Nieuws
image

Cyberspionnen doen zich vaak als IT-personeel voor

dinsdag 24 februari 2015, 15:34 door Redactie, 6 reacties

Cyberspionnen die bij organisaties proberen in te breken doen zich vaak voor als het IT-personeel van de aangevallen organisatie. Ook sturen ze vaak phishingmails die security-gelateerd zijn en bijvoorbeeld van een anti-virusbedrijf afkomstig lijken. Dat meldt het Amerikaanse beveiligingsbedrijf Mandiant in een nieuw rapport. 78% van de gerichte phishingmails die het bedrijf voorbij zag komen waren IT- of security-gerelateerd.

Social engineering, waarbij gebruikers worden verleid om een e-mailbijlage te openen of een bepaalde website te openen, in combinatie met ongepatchte beveiligingslekken zijn dan ook de voornaamste manier waarop aanvallers toegang tot organisaties weten te krijgen. De meeste phishingmails die werden geanalyseerd bleken op zaterdag te zijn verstuurd.

Het rapport laat verder zien dat 69% van de getroffen organisaties een inbraak op het netwerk via een externe partij komt te weten, terwijl 31% van de slachtoffers het zelf ontdekt. Gemiddeld zouden aanvallers vorig jaar 205 dagen toegang tot aangevallen netwerken hebben gehad voordat ze werden opgemerkt. Een daling van 24 dagen ten opzichte van 2013. Bij één organisatie wisten de aanvallers zich zelfs 8 jaar te verbergen.

Mimikatz

Om wachtwoorden, hashes en certificaten van gecompromitteerde systemen en netwerken te stelen zouden aanvallers steeds vaker het programma Mimikatz gebruiken, zo waarschuwt Mandiant. Mimikatz is vrijelijk via internet te downloaden en volgens de ontwikkelaar een tool om met Windows security te "experimenteren". Via de tool kunnen wachtwoorden, hashes en Kerberos-tickets uit het geheugen worden gehaald. In bijna alle gevallen die werden onderzocht en waar Mimikatz was ingezet bleek de aanwezige anti-virussoftware de tool niet te stoppen.

Reacties (6)
24-02-2015, 16:04 door [Account Verwijderd] - Bijgewerkt: 24-02-2015, 16:04
[Verwijderd]
25-02-2015, 09:34 door Flashback956
Door Forester: Antivirus-software zou Mimikatz niet kunnen stoppen?
Nou, ik weet niet welke AV-solution men heeft gekozen bij de IT-afdeling, maar de hacktool is wel degelijk te detecteren: https://www.virustotal.com/nl/file/9017dc1ccb637c493a1c80ec844d704a73cc31e7ebfae928e70dbe2aa6ebaf0c/analysis/1424789746/

Als je goed kijkt zitten er grote namen tussen. Kaspersky, TrendMicro, McAfee, Avira, Malwarebytes. Allemaal een groen vinkje.
25-02-2015, 10:03 door Anoniem
Dat is niet omdat ze niet in staat zouden zijn om de tool te detecteren... het is meer een principiële keuze. Wanneer is iets een hacktool en wanneer spreek je gewoon van een utility. Zijn TeamViewer en Cain and Able ook hacktools of niet? Zouden als dusdanig kunnen worden gebruikt. Blijkbaar geeft men MimiKatz (nu) nog het voordeel van de twijfel.
25-02-2015, 12:25 door Mysterio
Door Anoniem: Dat is niet omdat ze niet in staat zouden zijn om de tool te detecteren... het is meer een principiële keuze. Wanneer is iets een hacktool en wanneer spreek je gewoon van een utility. Zijn TeamViewer en Cain and Able ook hacktools of niet? Zouden als dusdanig kunnen worden gebruikt. Blijkbaar geeft men MimiKatz (nu) nog het voordeel van de twijfel.
Precies wat ik dacht.
25-02-2015, 12:27 door Anoniem
Antivirus-software zou Mimikatz niet kunnen stoppen?

Tja, in de scan die jij neerzet zie je dat een aanzienlijk deel van de AV software Mimikatz niet detecteert. Indien in de genoemde gevallen AV software van die leveranciers werd gebruikt, dan klopt de uitspraak dat die software Mimikatz niet detecteert (/blokkeert) natuurlijk geheel.
27-02-2015, 07:29 door Anoniem
zolang AV's nog steeds voornamelijk naar code signatures kijken is elke tool voor AV's ondetecteerbaar te maken. AV evasion is binnen de hacking scene een bekend topic.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure