Cyberspionnen vermommen uitgaand verkeer via Tor-netwerk
Een groep cyberspionnen gebruikt al twee jaar een techniek waarbij ze uitgaand verkeer van besmette systemen via het Tor-netwerk vermommen. De techniek heet 'domain fronting', waarbij het uitgaande verkeer naar populaire webdiensten zoals die van Google lijkt te gaan, terwijl het verkeer in werkelijkheid naar de servers van de aanvallers gaat. De groep cyberspionnen, aangeduid als APT29, gebruikt hiervoor de Tor-plug-in Meek.
Meek creëert een versleutelde netwerktunnel die naar Google lijkt te gaan. De tunnel biedt aanvallers de mogelijkheid om via Terminal Services (TS), NetBIOS en Server Message Block (SMB) toegang tot het systeem te krijgen, terwijl het om verkeer naar legitieme websites lijkt te gaan. De aanvallers gebruiken daarnaast een veel voorkomende Windows-exploit om zonder in te loggen een command shell met verhoogde rechten te krijgen.
Volgens het Amerikaanse beveiligingsbedrijf FireEye is APT29 een groep Russische staatshackers die domain fronting al lang gebruikt voordat deze techniek algemeen bekend werd. "Door het gebruik van een publiek beschikbare implementatie konden ze met minimaal onderzoek of ontwikkeling hun netwerkverkeer verbergen", zegt onderzoeker Matthew Dunwoody. Hij merkt op dat organisaties die dergelijke aanvallen willen detecteren inzicht in versleutelde verbindingen en de endpoints zelf moeten hebben, alsmede over effectieve netwerksignatures moeten beschikken.
Wat nieuwswaardig zou zijn, is indien bedrijven en overheidsinstanties ervoor zouden zorgen dat ze TOR verkeer blokkeren danwel detecteren.... Bij de meeste bedrijven is men stekeblind m.b.t. dergelijk kwaadaardig verkeer.
Wat nieuwswaardig zou zijn, is indien bedrijven en overheidsinstanties ervoor zouden zorgen dat ze TOR verkeer blokkeren danwel detecteren.... Bij de meeste bedrijven is men stekeblind m.b.t. dergelijk kwaadaardig verkeer.
Een van de bestaansredenen is dat er veelal wel blokkades van verkeer bestaat.
De term kwaadaardig is discutabel als het om generieke verkeersstromen en protocollen gaat. Https kan je anders ook als kwaadaardig beschouwen omdat je de content niet kan inzien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
