Gerichte aanvallen waarbij het aanvallers om een specifiek bedrijf of overheidsinstelling te doen is, zijn de afgelopen jaren explosief gestegen. Ging het in 2005 nog om een a twee aanvallen per week, vorig jaar was het aantal opgelopen naar 10 per dag. Inmiddels worden er dagelijks 30 gerichte aanvallen gesignaleerd. De motieven verschillen, maar vaak worden de aanvallen pas ontdekt als het te laat is. Wij spraken met een expert op het gebied van “targeted attacks”, Maarten van Horenbeeck, die sommige lezers ongetwijfeld kennen als handler bij het SANS Internet Storm Center.

Dit is het tweede deel van het interview, het eerste deel vind je hier.

Paris Hilton

Het zijn niet alleen bedrijven die zich zorgen moeten maken, ook eindgebruikers kunnen met gerichte aanvallen te maken krijgen. Het draait hier vooral om de waarde van de informatie. “Als het mobieltje van Paris Hilton een voorbeeld mag zijn is er duidelijk interesse in data van bepaalde gebruikers.” Van Horenbeeck verwacht niet dat het echter een groot probleem zal worden, zeker niet in verhouding met de generieke drive-by exploits die vandaag de dag worden ingezet.

Wel ziet hij meer aanvallen tegen online gemeenschappen, bijvoorbeeld door het verspreiden van malware via een mailing list. “In veel gevallen gaat het hier ook om regionale gebruikers, en wordt door het gebruik van split DNS zones, de verspreiding van de malware beperkt tot een bepaalde regio, bijvoorbeeld China.”

Dit houdt in dat alle gebruikers de server kunnen benaderen die het eerste deel van de code host, terwijl het tweede deel bewaard wordt op een DNS naam die enkel vanuit China wijst naar een bepaalde machine. Chinese gebruikers worden dus 'volledig geïnfecteerd', terwijl buitenlandse gebruikers slechts een gedeeltelijke infectie ervaren.

Dit voorkomt dat anti-virus bedrijven erin zouden slagen een tweede deel van de payload op een snelle manier te pakken kunnen krijgen en analyseren, en maakt het volledige incident response proces een heel stuk lastiger. In die gevallen wordt vaak ook exploit code gebruikt die alleen werkt op een machine met een bepaalde taalversie van het besturingssysteem.

Waakzaamheid geboden

In de ideale situatie worden kwaadaardige bijlagen op tijd afgevangen, maar wat als de aanvallers toch succesvol zijn? Wanneer komen bedrijven hierachter en wat is dan de volgende stap?

Detectie kan je onderverdelen in twee types, zegt van Horenbeeck. “Initiële detectie gebeurt meestal door de eindgebruiker: die heeft bijvoorbeeld een bijlage ontvangen van een bepaalde partij, waarna hij met die persoon contact opneemt. Zodra die persoon vermeld dat hij helemaal geen bijlage heeft verstuurd, waarschuwt de gebruiker de IT afdeling, en komt de incident response machine op gang.”

In sommige gevallen doen de aanvallers bij de ontwikkeling van een exploit bepaalde aannames, zoals het service pack level. Als deze niet blijken te kloppen crasht de exploit de applicatie in plaats van correct de code uit te voeren. Dit zijn ook typisch zaken die bij de helpdesk belanden en daar als security incidenten onderzocht kunnen worden.

Secondaire detectie vind plaats nadat in een ander bedrijf een incident heeft plaatsgevonden. In veel gevallen wordt relevante informatie, zoals controleservers of anti-virus patronen, doorgespeeld via informatie-uitwisselingscentra, zoals ISACs (Information Sharing and Analysis Centers) in de Verenigde Staten, of WARPs (Warning, Advice and Reporting Points) in het Verenigd Koninkrijk. Na enige tijd wordt deze informatie samengevoegd in waarschuwingsrapporten die vervolgens verspreid worden onder gelijkaardige bedrijven. Deze kunnen vervolgens die aanvalsinformatie benutten door bepaalde hostnames of IP addressen in hun proxy en firewall logs op te zoeken. Hierdoor worden aanvallen uitgevoerd door dezelfde dreigingsagent, maar bij verschillende organisaties, vaak opgemerkt.

