Chinese hackers ook op mijn netwerk?
Zeer waarschijnlijk zijn naast Google, Juniper en Adobe nog veel meer bedrijven door Chinese hackers gehackt, maar hoe kunnen bedrijven zien of ze ook besmet zijn? Beveiligingsbedrijf McAfee heeft een document online gezet met de door de aanvallers gebruikte domeinnamen en bestanden. Daaruit blijkt dat men legitieme bestandsnamen gebruikte. De beveiliger adviseert daarom om goed naar de md5-hashes te kijken. Verder is het verstandig om ook het uitgaande verkeer tussen 10 december 2009 en 6 januari 2010 op de genoemde domeinen te controleren. In het geval er een bestand of domein wordt gevonden, krijgen bedrijven het advies om direct met McAfee contact op te nemen. Om dit soort zero-day aanvallen te voorkomen, kunnen bedrijven whitelisting toepassen.
Concurrent Symantec heeft inmiddels een uitgebreide analyse van het gebruikte Trojaanse paard online gezet. In de malware vonden de onderzoekers onder andere de servernaam , poortnummer en wachttijd. Zodra de Trojan de Command & Controle server kent, probeert het via een specifieke poort verbinding te maken. Lukt dit niet, dan gaat de malware twee minuten "slapen", om het zenden vervolgens weer te proberen. Verder lijkt het erop dat er een cloud-gebaseerd systeem is gebruikt voor het automatisch updaten van de malware.
Schakel
Reuven Cohen vindt dat iedereen de hack in het juiste perspectief moet zien. "Wat deze hack werkelijk bewijst, is dat mensen eenvoudiger te hacken zijn dan netwerken. De zwakste schakel zijn altijd de mensen die stom genoeg zijn om een onbekende bijlage te openen, ook al lijkt die van iemand te komen die ze kennen." Volgens Cohen is dat het mooie van social engineering aanvallen. "De e-mail lijkt van je moeder, vader, vriend of collega te komen."
De les die we hieruit moeten trekken is dat gebruikers geen bijlagen moeten openen die ze niet kennen en ten tweede, dat Trojaanse paarden nog steeds een dreiging zijn. Toch lijkt het advies van Cohen in een bedrijfsomgeving niet altijd haalbaar. Werknemers ontvangen dagelijks talloze e-mails met bijlagen en hebben vaak niet de tijd of zin om bij elke afzender te verifiëren of het wel om een legitiem bestand gaat.
Praetorian Prefect maakte de volgende video die de werking van de exploit demonstreert.
Lijkt mij eerder het 'smerige'..
maarja, wie ben ik (buiten zwaar paranoide te zijn) nu weer..
De kans dat je als particulier last zal hebben van deze hackers lijkt mij uitgesloten. Immers zijn wij als particulieren geen interessant doelwit. Regels aanmaken op basis van de gebruikte IP adressen heeft dus geen zin. Tegelijkertijd is het wel handig om je te beschermen tegen de werkwijze. Immers is de aanval inmiddels toegevoegd aan een pakket als Metasploit, waardoor je aanvallen kunt verwachten die gebruik maken van dezelfde vulnerabilities.
Vergeet aan de andere kant niet dat hier ook lezers zitten die bij grote bedrijven werken die impacted kunnen zijn. Bovenstaande tips zijn voor dergelijke lezers handig voor het analyseren van logfiles, maken van intrusion signatures, en access control rules in firewalls.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
