6 vragen die aanvallers zichzelf stellen, voordat ze overgaan op het aanvallen van een systeem

Volgens David “moose” Wolpoff zijn er 6 vragen die aanvallers zichzelf stellen, voordat ze overgaan op het aanvallen van een systeem.

In de afgelopen 10 jaar is er een grote verschuiving geweest van bedrijven richting de Cloud. Door de COVID-19 pandemie en dat veel medewerkers daardoor zijn gaan thuiswerken hebben deze trend versnelt. Hierdoor moeten blue-teamers meer behendig zijn in het beschermen van hun aanvalsoppervlakte. In de tijd dat verdedigers zich aan het aanpassen zijn om Cloud gebaseerde omgevingen te ondersteunen, zijn de aanvallen tegen systemen in de Cloud toegenomen met 250% in het afgelopen jaar.

Meer systemen in de Cloud zorgt voor uitdagingen voor verdedigers, maar het is een foute gedacht om te denken dat het voor de aanvallers eenvoudiger wordt. Aanvallers hebben simpelweg de tijd niet om iedere systeem goed te bekijken, gezien bij grote organisaties dit wel ongeveer 10.000 verschillende systemen kunnen zijn. Net als dat er eisen zijn voor security teams, hebben aanvallers ook hun beperkingen. Hun tijd is kostbaar, waarbij ze moeten opereren met gelimiteerde budgetten en hun technische mogelijkheden hebben een bovengrens.

David geeft aan dat hij is ingehuurd door honderden CISO’s  om hun verdediging te testen met behulp van een red-team. Hij weet dat verdedigers zijn begraven in security alerts en moeite hebben met de juiste signalen vinden tussen de ruis. Deze teams hebben tientallen security applicaties, checklist en veel processen om hun verdedigende strategieën uit te voeren. Op dit moment is er een groot gat in hoe een blue-teamer verdedigt en een aanvallers aanvalt. Het begrijpen van de logica van een hacker is een goede eerste stap om de signalen te ontcijferen die belangrijk zijn om dit gat te dichten. Het perspectief van de aanvaller over hoe deze systemen evalueert om zich op te richten en misbruik van te maken begint met het beantwoorden van 6 vragen. Wanneer deze logica binnen het bedrijf wordt toegepast, kan de security strategie veranderen om deze meer efficiënt te maken en het risico te verlagen.

V1: Wat voor nuttige informatie kan ik zien over een doelwit vanaf de buitenkant?

Ieder doelwit een aanvalsoppervlakte heeft een verhaal te vertellen, sommige in meer detail dan anderen. Uiteindelijk draait het erom dat hoe meer informatie een aanvaller kan verzamelen over wat voor technologie of welke persoon er werkt, kunnen deze met meer zekerheid de volgende fase van een aanval plannen om het netwerk binnen te dringen. Het achterhalen van details van het doelwit beschrijft enumerability (hoe gedetailleerd kan een aanvaller het doelwit van buitenaf beschrijven). Als voorbeeld, afhankelijk van de dienst en hoe deze is uitgerold, een webserver doelwit kan van alles tot niets teruggeven om een specifieke servernaam te rapporteren. Zoals Apache of Apache 2.4.33. Wanneer aanvallers de exacte versie van een dienst kunnen zien en de configuratie van deze server, dan kunnen de juiste exploits en aanvallen worden gebruikt om de kans op succes te vergroten en de kans op detectie te minimaliseren.

V2: Hoe waardevol is dit systeem voor de aanvaller?

Iedere stap die een hacker neemt kost inspanning, tijd, geld en risico. Het is beter om bij deuren aan te kloppen die ergens toe leiden, dan gewoon bij iedere willekeurige deur aan te kloppen. Sommige doelwitten zullen eerdere ergens naar toe leiden dan anderen, omdat het doel waarvoor het systeem wordt gebruikt deze het een aantrekkelijk doelwit maakt. Aanvallers kijken naar hoe kritiek het doel is, voordat ze tot actie overgaan. Hiermee kunnen ze hun inspanningen focussen op doelwitten die ze dichter bij hun uiteindelijke doelen brengen. Denk hierbij aan VPNs, firewalls of support op afstand oplossingen (zoals TeamViewer), welke spreekwoordelijke sleutels zijn naar het koninkrijk. Het compromitteren van een deze kan een pad naar het netwerk openen en naar credentials die betere netwerktoegang mogelijk maken. Daarnaast zullen opgeslagen credentials en authenticatie systemen de aanvaller nog meer credentials geven als deze gecompromitteerd zijn. De aanvallers zoeken naar tools die de beste positie en toegang kunnen bieden aan hen. Kwetsbare systemen die niets beschermen en niet leiden naar kritieke data of toegang zijn minder waard voor aanvallers.

