6 manieren waarop malware pc-beveiliging passeert

Beveiliging op de systemen zelf is allang niet meer voldoende.

Minder dan de helft van alle malware-aanvallen wordt tegengehouden door endpointmiddelen. Dit betekent niet dat AV niet meer nuttig is, maar op z'n minst dat het zeer zeker geen totaalbescherming meer is. Zes manieren waarop aanvallers zulke middelen omzeilen die illustreren waarom dat zo is.

Volgens het State of Endpoint Security Risk 2018 (PDF) van onderzoeksinstituut Ponemon zegt 63 procent van informatiebeveiligers dat het aantal aanvallen vorig jaar is toegenomen. En erger, 52 procent van de respondenten geeft aan dat het niet realistisch is om alle aanvallen tegen te houden. AV houdt minder dan de helft van alle malware tegen en 64 procent van de respondenten heeft een of meer endpointaanvallen meegemaakt die leidden tot een data-inbraak.

Volgens het onderzoek onder 660 IT-beveiligers geeft de meerderheid (70 procent) aan dat nieuwe en onbekende IT-dreigingen zijn toegenomen, terwijl de kosten die worden veroorzaakt door een succesvolle aanval zijn toegenomen, van een eerdere vijf miljoen dollar naar 7,1 miljoen. Maar vrijwel elke computer is voorzien van beveiliging. Hoe komen slechteriken dan binnen? Hier zijn zes manieren waarop ze dat doen.

1. Scriptgebaseerde aanvallen
In een bestandsloze, of scriptgebaseerde aanval heb je te maken met een script dat een legitieme applicatie aanstuurt om bijvoorbeeld PowerShell of ander reeds geïnstalleerde Windows-componenten aan te spreken. Er wordt geen nieuwe software geïnstalleerd, waardoor veel traditionele beveiligingssoftware wordt omzeild.

Volgens Ponemon leiden dit soort aanvallen veel vaker tot een succesvolle inbraak en dit soort technieken wordt meer toegepast, van 30 procent in 2017 tot 35 procent vorig jaar. "Er zijn weinig bestanden, bijvoorbeeld geen daadwerkelijke binary die gescand kan worden", zegt Jérôme Segura, hoofdonderzoeker bij Malwarebytes. Bepaald netwerkverkeer zou dan kunnen worden opgepikt door beveiligingssystemen. "Maar verkeer kan worden versleuteld en verzonden via een vertrouwd communicatiekanaal om de data stilletjes te exfiltreren", zegt hij.

Volgens een rapport van Symantec eerder dit jaar is het gebruik van malafide PowerShell-scripts vorig jaar gestegen met 1000 procent, nadat het al fors steeg volgens eerdere cijfers van McAfee. Aanvallers gebruiken dit om bijvoorbeeld opdrachten uit te voeren die niet gelezen kunnen worden door mensen, bijvoorbeeld base64-gecodeerde opdrachten, zegt cloudbeveiligingsarchitect Naaman Hart van Digital Guardian. "PowerShell is noodzakelijk vandaag de dag en het is daarom bijna altijd beschikbaar om misbruikt te worden."

Dit soort aanvallen kun je opmerken door te kijken naar momenten dat veelgebruikte applicaties ongebruikelijke opdrachten uitvoeren, adviseert Hart. "Als je bijvoorbeeld kijkt naar de laatste duizend opdrachten die in je omgeving zijn uitgevoerd, sorteer ze dan en zoek naar de opdrachten die minder dan vijf keer voorkomen. Dat leidt je naar ongebruikelijke opdrachten en dat zijn vaak de malafide."

2. Malafide sites op populaire infrastructuur
Veel beveiligingsplatforms beschermen tegen phishing-aanvallen door te voorkomen dat gebruikers malafide links kunnen klikken. Ze kijken bijvoorbeeld of een bepaald IP-adres wordt gebruikt bij bekende malware-campagnes. "Maar als je host op clouds als Azure of Google, is de infrastructuur zo breed gebruikt dat je het niet zomaar kunt blacklisten", legt Segura uit. Op die manier worden tools als Slack, GitHub en meer van deze tools gebruikt om deze beveiliging te passeren.

