Gisteren bracht netwerk- en securitybedrijf Cisco zijn Annual Cybersecurity Report uit waarin de aandacht vooral uitging naar de opkomst van versleuteling bij malwaremakers (inmiddels is zeventig procent van malafide verkeer voorzien van encryptie, zo stelt Cisco) en de opkomst van machine learning-technieken - een wapenwedloop waar we eind vorig jaar nog uitgebreid bij stilstonden in dit artikel.
Randverschijnsel groeit
Het netwerk- en securitybedrijf haalt ook een veelal onderbelicht verschijnsel aan dat vaker de kop op steekt: aanvallen op de keten van toeleveranciers. Dat verschijnsel benoemde security-organisatie SANS in 2016 een van de gevaarlijke nieuwe aanvalstechnieken, maar het was toen nog een randverschijnsel. Vorig jaar zagen we meerdere incidenten waarbij criminelen (of staatshackers) zicht richtten op het aanpassen van software die door organisaties wordt gebruikt.
Cisco haalt onder meer het incident met CCleaner aan van vorig jaar. "We zien aanvallen die meeliften op software. Legitieme flows worden misbruikt om toegang te krijgen tot de core van je netwerk", vertelt Cisco Nederlands Directeur Security Michel Schaalje. In het geval van CCleaner hadden aanvallers controle gekregen over de systemen waar de software op werd gebouwd en konden ze de broncode voorzien van malafide opdrachten, die vervolgens werden verspreid met legitieme uitrol.
Aanval op updateservers
Dat doet een beetje denken aan Xcode Ghost, waarbij aanvallers zich richtten op plekken waar Xcode-ontwikkelaars op werkten om ze te verleiden tot het installeren van een malafide versie van de programmeeromgeving voor Apple-producten. Op die manier werden legitieme apps verpakt met malware en konden aanvallers iPhone-gebruikers belagen via apps van doorgaans betrouwbare bronnen.
Een voorbeeld van een ander kaliber aanval dat Schaalje benoemt, zijn de ransomware-besmettingen vorig jaar met NotPetya. In dat geval werd de Oekraïense software MEDoc, in die regio populaire boekhoudsoftware, te grazen genomen om de verspreiding een vliegende start te geven. Aanvallers kregen controle over de updateservers van de softwareleverancier en konden zo een geïnfecteerde versie verspreiden naar alle zakelijke gebruikers.
Officiële bron, malafide ISO
Tussen Xcode Ghost en NotPetya in zagen we nog een kleiner voorbeeld van een verwante aanval en dat was met Linux Mint. De officiële ISO-bron was anderhalf jaar geleden kortstondig gekaapt door een link te plaatsen naar een 'officieel' Mint-image op een Bulgaarse server. Dat image was voorzien van een backdoor in de vorm van Unix-trojan Tsunami, die een IRC-kanaal opzet en instructies binnenhaalt van een C&C.
Aanvallers weten dus op verschillende manieren toeleveranciers te vinden: via een directe aanval op hun systemen, via wateringhole-aanvallen op plekken waar ontwikkelaars samenkomen en via het onder vuur nemen van de updateservers van de softwarebouwer. De methodes variëren, maar het eindresultaat is hetzelfde: er rolt een Trojaans paard via legitieme software binnen bij veilig geachte IT-omgevingen.
Lees ook: Hoe Linux Mint gehackt is
Hierna: Een strategie voor het waken tegen voor dit soort onverwachte narigheid.
"De slechteriken worden steeds inventiever", zegt Schaalje. "Het is wat dat betreft een rat race. We worden steeds slimmer en sneller in bijvoorbeeld Time To Detection, maar criminelen evolueren ook door. Beveiligers voeren steeds meer uit in sandboxes en aanvallers vinden manieren om die te omzeilen." Schaalje wijst daarbij op malware die speciaal rekening houdt met sandboxes.
Het beveiligingsrapport van Cisco haalt malware aan die pas wordt uitgevoerd op het moment dat een document wordt gesloten. Het bestand wordt geanalyseerd in een gesandboxte omgeving, maar sommige daarvan sluiten het document niet expliciet. De malafide acties worden pas uitgevoerd op het moment dat een document_close-call wordt gemaakt. Een soortgelijke truc omzeilt PDF-beveiliging door Word-documenten te embedden in PDF's, waarbij dat document binnen de PDF niet wordt geanalyseerd.
4 adviezen
Aanvallen door leveranciers van het uiteindelijke doel aan te vallen is meerdere malen effectief gebleken in 2017 en Cisco verwacht dan ook dat zulke 'supply chain-attacks' zullen toenemen qua volume en qua complexiteit. "Ze kunnen computers op grote schaal treffen en maanden of zelfs jaren blijven voortwoeden", staat te lezen in het jaarrapport. Maar wat doe je om te voorkomen dat je een malafide patch van een legitieme updateserver binnenhaalt?
Het netwerkbedrijf heeft een aantal adviezen om specifiek de risico's van dit type aanval te beperken. Dat gaat ten eerste al om het inschatten van de beveiligingshouding van de leverancier. Is dit er eentje die regelmatig CVE's uitgeeft, issues snel patcht en er duidelijk moeite in steekt om ervoor te zorgen dat er niet wordt binnengedrongen bij ontwikkelomgeving? Ten tweede blijft het advies dat nieuwe versies worden gedownload en gescand om te controleren of de update malware bevat.