V3: Is er een kwetsbaarheid bekend voor het systeem?

In tegenstelling tot wat veel mensen geloven, is het hebben van een hoge serverity CVSS rank van een CVE lijst niet automatisch dat een doelwit van grote waarde is voor een aanvaller. Er zijn heel veel kritieke, wormachtige, einde van de wereld, ‘fire-and-brimstone” kwetsbaarheden geweest die niet daadwerkelijk te misbruiken waren. Daarnaast zijn er ook veel kwetsbaarheden die wel te misbruiken zijn, maar dan alleen in specifieke scenario’s. Sommige zijn misschien perfect te misbruiken in theorie, maar in de praktijk heeft niemand er werk van gemaakt om dit te doen. Aanvallers moeten rekening houden met de kosten en hoe groot de kans is dat een systeem daadwerkelijk overgenomen kan worden. Wanneer een bruikbare proof-of-concept (POC) bestaat, dan is dat een goede indicator. Als er veel onderzoek en analyse is naar een specifieke kwetsbaarheid, dan is misbruik geen vraag meer, dit kan gewoon werk zijn. Tijd is geld en het maken van exploits nemen tijd op. Hiermee zullen ze overwegen om te kijken naar tools die ze kunnen betalen om te bouwen, de tools die publiekelijk beschikbaar zijn of welke ze kunnen kopen (Canvas of Zerodium). Voor een specifiek systeem, in sommige gevallen, aanvallers kopen een eerder gebouwde exploits. Dit komt vaker voor dan veel mensen zich realiseren.

V4: Hoe gastvrij is dit systeem wanneer ik het overneem?

De definitie van een gastvrij systeem voor aanvallers is er een die het mogelijk maakt om in te leven en zich te verplaatsen zonder gedetecteerd te worden. Op dit systeem kunnen malware en pivoting tools werken en is er weinig verdediging aanwezig. Dit is een doelwit waar de blue teams geen verdediging op kunnen installeren, hierdoor hoeven aanvallers zich weinig zorgen te maken dat ze gedetecteerd worden. Iedere technologie dat voldoende beschermt is en wordt gemonitord, zoals endpoints, zijn geen gastvrije systemen. Desktop telefoons en VPN appliance en andere niet beschermde hardware apparaten zijn een goede host. Veel appliances zijn gebouwd met Linux en komen met een complete gebruikersomgeving met vooraf geïnstalleerde tools, waardoor ze een doelwit worden die een hoge potentie hebben, nadat een exploit is gelukt (post-exploitation potential).

 V5: Hoelang duurt het om een exploit te ontwikkelen?

Het weten dat je een specifiek doelwit wil aanvallen en het daadwerkelijk hebben van verschillende exploit technieken, zijn niet hetzelfde. Wanneer een specifiek doelwit wordt bekeken, moet een hacker nagaan wat de kans is dat het lukt om hier een nieuwe exploit voor te ontwikkelen en hoeveel dit moet kosten. Kwetsbaarheden onderzoek is niet alleen om dingen te vinden om te patchen, want hackers doen dit ook voor doelwitten die ze willen misbruiken. De kosten van dit onderzoek, samen met de kosten van het testen en aanscherpen van verschillende tools, is een onderdeel van het bepalen of het voor de aanvallers het waard is om een doelwit te gaan aanvallen. Goed gedocumenteerde, goed onderzochte of open-source tools die eenvoudige te verkrijgen zijn en getest zijn eenvoudige doelwitten. Dure en esoterische platformen (zoals hardware VoIP systemen of zeer dure security appliances) vragen voor specifieke skills en resources om aan te vallen (ook al zijn deze aantrekkelijk op basis van de data die ze bevatten of het niveau van toegang die ze geven). Iedere beperking om toegang te krijgen limiteert drijfveren voor de aanvallers om zich te richten op specifieke platformen, tools en diensten.

