Veel van de 'geavanceerde' hackers die bij bedrijven en organisaties inbreken gebruiken kant-en-klaar gereedschap. Het gaat dan om Advanced persistent threats (APT), aanvallers die langere tijd op netwerken actief zijn om gegevens te stelen. Veel van de APT-aanvallen verlopen via e-mails die een bijlage of link bevatten. Zodra het slachtoffer de bijlage of link opent, wordt er malware geïnstalleerd.
In veel gevallen is dit mogelijk omdat organisaties hun software niet updaten, hoewel het ook voorkomt dat er beveiligingslekken in software wordt gebruikt waarvoor nog geen update beschikbaar is. Dit is echter de eerste stap van de aanval. De malware die via een lek in de software wordt geïnstalleerd fungeert als backdoor.
Gereedschap
Via deze backdoor installeren de aanvallers vervolgens aanvullende tools voor verschillende doeleinden. Het gaat dan om het infecteren van andere machines in het netwerk, het stelen van gegevens en het vermijden van detectie. Naast zelfontwikkelde tools gebruiken de aanvallers vaak ook kant-en-klare programma's.
Bedrijven en organisaties kunnen op hun netwerk naar deze programma's zoeken, om zo een infectie te ontdekken, hoewel de aanwezigheid van dit soort tools niet per definitie wil zeggen dat er een infectie is.
Trend Micro maakte een overzicht van 17 tools die het bij echte APT-aanvallen ontdekte en die nog dagelijks door aanvallers worden gebruikt., zoals HTRAN, Gsecdump, Pwdump, Netbox, Sdelete en UPX Shell.
Deze posting is gelocked. Reageren is niet meer mogelijk.