24 juli 2013 10:42

Het 6 stappenplan van een gerichte aanval

De scriptkiddie heeft plaats gemaakt voor de scherpschutter. De cyberaanval gericht op de grote massa is vervangen door de geduldige en doelgerichte cybercrimineel. Om te begrijpen waarom gerichte aanvallen zoals de gekende Luckycat zo succsuccesvol waren, is het belangrijk te weten welke technieken er worden gebruikt.

De scriptkiddie heeft finaal plaats gemaakt voor de scherpschutter. De cyberaanval gericht op de grote massa is vervangen door de geduldige en doelgerichte cybercrimineel. De malware schrijver van vandaag is goed georganiseerd en maakt deel uit van een professioneel team. Hij getroost zich de moeite om langzaam maar zeker zijn doel te bereiken: het onderscheppen van waardevolle informatie zoals wachtwoorden, codes, credit card gegevens, bankoverschrijvingen, bedrijfsgeheimen en andere persoonlijke gegevens. Om te begrijpen waarom gerichte aanvallen zoals de gekende Diginotar en Luckycat zo succesvol waren, is het belangrijk te weten hoe zo’n aanval eruit ziet en welke technieken er worden gebruikt.

Of met andere woorden, welke stappen zet de hacker om aan de informatie van zijn doelwit te geraken? Een gerichte aanval bestaat uit de volgende zes stappen:

1. Uitgebreid vooronderzoek: om de strategie van zijn gerichte aanval te bepalen, gaat de hacker eerst op zoek naar allerhande informatie over zijn doelwit. Hij maakt hiervoor gebruik van openbare bronnen, social engineering technieken en bronnen zoals LinkedIn, Facebook, … of de bedrijfssite.

2. Entree maken: de hacker zal zich een weg banen om het netwerk van het doelwit binnen te dringen door malware achter te laten via social engineering of “watering hole” technieken. Bij “watering hole” wordt op perfect legitieme websites gezocht naar de zwakke plek om de bezoeker van die website in gevaar te kunnen brengen. Bij social engineering gaat het erom het vertrouwen of de interesse van één iemand te winnen zodat die op een bepaald ogenblik op een link, foto of document klikt. Dat kan voldoende zijn om toegang tot het netwerk te hebben.

3. Communicatielijnen uitzetten: eenmaal binnengedrongen in het netwerk, worden de command-en-control communicatielijnen uitgezet zodat de hacker de touwtjes van de besmette machines in handen krijgt om zijn volgende stappen uit te werken. Het command-en-control center is namelijk als het ware het centrale punt van waaruit een aanval verder georchestreerd wordt.

4. Onder de radar bewegen: vanaf nu kan de hacker rustig en compleet onzichtbaar voor perimeter of traditionele beveiligingstechnieken, over het netwerk bewegen op zoek naar die informatie die hij moet hebben. Hij kan bijvoorbeeld extra machines inschakelen en zich bepaalde privileges toe-eigenen. Op deze manier houdt hij controle over ‘zijn overgenomen’ netwerk en kan geduldig kijken welke gegevens hij uit het netwerk wil weghalen.

5. Ontdekken van de gewenste, waardevolle informatie: door het gebruik van verschillende technieken identificeert de hacker die servers en diensten die de voor hem waardevolle informatie bevatten.

6. Stelen van de informatie: eenmaal verzameld, zal de hacker de gestolen gegevens naar een intern geënsceneerde server sturen van waar alles tot één geheel wordt gecomprimeerd en gecodeerd verstuurd naar externe locaties.

Conclusie:
Eén zwakke plek of één onvoorzichtige werknemer is voldoende om de malware te activeren die toegang verleent tot het netwerk en de gevolgen kunnen catastrofaal zijn. De hacker van vandaag is geduldig, hij wacht op de perfecte kans om te slagen. Het is dus geen kwestie of je hier ooit het slachtoffer van wordt, het is nog enkel een kwestie van wanneer. Dat bewees ook de recente studie bij de leden van ISACA. Daarbij bevestigd 21 procent van de ondervraagde bedrijven reeds slachtoffer te zijn geworden van een gerichte aanval, en nog eens 63 procent denkt dat het enkel nog een kwestie van tijd is vooraleer ook zij aan de beurt zijn.