V6: Is er een herhaalbare ROI voor het ontwikkelen van een exploit?

Een van de grootste verschuivingen van een verdedigende mindset naar hackers logica is het begrijpen van het business model van de aanvallers. Aanvallers investeren tijd, onderzoek en mensen in het maken van exploits en het bouwen van tools. Ze willen de hoogst haalbare Return of Investment (ROI). Jouw organisatie is waarschijnlijk één van de vele organisaties waar een hacker interesse in toont, omdat de hacker zijn kosten wil spreiden over zoveel mogelijk slachtoffers in 1 keer. Aanvallers kijken naar het potentieel van het maken en gebruiken van een exploit en kijken verder dan het gebruik voor 1 systeem. Met beperkte resources, aanvallers maken exploits voor veelgebruikte systemen, zodat ze veel kunnen verdienen aan meerdere doelwitten. Herinner je nog wanneer Macs werden gezien als niet te hacken? Op dat moment had Microsoft een groter marktaandeel, hierdoor zorgde het misbruiken van Microsoft voor meer winst voor de aanvallers. Sinds Windows een moeilijker doelwit is geworden en Macs steeds meer worden gebruikt in het bedrijfsleven, veranderd dit natuurlijk. Net zoals dat iOS kwetsbaarheden veel duurder waren dan Android kwetsbaarheden, maar door de huidige markt worden iOS kwetsbaarheden meer gewoon en relatief gezien goedkoper.

Wat kan uit de antwoorden op deze 6 vragen opgemaakt worden?

Aanvallers kijken helemaal niet naar de severity van een kwetsbaarheid en bepalen wat ze gaan aanvallen. Er zijn veel meer componenten in het plannen van een individuele actie, laat staan de vele acties die onderdeel zijn van een aanval. Aanvallers moeten hun resources in de gaten houden wanneer ze hun doel willen behalen en hun business draaiende willen houden. Het idee dat hackers ook keuzes moeten maken is iets voor verdedigers ter harte moeten nemen. In het verdedigen van een organisatie is het niet mogelijk om alles te beschermen, overal van verschillende aanvallers op ieder moment. Gecompromitteerd raken is onvermijdelijk. Het belangrijkste is risico management voor het maken van de beste verdedigende keuzes op de beste manier voor het optimaliseren van de uitkomst voor de organisatie. Meer denken als een aanvaller kan het prioriteren aanpassen en de systemen uitlichten die zowel waardevol zijn voor het bedrijf als aantrekkelijk voor hackers. Hierdoor kan een organisatie keuze maken dat de kosten van het hardenen van een doelwit in sommige gevallen niet opwegen tegenover het voordeel qua betere bescherming.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

Kritieke kwetsbaarheid in Contact Form 7 WordPress plug-in maakt overname van 5M sites mogelijk
Cybersecurity Trends in 2021

Gerelateerde berichten

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

2021

Cybersecurity Trends in 2021

Contact Form 7

Kritieke kwetsbaarheid in Contact Form 7 WordPress plug-in maakt overname van 5M sites mogelijk

SolarWinds

Backdoor aangetroffen in SolarWinds Orion software updates

phishing

Microsoft.com wordt gespooft in spearphishing aanval richting 200 miljoen Office 365 gebruikers

Oracle

Meerdere botnets maken misbruik van kritieke Oracle WebLogic kwetsbaarheden

Google diensten worden misbruikt in phishing en BEC campagnes

cisco

Onderzoeker onthult kritieke RCE-tekortkomingen in Cisco Security Manager

Ransomware

Gestolen data na een ransomware aanval wordt niet altijd verwijderd

Oracle

Oracle brengt noodpatch uit voor kritieke kwetsbaarheid in WebLogic Server

Microsoft 365

Grootste gedeelte van Microsoft 365 administrators activeert MFA niet

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

4 × 3 =

Menu