image

VS waarschuwt voor misbruik van remote beheersoftware zoals AnyDesk

donderdag 26 januari 2023, 10:48 door Redactie, 4 reacties

De Amerikaanse overheid waarschuwt organisaties voor misbruik van remote beheersoftware zoals AnyDesk en ScreenConnect (ConnectWise Control). Via dergelijke software is het mogelijk om systemen op afstand over te nemen. Aanleiding voor de waarschuwing zijn twee Amerikaanse overheidsinstanties die slachtoffer werden van een aanval waarbij de software werd ingezet.

De aanval begon met een phishingmail waarin over een zogenaamde abonnementsverlening werd bericht. Om de verlenging "stop te zetten" moet een opgegeven telefoonnummer worden gebeld. Het gaat hier om een nummer van de aanvaller, die het slachtoffer instructies geeft om een bepaalde website te bezoeken. Deze website bevat een uitvoerbaar bestand dat wanneer uitgevoerd de remote beheersoftware downloadt.

Het gaat hier om een portable executable die zonder installatie is te gebruiken en zo geconfigureerd is waardoor de aanvaller meteen verbinding met het systeem van het slachtoffer te maken. Vervolgens krijgt het slachtoffer, dat nog steeds met de aanvaller aan de lijn is, instructies om op internetbankieren in te loggen. De aanvaller wijzigt dan het rekeningoverzicht, waardoor het lijkt alsof het slachtoffer ten onrechte een bedrag bijgeschreven heeft gekregen. De aanvaller vraagt vervolgens dit bedrag naar een opgegeven rekening over te maken.

Zeker twee niet nader genoemde Amerikaanse overheidsinstanties zijn hier slachtoffer van geworden. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) en de Amerikaanse geheime dienst NSA hadden de aanvallers een financieel motief, maar bestaat het risico dat ze hun toegang aan andere partijen verkopen, zoals buitenlandse spionagegroepen.

Het CISA en de NSA willen met de waarschuwing organisaties wijzen op het malafide gebruik van legitieme remote beheersoftware. Ook moeten beheerders beseffen dat door het gebruik van portable executables zaken als beheerdersrechten en software management control policies zijn te omzeilen. Daarnaast wordt remote beheersoftware niet opgemerkt door antivirussoftware. Om dergelijke aanvallen te voorkomen geven de NSA en het CISA meerdere adviezen, waaronder het blokkeren van inkomende en uitgaande verbindingen naar bekende poorten gebruikt door remote beheersoftware.

Image

Reacties (4)
26-01-2023, 11:24 door Valheru
Dus ze waarschuwen voor misbruik van remote beheer software terwijl ze eigenlijk gewoon hun medewerkers moeten trainen om niet in phishing mails te trappen.
26-01-2023, 12:36 door Anoniem
Door Valheru: Dus ze waarschuwen voor misbruik van remote beheer software terwijl ze eigenlijk gewoon hun medewerkers moeten trainen om niet in phishing mails te trappen.
Dat niet alleen het gaat al mis dat men uberhaubt portable executables toelaat. Vervolgens stellen ze ook nog eens dat deze om organizational policies kunnen werken wat ook onzin is als je een allow list aanlegt van executables en gekoppelde handtekening.

Het argument van dat remote desktop niet opgemerkt wordt door antivirus is natuurlijk ook kul dat kan je gewoon instellen en je mag toch wel aannemen dat organisaties die uberhaubt CISA, NSA advisories volgen op zijn minst tegenwoordig endpoint protection implementeren.

En dan het poorten blokkeren really? Meeste gaat toch echt over 80, 443. Tuurlijk hebben RATs een prefered port verschillend per leverancier maar ze hebben voor reguliere connectie maar 1 poort nodig en ik zie toch echt niemand poort 80 of 443 dichtgooien tenzij het een hele stricte omgeving is. Maar dan heb je een ander probleem als er al een RAT uberhaubt gestart kan worden. Of je moet al je verkeer willen omleiden naar een andere poort maar eer je al je software ook zo ver hebt dat het dat snap ben je veel tijd kwijt als het uberhaubt al lukt.


Moet zeggen CISA komt de laatste tijd wel vaker met dit soort onzinnige adviezen voor de industrie. Erg jammer vroeger waren ze nog een goede bron voor echte implementatie maar begin me steeds meer af te vragen of ik ze maar niet uit mijn SecOps RSS feed moet gooien of op zijn minst in een lagere prio feed.
26-01-2023, 14:02 door Anoniem
Het gaat hier om een nummer van de aanvaller, die het slachtoffer instructies geeft om een bepaalde website te bezoeken. Deze website bevat een uitvoerbaar bestand dat wanneer uitgevoerd de remote beheersoftware downloadt.
Dat werkt alleen onder windows! Ik zie dat AnyDesk met any software werkt maar ik denk niet dat opensource systemen met dit soort gesloten software werkt
26-01-2023, 14:38 door Erik van Straten
Door Valheru: Dus ze waarschuwen voor misbruik van remote beheer software terwijl ze eigenlijk gewoon hun medewerkers moeten trainen om niet in phishing mails te trappen.
De laatste regel uit het plaatje direct boven jouw post luidt:
• Implement a user training program and phishing exercises to raise awareness among users about the risks of visiting suspicious websites, clicking on suspicious links, and opening suspicious attachments. Reinforce the appropriate user response to phishing and spearphishing emails.

Maar dat heeft veel te weinig zin. Er staat 3x "suspicious" in, maar wat als aanvallers hun uiterste best doen om geloofwaardig in plaats van "suspicious" over te komen?

We draaien al vele jaren elke keer hetzelfde stompzinnige liedje af in de hoop dat dit plotseling wel gaat werken: forget it.

Wanneer gaan we serieus beveiligen en computergebruikers handvatten geven om nep van echt te kunnen onderscheiden - in plaats van dat we echt steeds moeilijker te onderscheiden maken van nep?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.