image

"Oorlog tegen Chinese hackers is niet te winnen"

dinsdag 2 februari 2010, 10:28 door Redactie, 13 reacties

Chinese hackers voeren al jaren een succesvolle campagne tegen Westerse bedrijven, overheden en andere instanties. Iedereen is een doelwit en de aanvallers zullen altijd slagen. Dat blijkt uit een nieuw rapport van Mandiant, dat voor het eerst de schimmige wereld van gerichte aanvallen en Advanced Persistent Threats (APT) bespreekt. Volgens het beveiligingsbedrijf, dat ook de recente inbraak bij Google onderzocht, blijkt uit eigen onderzoek dat de meeste aanvallen met China te maken hebben.

Aanvallen die sinds de laatste zeven jaar door zeer ervaren en gemotiveerde hackers worden uitgevoerd. Mandiant spreekt niet van hackers, maar van APT. “Het zijn professionals en hun slagingspercentage is indrukwekkend.” Bij gerichte aanvallen zijn zowel de gebruikte e-mail of Instant Messaging bericht en malware op maat gemaakt. De malware wordt niet door IDS of virusscanners opgemerkt en kan soms jaren binnen een netwerk actief zijn.

De APT mag dan steeds geraffineerder en verfijnder worden, om het netwerk binnen te dringen gebruikt de aanvaller nog altijd eenvoudige technieken. De eerste stap bestaat uit het verkennen van het doelwit en vergaren van informatie. In veel gevallen gaat het om topmanagers, waar via sociale netwerksites en contactinformatie de benodigde informatie voor een social engineering aanval is te vinden. De tweede stap is het versturen van een bericht met een bijlage of link die naar een drive-by download website wijst. In het geval van de aanval op Google werd een onbekend lek in Internet Explorer gebruikt. De afzender van de e-mail wordt vaak gespooft en is iemand die het slachtoffer kent. Mandiant ontdekte dat de aanvallers op gezette tijden toeslaan. Voornamelijk als het dag is in China.

Zijspoor
Voor de derde stap, het installeren van een backdoor, gebruikt de APT de inloggegevens van de domain controller. De versleutelde informatie wordt gesnift, gekraakt en vervolgens gebruikt. Is de backdoor actief, dan wordt die continu bijgewerkt om detectie te voorkomen. Ook door legitieme inloggegevens te gebruiken hoopt men de beveiliging op een zijspoor te zetten. Daarnaast gebruikt de malware al aanwezige Microsoft libraries om de omvang te beperken. De vierde fase in de aanval bestaat uit het verzamelen van inloggegevens van gebruikers. Op deze manier kan men via NETBIOS inloggen om te zien of systemen over waardevolle gegevens beschikken, om die vervolgens te stelen.

Voor het dumpen van wachtwoorden, installeren van backdoors en het stelen van e-mail installeren de aanvallers aanvullende programma’s, wat stap vijf is. Veel van de systemen waar deze programma’s werden aangetroffen, waren niet besmet, wat volgens Mandiant teken is dat de installatie via legitieme inloggegevens gebeurt. De zesde stap is het inpakken en versturen van de waardevolle informatie. In veel gevallen maken de aanvallers een met RAR beveiligd archief aan. Dit bestand wordt naar een “staging server” gestuurd, vanwaar de aanvallers de data zelf ophalen.

Als laatste zal de APT er alles aan doen om op het netwerk actief te blijven. Het gaat bij deze aanvallen niet om het eenmalig stelen van gegevens, maar het hebben van een continue toegang tot bedrijfsgegevens en netwerken. Zodra een besmette machine wordt opgemerkt, zullen de aanvallers de malware op andere machines aanpassen en aanvullende machines infecteren.

Naar huis bellen
Eenmaal op het netwerk zal de APT gegevens naar buiten smokkelen. Om beheerders niets te laten merken gebruikt men veelgebruikte User Agents en http request headers, wat detectie bemoeilijkt. Detectie is een sleutelwoord als het om de bestrijding van dit soort aanvallen gaat. Volgens Mandiant weten virusscanners slechts 24% van alle APT malware te detecteren.

Malware die zelf ook alle moeite doet om onopgemerkt te blijven. Zo worden er alleen bekende netwerkpoorten, processen en Windows Services gebruikt. Een ander belangrijk punt is dat de APT nooit naar inkomende verbindingen luistert. Bedrijven die het uitgaande verkeer niet filteren, zullen een aanval daarom niet opmerken. 83% van de APT malware gebruikt TCP poort 80 of 443. Daarvan is in 71% van de gevallen het verkeer versleuteld.

Zwijgen
Wat de aanval op Google zo bijzonder maakte, was dat de zoekgigant dit zelf naar buiten bracht. De meeste APT slachtoffers zullen dit nooit melden, wat niet betekent dat ze onzichtbaar zijn. “Je hoeft niet verder dan de voorpagina van de krant te kijken om te bepalen wie mogelijk een recente APT doelwit is geweest.” Mandiant spreekt zelfs van een cyberspionage campagne tegen de Verenigde Staten. De slachtoffers waar Mandiant over de vloer kwam verschillen van een anti-terreurorganisatie van de Amerikaanse overheid, overheidsinstanties, defensiebedrijven, non-profit organisaties, advocatenkantoren, Fortune 500 productiebedrijven.

