image

Cyberspionnen vermommen uitgaand verkeer via Tor-netwerk

dinsdag 28 maart 2017, 11:27 door Redactie, 3 reacties

Een groep cyberspionnen gebruikt al twee jaar een techniek waarbij ze uitgaand verkeer van besmette systemen via het Tor-netwerk vermommen. De techniek heet 'domain fronting', waarbij het uitgaande verkeer naar populaire webdiensten zoals die van Google lijkt te gaan, terwijl het verkeer in werkelijkheid naar de servers van de aanvallers gaat. De groep cyberspionnen, aangeduid als APT29, gebruikt hiervoor de Tor-plug-in Meek.

Meek creëert een versleutelde netwerktunnel die naar Google lijkt te gaan. De tunnel biedt aanvallers de mogelijkheid om via Terminal Services (TS), NetBIOS en Server Message Block (SMB) toegang tot het systeem te krijgen, terwijl het om verkeer naar legitieme websites lijkt te gaan. De aanvallers gebruiken daarnaast een veel voorkomende Windows-exploit om zonder in te loggen een command shell met verhoogde rechten te krijgen.

Volgens het Amerikaanse beveiligingsbedrijf FireEye is APT29 een groep Russische staatshackers die domain fronting al lang gebruikt voordat deze techniek algemeen bekend werd. "Door het gebruik van een publiek beschikbare implementatie konden ze met minimaal onderzoek of ontwikkeling hun netwerkverkeer verbergen", zegt onderzoeker Matthew Dunwoody. Hij merkt op dat organisaties die dergelijke aanvallen willen detecteren inzicht in versleutelde verbindingen en de endpoints zelf moeten hebben, alsmede over effectieve netwerksignatures moeten beschikken.

Reacties (3)
28-03-2017, 12:38 door Anoniem
Het is geen nieuws dat spionnen gebruik maken van technieken die publiek beschikbaar zijn, alleen een bevestiging. Het bericht van het securitybedrijf leest meer als promotieverhaaltje voor het bedrijf. Kijk eens wat ze allemaal zien en weten. Of het verstandig is om dit je tegenstander te laten weten had dan ook in het bericht mogen staan, als ze dit middel echt zo bijzonder vinden.
28-03-2017, 16:58 door Anoniem
Het is geen nieuws dat spionnen gebruik maken van technieken die publiek beschikbaar zijn, alleen een bevestiging.

Wat nieuwswaardig zou zijn, is indien bedrijven en overheidsinstanties ervoor zouden zorgen dat ze TOR verkeer blokkeren danwel detecteren.... Bij de meeste bedrijven is men stekeblind m.b.t. dergelijk kwaadaardig verkeer.
30-03-2017, 10:06 door Anoniem
Door Anoniem:
Het is geen nieuws dat spionnen gebruik maken van technieken die publiek beschikbaar zijn, alleen een bevestiging.

Wat nieuwswaardig zou zijn, is indien bedrijven en overheidsinstanties ervoor zouden zorgen dat ze TOR verkeer blokkeren danwel detecteren.... Bij de meeste bedrijven is men stekeblind m.b.t. dergelijk kwaadaardig verkeer.
Het onderwerp is verkeer dat niet als zodanig valt te herkennen.
Een van de bestaansredenen is dat er veelal wel blokkades van verkeer bestaat.
De term kwaadaardig is discutabel als het om generieke verkeersstromen en protocollen gaat. Https kan je anders ook als kwaadaardig beschouwen omdat je de content niet kan inzien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.