Als malware eenmaal voet aan de grond heeft gekregen in een systeem, communiceert het meestal terug naar command-and-control (C&C) servers om instructies te ontvangen over waar bijvoorbeeld de data naartoe moet. Dit communicatiekanaal kan worden verhuld als de C&C-server op een anderszins legitiem platform wordt gehost.

Deze diensten hebben ingebouwde encryptiefeatures, zegt Bitdefender-analist Liviu Arsene. Zelfs online fotodiensten kunnen worden gebruikt als onderdeel van aanvallen. "Aanvallers kunnen social media-accounts aanmaken en foto's opslaan die verborgen code of instructies in de afbeelding bevatten", zegt hij. "De malware wordt dan geïnstrueerd om het account te openen, de recentste foto aan te spreken om de set verborgen instructies binnen te halen en uit te voeren."

Voor de IT-afdeling en informatiebeveiligingsteams lijkt het gewoon alsof een werknemer social media bekijkt. Dit is lastig op te merken, zelfs de nieuwste generaties endpointbeveiliging heeft daar moeite mee omdat de aanvallers normaal gebruikersgedrag nabootsen. Om hiertegen te beveiligen zouden beveiligers kunnen kijken naar ongebruikelijke tijden dat social media worden aangesproken of als een applicatie dat doet die in de regel niet wordt gebruikt door een afdeling.

De techniek om code te verbergen in afbeeldingen, steganografie, kan ook worden gebruikt om opdrachten te verbergen in bijlages. In mei publiceerde ESET een rapport (PDF) over backdoor Turla LightNeuron, die Microsoft Exchange-servers op de korrel nam. Volgens het beveiligingsbedrijf gebruikt LightNeuron e-mails om te communiceren met z'n C&C's en verbergt het communicatie in bijgevoegde afbeeldingen, zoals PFD's of JPG's.

3. Legitieme applicaties en tools verzieken
Elk bedrijf heeft een hele reeks third party-apps, tools en utilities die door werknemers worden gebruikt. Als aanvallers deze applicaties kunnen verzieken door de bedrijven die ze ontwikkelen te grazen te nemen, upgrade-utilities over te nemen, of de code base van open source-projecten aan te passen, kunnen ze backdoors en andere malafide code installeren. "Zo was CCleaner, een populaire utility om ongewenste bestanden en registersleutels op te schonen, voorzien van een backdoor", geeft Arsene als voorbeeld. Volgens het eerder aangehaald onderzoek van Symantec is het aantal aanvallen dat zich richt op toeleveranciers vorig jaar gestegen met 78 procent.

Volgens Tim Mackey, securitystrateeg bij Synopsys is open source-code hier kwetsbaar voor. Aanvallers bieden dan een legitieme bugfix of softwareverbetering aan die daadwerkelijk doet wat hij moet doen. "De legitieme code verbergt malafide code om zo een reviewproces te doorstaan", zegt hij. Als dat proces niet de volledige functionaleit doorneemt, wordt de bijdrage meegenomen in een toekomstige release van de software. "Maar nog belangrijker, het wordt deel van een branch waar dit is ingebakken in commerciële softwarepakketten."

Om hiertegen te beveiligen, moet iedereen die open source implementeert ook die code inspecteren om te zien wat het doet, vindt Mackey, en die code terugvoeren naar de originele bron, zodat malafide code kan worden opgeschoond zodra het wordt opgemerkt.

4. Omzeilen sandbox
Een veelvoorkomende feature is huidige endpointbeveiligingsplatforms is sandboxing, waar onbekende software wordt gestart in een veilige virtuele omgeving. Dat is een nuttige techniek als aanvallers constant malware aanpassen zodat het niet wordt herkend door signature-gebaseerde beveiliging.