In sommige gevallen bleek de malware al twee jaar binnen de organisatie actief te zijn. Soms merken bedrijven de aanval zelf op en beginnen vervolgens met het uitschakelen van besmette machines of het verwijderen van de malware. Ook dit is een gevecht dat de meeste ondernemingen verliezen. In alle gevallen waar bedrijven zelf aan de slag gingen, ontdekte Mandiant dat er nog andere geïnfecteerde systemen actief waren. De APT houdt hier ook rekening mee. Sommige malware exemplaren “slapen” een jaar, om dan pas actief te worden. “Dit is een duidelijk voorbeeld van hoe geduldig APT aanvallers zijn en geeft de tijd aan die ze investeren in een aan te vallen netwerk.”

Probleem
“De APT is niet alleen een probleem voor de overheid, het leger of defensiebedrijven, het is een probleem voor iedereen.” Elk bedrijf, ongeacht de omvang, is volgens Mandiant een doelwit. Het doel van de APT is tweeledig. Ten eerste het stelen van waardevolle informatie, ten tweede het permanent toegang hebben tot netwerken. De oorlog tegen Chinese hackers zal nooit over zijn en is niet te winnen, zo merkt het bedrijf op. Daarnaast moeten bedrijven die besmette machines aantreffen die niet meteen offline halen, aangezien dit de aanvallers waarschuwt, die vervolgens andere besmette systemen aanpassen of nieuwe machines infecteren.

Om de APT te bestrijden moeten bedrijven host- en netwerk gebaseerde detectie verbeteren en ook hun mogelijkheden om op een groot incident binnen de onderneming te reageren. “De meeste bedrijven hebben al moeite om effectief incidenten te detecteren.” Ondernemingen die alleen op automatische beveiliging vertrouwen zullen uiteindelijk altijd besmet blijven. Getraind personeel is dan ook de “sleutel”, aldus Mandiant.

Adobe Reader
Een ander bedrijf dat gerichte aanvallen monitort is MessageLabs. Vorig jaar ontdekte het 60 APT trojans per dag, waarbij er recent op één dag 357 spear-phishing e-mails werden waargenomen. Met name PDF-bestanden (41%) zijn erg populair, maar ook Word bestanden doen het goed. Een reden hiervoor is dat Adobe Reader op veel kantoorcomputers geïnstalleerd is. Daarnaast bestaat nog altijd de perceptie dat PDF een veilig bestandsformaat is. Toch is het volgens Paul Wood van Symantec, geen oplossing om Adobe Reader, of bijvoorbeeld Internet Explorer te dumpen. Volgens hem draait het om de beveiliging die ervoor draait, het afvangen van de aanval voordat die kan plaatsvinden.

De aanvallen zijn voornamelijk gericht op midlevel of topmanagers. In 60% van de incidenten waren deze groepen het doelwit, waarbij de topmanager er met 48% bovenuit springt. Niet omdat deze individuen meer rechten op de desktop hebben, maar vanwege het feit dat op hun systeem de waardevolle informatie staat. Ook algemene adressen zoals info@ of enquiries@ krijgen 19% van de aanvallen te verduren.


Wood merkt op dat er gevallen bekend zijn waarbij de aanvallers eerst een leverancier van een aan te vallen bedrijven hackten, en vervolgens een al gaande e-mailconversatie gebruikten om het doelwit een geïnfecteerde bijlage te sturen. In dit geval zou het slachtoffer niets vreemds aan de headers hebben gezien. Wood vindt het ook geen taak van eindgebruikers om zaken als headers te controleren om te zien of een e-mail gespooft is. Toch is het onderwijzen en bewust maken van het personeel een belangrijke stap. “Teveel bedrijven negeren nog de dreiging van gerichte aanvallen.”

Reacties (13)
02-02-2010, 10:52 door cpt_m_
Duidelijk verhaal maar niet onverwacht helaas :(

Getraind personeel is dan ook de sleutel wordt er verteld.
Welke trainingen zijn hiervoor beschikbaar? Personen met ervaringen?

Welke software cq hardware tegen een betaalbare prijs is er geschikt voor het MKB?

Welke software cq hardware tegen een betaalbare prijs is er geschikt voor privé gebruik?

In 100% beveiliging geloof ik niet MAAR je kunt wel gebruik maken van de juiste kennis en apparatuur om de kans zo klein mogelijk te maken dat je aangevallen kunt worden.
02-02-2010, 11:00 door Anoniem
Verbaasd mij niks Google is zowiezo een beveiligings nachtmerrie. Waarom huren de westerse beveiligingsbedrijven geen Oost Europeaanse hackers in om tegen die Chinese hackers te beveiligingen? Ik geloof niet dat er niks aan te doen valt! Het zal alleen een aardige duit met geld kosten.
02-02-2010, 13:07 door Anoniem
Er komt zéér weinig goeds uit China.
Melk met melamine, kleding met (in de EU) 250x de toegestane "gif" gehalte in kleding, gehackte routers van gerenomeerde merken die daar geproduceerd worden (ff snel een backdoortje erin en zo een DDOS netwerkje creeëren), besmette usb-sticks, mp3 spelers, digitale fotolijstjes, (externe) harde schijven, etc.etc.

