Meeste aanvallen via poort 135 en 445
De meeste aanvallen tegen netwerken vinden nog altijd plaats via poort 135 en 445, zo blijkt uit statistieken van SRI International, dat dagelijks het aanvalsverkeer bijhoudt. In een periode van 551 dagen werden meer dan 16.000 botnet-aanvallen ontdekt. SRI was ook verantwoordelijk voor de uitgebreide analyse van de Conficker worm. De 'Honeynet and BotHunter Malware Analysis Automatic Summary Analysis Table' van het onderzoeksinstituut is een handige bron voor systeembeheerders en IT-professionals als het gaat om nieuwe malware, te blokkeren Command & Control servers en het opstellen van intrusion detection rules. Het standaard dichtzetten van deze poorten, beter bekend als Microsoft DCE locator (135) en Microsoft Directory Services (445), is vaak geen optie, aangezien er ook genoeg legitiem netwerkverkeer over deze poorten gaat.
Blokkeren
"We kunnen dergelijk verkeer wel bijvoorbeeld op onze external boundary blokkeren, maar daarmee voorkom je geen propagatie van malware binnen je netwerk, bijvoorbeeld nadat iemand met een geïnfecteerde laptop of USB-stick op het werk komt en vervolgens bron van verdere infecties is", aldus een anonieme IT-expert die Security.nl over het onderwerp sprak.
"Daarnaast gaat het niet alleen om het blokkeren, maar ook om het detecteren. Indien bijvoorbeeld een systeem binnen ons netwerk met Conficker besmet is, dan kan deze geen contact met externe kwaadaardige hosts maken doordat dit verkeer door access-lists wordt gedropped. Toch monitoren we continu pogingen om deze hosts te bereiken, omdat we willen weten welke systemen eventueel besmet zijn. Hetzelfde geldt natuurlijk voor Command & Control servers van andere botnets, en andere verkeer wat door malware infecties wordt veroorzaakt."
"Safely" disabled de poorten DCOM/RPC 135, RPC Locator 445, NetBIOS 137/8/9, UPnP 5000, Messenger (NetBIOS RPC).
Die MS shit heb je vrijwel nooit nodig.
Mij ook. Alleen is dat lastig in een omgeving met meer dan 100.000 systemen, waarbij je vervolgens niet alleen beperkt wordt door gebrek aan tijd, informatie en mankracht om dit voor elkaar te krijgen, maar ook nog eens door procedurele afspraken met de klant en overige leveranciers over hoe je met dergelijke zaken om gaat ;)
"het lijkt me beter om alles dicht te zetten tenzij je een port nodig hebt."
Bovendien wil je het verkeer niet alleen blokkeren, je wilt tevens weten door welke systemen het verkeer wordt gegenereerd. In dat geval moet je dus wel weten of het om normaal verkeer gaat, of om malicious traffic gerelateerd aan malware.
Deze informatie kan je dus niet alleen gebruiken voor access control, maar ook als input ten behoeve van monitoring met routers, firewalls, intrusion detection systemen en vulnerability scanners om logged acl regels of custom signatures te maken.
Aan de hand van dergelijke informatie kunnen incidenten aangemaakt worden voor de afdelingen binnen een bedrijf die voor het beheer van de besmette systemen verantwoordelijk zijn. Vaak gaat het dan ofwel om nieuwe malware welke nog niet wordt gedetecteerd door de virusscanner, of om hosts welke niet voorzien zijn van een goed functionerende virus scanner.
Wat dat betreft is het blokkeren van porten slechts een deel van de oplossing in een complexe, grootschalige omgeving.
"We kunnen dergelijk verkeer wel bijvoorbeeld op onze external boundary blokkeren, maar daarmee voorkom je geen propagatie van malware binnen je netwerk, bijvoorbeeld nadat iemand met een geïnfecteerde laptop of USB-stick op het werk komt en vervolgens bron van verdere infecties is", aldus een anonieme IT-expert die Security.nl over het onderwerp sprak.
Als window gebruiker heb je toch wel een groot aanbod aan onontbeerlijke programmas.
Vul je O.S. met een wolk van deze "motor-up" middeltjes en je hebt een stabiel en
betrouwbaar systeem. Succes ermee !
Het is erg fijn wanneer je achter een router zit, binnen hetzelfde VLAN als een collega met een geinfecteerd systeem. Immers gaat de traffic dan niet langs een access-list, en wat dat betreft biedt dat dus lang niet altijd beveiliging. Verder is het zonder meer zo dat de firewall standaard aan staat met het laatste XP service pack; echter wil dat niet zeggen dat je op een netwerk met 100.000+ hosts in een paar dozijn landen geen systemen hebt waarbij de firewall uitstaat, of waarbij de firewall door een of andere reden niet goed functioneert.
"De eerste de beste die het voor elkaar krijgt om een geinfecteerde laptop in het netwerk te hangen wordt even zachtjes achter de oren getikt met een LART."
Klinkt leuk, echter is het de vraag of je deze bevoegdheid hebt, zeker wanneer de gebruiker binnen een klant-organisatie werkt. Daarnaast lost de LART de problemen niet op, het maakt de gebruiker alleen bewust om herhaling in de toekomst te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