Nadat een bedrijf heeft ontdekt dat het slachtoffer is geworden, wordt er meestal een onderzoek gestart. Dergelijke onderzoeken beginnen altijd met een data-collectie fase, waarin verschillende indicatoren vastgelegd worden: dit zijn bijvoorbeeld de oorspronkelijke 'dropper' of exploit, de individuen die deze file hebben ontvangen, de machines die effectief een connectie hebben opgezet naar de controle server en het type dataverkeer dat de trojan veroorzaakte, aldus de expert. Vanuit deze indicatoren wordt dan gekeken welke andere machines potentieel nog in aanraking zijn gekomen met de kwaadaardige code.

Een probleem is dat het vaak moeilijk is om te achterhalen wat er nu exact heeft plaatsgevonden op het netwerk. De bij de aanvallen gebruikte Trojaanse paarden worden voornamelijk op afstand bestuurd en de acties die de malware uitvoert zijn afkomstig van de controle-server.

Achteraf zijn de commando's vaak niet meer te achterhalen en moet dus een uitgebreid onderzoek plaatsvinden van de server om de impact in te schatten. Alleen kijken naar de malware levert zelden voldoende data op. Van Horenbeeck onderzocht laatst een trojan die in principe toegang gaf tot het volledige systeem. “Pas door het netwerkverkeer van en naar de trojan te onderzoeken zag je dat die in dit geval specifiek op zoek was naar PGP keyrings: wellicht om communicatiekanalen te identificeren tussen verschillende PGP gebruikers.”

Vertrouwen

De gevolgen van de onderzoeken gaan behoorlijk ver maakt de Belg duidelijk: “Vaak is het vertrouwen van de getroffen gebruikers geschonden en worden er intern heel wat extra interne procedures opgesteld om communicatie te verifiëren, die uiteindelijk soms zelfs de bedrijfsvoering kunnen belemmeren.”

Het gaat dan om bijvoorbeeld gebruikers die in bepaalde documenten vertrouwen moeten hebben om hun werk te kunnen doen. Van Horenbeeck merkt op dat de echte aanvallers zelden worden geïdentificeerd, omdat er in bijna elk geval meerdere landen bij betrokken zijn met vaak erg uiteenlopende juridische omkadering. Hierdoor blijft het risico op een nieuwe aanval bestaan.

Niet onopgemerkt

Onlangs liet NAVO-topman Suleyman Anil weten dat anti-virusbedrijven dit soort aanvallen negeren. Een beeld waarin van Horenbeeck zich niet kan vinden: “Ik heb niet de indruk dat anti-virusbedrijven geen interesse tonen in het fenomeen. Wanneer zij een sample ontvangen bouwen zij meestal wel detectie in voor die specifieke sample.”

En daar wringt de schoen. De anti-virusbedrijven richten zich voornamelijk op het bestrijden van mainstream dreigingen. Dit helpt in de testresultaten en is meest zichtbaar naarde klanten toe. De bescherming is dus op de meeste klanten gericht. “Het is dus een perfect normale insteek.”

Deze gerichte aanvallen zijn echter meestal niet de samples die zullen opduiken in de VB100 of AV Comparatives tests. Mede veroorzaakt door het feit dat lastig zijn te verzamelen. “In principe moet de scanner bestandsformaten gaan parsen volgens de specificaties van de softwarefabrikant.” En dat is vaak geen publieke informatie. Een bijkomend probleem is dat als de anti-virusbedrijven zelf parsers moeten voorzien voor die formaten, zo hun eigen software blootstellen aan meer risico.

Het bedrijfsleven is zich bewust van de risico's, maar ziet vaak niet veel mogelijkheden om zich te beschermen buiten de systemen die ze reeds geïmplementeerd hebben, zoals anti-virus. In België en Nederland is er ook veel minder samenwerking tussen de organisaties dan in bijvoorbeeld de Verenigde Staten en Engeland.

Waar daar verscheidene concurrenten geanonimiseerd informatie uitwisselen via de eerder genoemde WARPs en ISACs is dit in de Benelux regio nog niet duidelijk ingevuld. De expert ziet hier een taak voor de overheid weggelegd. “Als onderdeel van bestaande programma’s ter bescherming van het economisch en wetenschappelijk potentieel zou hier een extra impuls vanwege de overheden erg kunnen bijdragen.”