"Deze filters zijn ook te omzeilen", zegt oprichter van Lucy Security Oliver Münchow. Ze doen dit door malware zodanig te schrijven dat malware alleen op zo'n manier werkt dat de malafide opdrachten pas worden uitgevoerd buiten de sandbox. Ze kunnen bijvoorbeeld pas activeren als bepaalde criteria worden herkend, bijvoorbeeld interacties die aangeven dat een gebruiker het programma start.

Of er kan een vertraging zijn ingebouwd, zodat malware pas actief wordt na uren, dagen of zelfs weken, zodat de infectie behoorlijk ver verspreid raakt alvorens de payload wordt geactiveerd. Of de malware kan eerst kijken of het in een hypervisor draait. Neem bijvoorbeeld de recentste versie van JasperLoader, die WMI aanspreek om te ontdekken waar het draait. Als dat op VirtualBox, VMware of KVM is, stopt het met uitvoeren, zo beschreef Cisco Talos in dit rapport uit mei.

5. Ongepatchte kwetsbaarheden
EternalBlue, een tool die was ontwikkeld door de NSA, lekte in 2017 uit. Sindsdien werd de tool gebruikt voor een aanval bij Merck, onder meer in de haven van Rotterdam, en eentje bij Amerikaanse postservice FedEx. De totale schade wordt geschat op een slordige miljard euro, ook al bracht Microsoft al maanden eerder een patch uit om het misbruik van EternalBlue te voorkomen.

Nog steeds wordt de tool succesvol ingezet. De Amerikaanse gemeente Baltimore kreeg onlangs te maken met ransomware die was binnengekomen via dit oude gat. Volgens beveiligingsbedrijf ESET is het aantal aanvallen met EternalBlue zelfs gestegen sinds 2017 en bereikte het een hoogtepunt in de lente van 2019. Ongeveer een miljoen machines wereldwijd gebruiken nog steeds het sterk verouderde SMBv1-protocol dat ten eerste al jaren wordt afgeraden.

IDG-collega en securityspecialist Roger A. Grimes zet ongepatchte software al jaren steevast op zijn lijst van grootste beveiligingskwetsbaarheden voor organisaties en data als deze ondersteunen zijn standpunt. Volgens het onderzoek van Ponemon stelt 65 procent van de organisaties dat het bijhouden van patches 'uitdagend' tot 'extreem uitdagend' is.

6. Beveiligings-agents uitschakelen
In april verscheen een onderzoek van Absolute Security naar aanleiding van een studie van een jaar naar zes miljoen apparaten. Het gemiddelde apparaat heeft tien agents voor beveiligingstoepassingen - een heleboel endpointbeveiliging dus. Maar dat is niet altijd effectief. De agents overlappen, botsen en beïnvloeden elkaar negatief.

Zelfs er endpointbeveiliging aanwezig is, deze bijgewerkt en effectief is - als aanvallers eenmaal binnen zijn, bijvoorbeeld via EternalBlue, hebben ze verschillende manieren om endpoint-diensten uit te schakelen. Ze gebruiken bijvoorbeeld PowerShell-opdrachten om de agents neer te halen. Of ze voeren een DoS-aanval uit op de agents, zodat ze niet beschiknaar zijn, of ze kunnen gebruik maken van agents die niet juist zijn geconfigureerd, vertelt Humberto Gauna, consultant bij BTB Security.

Aanvallers kunnen registersleutels wijzigen om rechten te veroveren en beveiligings-services uitschakelen. Daar kun je tegen beveiligen met een rigoureuzere rechten hiërarchie, meent Gauna, en door te blijven patchen.


Bron: computerworld.nl​

 

Reacties 1

Gast - sdfgsdgsdfg op vrijdag 22 november 2019 17:25

😃 Smileys & People
🐻 Animals & Nature
🍔 Food & Drink
⚽ Activity
🌇 Travel & Places
💡 Objects
🔣 Symbols
🎌 Flags

😃 Smileys & People 🐻 Animals & Nature 🍔 Food & Drink ⚽ Activity 🌇 Travel & Places 💡 Objects 🔣 Symbols 🎌 Flags
Reeds Geregistreerd? Hier Aanmelden
Gast
zondag 15 december 2019

Captcha afbeelding