Ten derde is een regelmatige audit vereist om zeker te maken dat de software die je gebruikt geen opvallende gaten bevat. De software die je gebruikt, of het nu open source of propriëtaire producten zijn, is uiteindelijk ook de verantwoordelijkheid van de organisatie die het gebruikt. Ten vierde een gouden ouwe: segmenteer het netwerk om ervoor te zorgen dat een malware-aanval niet het volledige netwerk lam legt.
Basics blijven belangrijk
Cisco's rapport geeft verder de adviezen die we allemaal wel kunnen dromen, zoals dat de software gepatcht is en volg best practices. Dat klinkt als een open deur, maar het feit dat NotPetya voet aan de grond kreeg via hetzelfde SMB-gat als twee maanden eerder WannaCrypt, geeft aan dat dit blijkbaar nog steeds wordt nagelaten. En dat zijn dus niet alleen de MKB's waar een IT'er het werk soms boven het hoofd groeit (als er al een dedicated IT'er is), maar geldt ook voor grote bedrijven met enorme IT-afdelingen, zoals je zag bij Maersk en Equifax. Die laatste had nota bene een eigen Security Operations Center.
"De basics blijven superbelangrijk", vertelt de Directeur Security van Cisco. "Het gaat erom dat je policy's naleeft om je eigen systeem te beschermen. Segmenteer je netwerken. Als een sensor als een rookmelder wordt aangevallen, zou de aanval enkel je IoT-domein moeten raken en niet bijvoorbeeld het deel van het netwerk waar Finance mee werkt."
Het zelf, op een eigen buildfarm, bouwen van ondertekende packages werkt vrij aardig. Een aanvaller zal dan de nodige duizenden 'upstreams' moeten besmetten ipv 1 centrale repo.
Cisco moest eens wat minder hoog van de toren blazen mbt security.
Je vergeet er een die nog steeds misbruikt kan worden vanwege misplaatste default settings in windows: [Link]
Gelukkig zijn de meeste windows admins wel capabel en niet zo onhandig als jij bent.
Die nemen een installatie dus serieus. Maar ook met de default kan er alleen iets gebeuren als je de Wsus server in handen hebt.
Dat hebben admins toch wel en users niet ;)
Ik heb meer verstand van Windows dan de meeste Windows admins. Nu probeer je de default instelling ook nog eens te vergoelijken. Man man man.
Wel een eens van MITM gehoord nee hè? Hoef je wsus niet voor in handen te hebben.
Even mijn scherm schoonvegen na die spontane proestbui over je eerste zin...
Maar een goede Admin is bekend met deze publicatie:
[Link]
En zal daar dus op acteren.
Alleen goede admins zijn bekend met een publicatie van sixdub.net van een wereldberoemde security engineer at ICEBRG. Elke goede admin zoekt daar als vanzelfsprekend als eerste alle info over WSUS, uiteraard. Hoe kan iemand dat niet weten? Onmogelijk! Al die duizenden goede admins (alleen de goede) volgen dan ook sixdub.net. Daarom is die site ook maarliefst 9 dollar waard!! [Link]
De rest van de admins sucks (big time), want die sufferts komen niet verder dan wat MS er in KB artikelen over te zeggen heeft.
Ik begrijp je helemaal!
En zo zie je maar weer hoe jouw morbide fantasietjes bepalen wat je allemaal uitpoept hier.
En je scoort weer ;)
Je had de ironie waarover ik, als reactie over de door jezelf aangedragen "autoriteit" die elke goede admin zou moeten kennen, schreef gemist? Heel bijzonder.... Veel dikker kon het er niet bovenop liggen.
BTW: weet je wat 'morbide' betekent? Fantaseer je weer dat je dokter bent?
Hij is ff aan het zoeken. Komt dan terug alsof hij de wijsheid in pacht heeft.
Nou wat een waardevolle toevoeging toch weer. Echt een aanwinst voor de wereld. Kunnen jullie elkaar nu echt nooit eens links laten liggen?
Uhm de standaard redirects over HTTP kunnen gewoon inline gekaapt worden.
Met wat BGP injecties blijkt het vaak mogelijk "per ongeluk" het verkeer aan de andere kant van de wereld te rerouten... waarbij zelfs de DNS niet gekaapt hoeft te worden.
Ik hoop dat de "windows admins" ook begrijpen welke risico's er aan netwerk beheer zitten op globale schaal.
Daarom moet je dingen goed inregelen, en dat maakt het verschil uit tussen een beheerder en goede beheerder.
Alleen zou het met beheer niets te maken moeten hebben. Het betreft een "on by default vulnerability" en daarom gaat het hier om een instelling die iedereen moet veranderen.
Daarom moeten default instellingen gewoon default goed staan. Dat maakt het verschil tussen goede en slechte software. Met goede software kan die goede beheerder dingen doen die daadwerkelijk iets toevoegen in plaats van de fouten van zijn softwareboer te recht te zetten (en bij elke update checken of die softwareboer het niet stiekum heeft veranderd).
Reageer
Preview