Besmette bijlage oorzaak van recente DNS-kaping
Een besmette bijlage die door een werknemer van hostingbedrijf Digitalus werd geopend was de oorzaak dat vorige week duizenden websites tijdelijk hun bezoekers naar een pagina doorstuurden die malware probeerde te installeren. De websites waren zelf niet gehackt, maar de nameservers van hostingbedrijf.
Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de aanpassing van de nameservers konden de aanvallers daardoor de websites naar een ander IP-adres laten wijzen.
De DNS-instellingen konden worden gewijzigd doordat aanvallers de inloggegevens hadden bemachtigd voor het systeem waarmee de instellingen worden beheerd. Nu blijkt dat deze inloggegevens via een besmette bijlage zijn buitgemaakt.
Malware
Uit het persbericht van Digitalus blijkt het dat er geen sprake was van misbruik van een beveiligingslek in een programma zoals Adobe Reader, maar dat er een bestand werd gebruikt dat op een PDF-bestand leek, maar in werkelijkheid malware was. Dit is een veelgebruikte tactiek van cybercriminelen die een uitvoerbaar bestand van een PDF-icoon voorzien.
Daarnaast worden in Windows standaard de bestandsextensies niet getoond, waardoor het mogelijk is om een bestand als document.pdf.exe te versturen, waarbij de ontvanger alleen de bestandsnaam document.pdf te zien krijgt.
"Uit het onderzoek van Digital Investigation blijkt dat kwaadwillenden door middel van een e-mail met een nagenoeg identiek op een pdf-bijlage lijkende bijlage, op oneigenlijke wijze wachtwoorden en login-gegevens hebben weten te bemachtigen. Door het openen van de bijlage is er ongemerkt malware op het werkstation van een van de medewerkers geïnstalleerd", aldus IT-Ernity Internet Services, waar Digitalus onderdeel van uitmaakt.
Geschoolde IT-medewerker
Volgens het bedrijf had de installatie van deze malware niet voorkomen kunnen worden, omdat die door vrijwel geen enkele moderne virusscanner werd herkend. Sommige bedrijven blokkeren echter uitvoerbare bestanden op de gateway. Daarnaast zijn er ook op het niveau van het besturingssysteem maatregelen te nemen die kunnen voorkomen dat dit soort bestanden worden geopend.
"Het openen van de bijlage van deze e-mail had mij ook kunnen overkomen. De mail kwam binnen bij een afdeling die dagelijks talloze van dit type mailtjes ontvangt. Aan het bestand was niet direct zichtbaar dat het niet om een reguliere pdf ging. Een geschoolde IT-medewerker zou dit wellicht wel herkend hebben", aldus Sebastiaan de Koning, CEO van IT-Ernity.
Dus er wordt gewerkt met niet geschoolde medewerkers???? Klinkt niet echt hoopgevend...Digitalus is van mijn lijst met potentiele goede hosters gevallen.
ook niet bij Digitalus kennelijk.
Echter, ik blijf het onvergeeflijk vinden dat SIDN toegang geeft tot de beheer interface met alleen maar een usernaam
en wachtwoord, en geen verdere maatregelen neemt zoals 2nd factor authenticatie, een whitelist van IP adressen
waarvanaf ingelogd kan worden, een bevestiging van wijzigingen via een mailtje aan een geregistreerd adres, of
iets dergelijks.
Het echte prutswerk zit niet zozeer bij Digitalus maar bij SIDN. Alleen die geven het niet toe.
Ik heb in het verleden wel eens deelnemersraden van SIDN bezocht. Dan zie je vaak dat SIDN wat wil, maar door een groot deel van de deelnemers wordt teruggefloten omdat het te lastig of te duur wordt. Veel van de deelnemers zijn kleine providers die geen idee hebben van de noodzaak van beveiliging. Het andere grote deel van de deelnemers zijn marketingbedrijven, die nog minder van beveiliging weten dan van internet. Het deel goede, oplettende providers is altijd een kleine minderheid geweest.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