Remedie: Ban Chinese troep en China afsluiten van het WWW.

Zoals reeds bekend worden Chinese hackers notabene door de Chinese overheid gefinancierd, dus afsluiten die hele handel.
02-02-2010, 13:39 door Anoniem
Logbestanden checken, en ik sluit me aan bij het uitsluiten van china van het www.

Ik heb ook regelmatig te kampen met Chinese aanvallen (beperkte aanvallen zoals bruteforce) vanaf chinese ip-adressen. Ik ban onbeperkt na een aantal foute logins. Daarnaast zijn er genoeg netwerksniffers die verkeer kunnen volgen.

Maar ik kan me voorstellen dat een bedrijf als google dit onmogelijk door mensenogen kan laten controleren met de hoeveelheid data die ze verzetten.
02-02-2010, 14:10 door Anoniem
oplossing china uitsluiten van het www, is toch een waardeloos land
02-02-2010, 15:02 door Preddie
Door Anoniem: Er komt z??r weinig goeds uit China.
Melk met melamine, kleding met (in de EU) 250x de toegestane "gif" gehalte in kleding, gehackte routers van gerenomeerde merken die daar geproduceerd worden (ff snel een backdoortje erin en zo een DDOS netwerkje cree?ren), besmette usb-sticks, mp3 spelers, digitale fotolijstjes, (externe) harde schijven, etc.etc.

Remedie: Ban Chinese troep en China afsluiten van het WWW.

Zoals reeds bekend worden Chinese hackers notabene door de Chinese overheid gefinancierd, dus afsluiten die hele handel.

Vergeet de vooraf geprepareerde cisco hardware niet ;)

ontopic: een mooi stuk, redactie bedankt !

(edit: ik schreeft software maar bedoelde hardware ;) )
02-02-2010, 16:38 door Anoniem
Door cpt(m): Duidelijk verhaal maar niet onverwacht helaas :(

Getraind personeel is dan ook de sleutel wordt er verteld.
Welke trainingen zijn hiervoor beschikbaar? Personen met ervaringen?

....

SANS.org heeft hier trainingen voor. Met deze partij ben ik echter niet heel bekend.
Wel ken ik de trainingen van EC Counsil, omdat wij zelf die trainingen verzorgen.
Voor eenieder die inzicht wil krijgen in hoe hackers denken, is de training CEH (Certified Ethical Hacker) een aanrader. Bij deze cursus zit een enorme lijst aan software, van detectie en enumeratie tot echte hacktools.
02-02-2010, 19:28 door Anoniem
Alleen open source os in combinatie met het monitoren, en de kennis, van alle vitale systeem-onderdelen kan hier een oplossing voor bieden. Abnormaliteiten herkennen is, zoals hierboven genoemd, het belangrijkste qua beveiliging.

Voorlopig zie ik dit nog niet gebeuren, helaas.
02-02-2010, 19:36 door Anoniem
"Toch is het volgens Paul Wood van Symantec, geen oplossing om Adobe Reader, of bijvoorbeeld Internet Explorer te dumpen. Volgens hem draait het om de beveiliging die ervoor draait, het afvangen van de aanval voordat die kan plaatsvinden."

Tja, dat is in veel gevallen een utopie, en derhalve een tamelijk slecht advies. Je kunt Adobe Acrobat Reader gemakkelijk vervangen en ook bij IE kan dat in bepaalde mate. Het lijkt me een PR uitspraak, bedoeld om anti-malware of een dienst als MessageLabs te verkopen.

Beveiliging tegen dit soort dreigingen is altijd multi-layer. De belangrijkste maatregel is het isoleren van Internet gebruik via remote sessies.
02-02-2010, 20:55 door deleted
wrm is china altijd zo boos op westerse landen??
We doen toch goed zaken.
laat ze lekker chinese websites hacken
02-02-2010, 22:50 door [Account Verwijderd]
[Verwijderd]
03-02-2010, 03:03 door Anoniem
Door drroogte:
Door cpt(m): ZOU mooi zijn, als mensen minder 'klikken'.

Dat is nu precies niet het probleem bij deze targeted attacks. Deze aanvallen zijn zeer geavanceerd op het gebied van social engineering. Je kunt dan net zo goed vragen helemaal nergens op te klikken.
03-02-2010, 09:07 door Jachra
Door Romano: wrm is china altijd zo boos op westerse landen??
We doen toch goed zaken.
laat ze lekker chinese websites hacken

Denk niet aan emoties in dit "spel", het gaat eerder om technologische en economische voorsprong te behalen en te behouden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.