeste mensen. Het is goed mogelijk dat er tientallen legitieme taken draaien en als je de verkeerde job verwijdert, kun je grote problemen krijgen. Maar bepalen welke jobs noodzakelijk zijn, welke niet en welke simpelweg malafide zijn is lastig en kost tijd.
Malware-auteurs profiteren van deze verwarring. Slechte software die zich kan installeren als item van de Taakplanner krijgt vaak hogere rechten, wat gevaarlijk is. Nog erger, de job kan de malware opnieuw downloaden nadat je antimalware-scanner hem heeft opgemerkt in verwijderd. Het opvallendste teken dat je Taakplanner is besmet is als je een programma hebt dat maar terug blijft komen ondanks je pogingen hem te verwijderen. Kortom, als je moeite hebt malware te verwijderen is het tijd om naar de Taakplanner te kijken.
5. Malafide certificaten
Criminelen maken misbruik van het vertrouwen dat we hebben in digitale certificaten. Helaas begrijpen de meeste mensen digitale certificaten niet genoeg om te herkennen als er een malafide wordt gebruikt. Daarom zie je dat browsers en besturingssystemen gebruikers de keus niet meer geven en onvertrouwde certificaten zelf blokkeren.
Dat heeft geholpen, maar als reactie azen malafide hackers nu op legitieme, breed geaccepteerde en getekende certificaten om hun malware door deze beschermingen heen te loodsen, zoals werden verkregen toen SSL-partij Diginotar werd gehackt. In dat geval kan een trojan zich voordoen als een legitiem programma of update en de gebruiker installeert deze nietsvermoedend.
Een certificaat kan in met heel veel moeite en geavanceerd denkwerk zelfs worden gekopieerd en dat dit niet louter theoretisch is, bewees spionagesoftware Flame die een nepcertificaat had. Deskundigen zijn bezorgd dat nepcertificaten kunnen groeien nu SHA-1 kraakbaar is gebleken en nog niet overal SHA-2 is geïmplementeerd.
6. Netwerkworm
In 2003 werd een record gevestigd voor de snelst infecterende netwerkworm ooit met SQL Slammer die 100.000 ongepatchte SQL-instances besmette binnen tien minuten. Wormen zijn een tijdje op z'n retour geweest, maar zijn hard teruggekeerd. De recente ransomwareplagen, WannaCrypt en NotPetya, zijn twee bekende voorbeelden hiervan.
Wormen maken gebruik van ongepatchte software of configuratiefouten – bijvoorbeeld zwakke wachtwoorden – om van de ene computer naar de volgende te springen. Zowel WannaCrypt als NotPetya kregen miljoenen pc's te pakken van gebruikers die dachten beschermd te zijn. Netwerkwormen zijn enge malwareprogramma's, omdat ze heel snel om zich heen slaan en daarna weer verdwenen zijn. De schade is aangericht voordat mensen doorhebben wat er aan de hand is.
7. Social media-apps
Een van de gluiperigste aanvalsmethodes vandaag de dag komt via je vrienden. Het gaat zo: je krijgt een onverwachte tip van een vriend om een nieuwe, coole app te installeren of om een grappig filmpje te bekijken, maar eigenlijk gaat het om een vermomd malafide programma. Als je de code uitvoert, krijgen aanvallers je social media-account te pakken en kunnen ze al jouw vrienden benutten om bijvoorbeeld hetzelfde trucje uit te voeren.
Dat oorspronkelijk verzoek was dan ook niet van een vriend, maar van een aanvaller die zijn account heeft gekaapt. Dat zorgt voor een ketting van overgenomen accounts om geld te stelen of zelfs bedrijfsnetwerken te hacken. De aanvallers begrijpen heel goed dat veel gebruikers dezelfde wachtwoorden gebruiken voor privéaccounts en zakelijke, zodat toegang tot de ene toegang tot de andere oplevert.
8. Draadloze man-in-the-middle
Een aanvaller plukt je credentials uit de lucht bij wifi-verbindingen in een openbare plek als de bieb of een restaurantje. Geen tool die dat makkelijker maakte dan Firesheep. Die werd snel populair bij zowel malafide hackers als pentesters om aan het bestuur te laten zien waarom het een goed idee is om draadloze security serieus te nemen.
Firesheep wordt inmiddels niet meer ondersteund door de ontwikkelaar, maar er zijn genoeg tools die hetzelfde doen – bijna allemaal gratis en simpel te verkrijgen. Correct geconfigureerde wifi-verbindingen houden dit probleem tegen, maar ik daag je uit een computer te vinden met perfecte draadloze beveiliging.
9. Keyboard-loggers
Dit gaat om een hardwarematige keylogger als een klein apparaatje dat tussen de connector en het toetsenbord van een computer zit om aanslagen op te vangen. Voor smartphones en laptops heb je alleen softwarematige varianten – ze hebben immers geen voor de gemiddelde gebruiker onzichtbare fysieke toetsenbordaansluiting – maar aanvallers vinden genoeg publieke terminals in hotels, bibliotheken en andere plekken die ze kunnen misbruiken.
De aanvaller gebruikt de computer als normale gebruiker, maar koppelt ondertussen stiekem het tussenstukje. (Soms wordt het zelfs verwerkt in het toetsenbord, zoals in onderstaand voorbeeld van The Real Hustle.) Het is makkelijk te verbergen, omdat het snoer meestal verborgen is achter de computer of onder het bureau zit. De aanvaller vertrekt, wacht een paar dagen en komt dan terug om het apparaatje mee te nemen. Die is dan volgeladen met wachtwoorden en andere vertrouwelijke informatie.
10. USB-hackapparaten
Nu USB-apparaten genoeg capaciteit hebben om als minicomputer te functioneren, zijn hackers zich aan het verdiepen in het potentieel van zulke sticks als hacktool. Er passen tientallen tools en complete Linux-distributies op zo'n apparaat en ze kosten minder dan 100 euro. Je hoeft ze alleen maar in te pluggen de de juiste scripts op een doelsysteem los te laten.
Een populaire optie is de Bash Bunny, waar we eerder uitgebreid naar keken. Het apparaat heeft twee aanvalsmodi die een gebruiker vooraf kan configureren met een makkelijk scriptje. Zo kun je bijvoorbeeld achter de ene optie een Windows-hack zitten en achter de andere een macOS-exploit. Je hoeft alleen maar in te pluggen, een paar seconden wachten en je kunt weglopen met de buit. Of je kunt het een tijdje achterlaten om heimelijk informatie op te zuigen zonder dat het wordt opgemerkt met gebruikelijke monitoring en detectietools op het netwerk.
Bron:
