Australische overheid legt uit hoe cybercriminelen te werk gaan
De afgelopen maanden zijn allerlei Australische organisaties door ransomware en datadiefstal getroffen, maar via acht essentiële maatregelen zijn de meeste van deze aanvallen te voorkomen, zo stelt de Australische overheid. In een nieuw document voor it-professionals en organisaties legt het Australische Cyber Security Centre (ACSC) uit hoe cybercriminelen en apt-groepen te werk gaan. Apt staat voor Advanced Persistent Threat en is een aanduiding die vaak voor statelijke actoren wordt gebruikt.
Het ACSC is naar eigen zeggen zowel dit jaar als vorig jaar bij tal van onderzoeken naar cyberaanvallen betrokken geweest. Aanleiding voor de overheidsinstantie om een overzicht te maken van de tactieken, technieken en procedures die de aanvallers bij deze aanvallen toepasten. Het overzicht bestaat uit de manier waarop de aanvallers toegang weten te krijgen en welke acties ze vervolgens nemen om toegang te behouden, overige systemen te infecteren en detectie te voorkomen. Ook het legt het ACSC uit hoe dergelijke aanvallen zijn te detecteren en voorkomen.
Toegang
Bij de onderzoeken waar het ACSC bij betrokken was bleek dat aanvallers op verschillende manieren waren binnengekomen. Zo was er onder andere gebruikgemaakt van de uploadfunctionaliteit van een webapplicatie waardoor er een webshell kon worden geüpload om toegang tot de webserver te krijgen. Ook maakten de aanvallers gebruik van rie bekende kwetsbaarheden uit 2017 in de Telerik-webgebruikersinterface. Via deze kwetsbaarheden is het mogelijk om een encryptiesleutel te bruteforcen, die vervolgens is te gebruiken om op het systeem in te loggen en malware te uploaden.
Verder maken aanvallers gebruik van bekende kwetsbaarheden in Pulse Connect Secure VPN, Fortigate SSL VPN en Citrix Application Delivery Controller (ADC) / Citrix Gateway. Een andere manier om toegang te krijgen is het uitvoeren van bruteforce-aanvallen op de inlogpagina's van webapplicaties, het versturen van malafide e-mailbijlagen. Het ACSC heeft ook aanvallen gezien waarbij slachtoffers zelf kwaadaardige Microsoft Access-databasebestanden hadden gedownload. Deze bestanden bevatten weer kwaadaardige code die, wanneer geopend met Microsoft Access, de aanvallers toegang tot het systeem geeft.
Zodra de aanvallers eenmaal toegang hebben proberen ze die te behouden en hun rechten te verhogen. Om detectie van de gebruikte malware te voorkomen maken de aanvallers gebruik van "Timestomping", waarbij de timestamps van bestanden worden aangepast. Ook komt het voor dat de aanvallers logbestanden verwijderen. In veel gevallen proberen de aanvallers data van het systeem te stelen. Zo heeft het ACSC aanvallen gezien waarbij alle Exchange-mailboxes werden geëxporteerd zodra de aanvaller toegang tot de betreffende Exchange-servers had verkregen. Een andere veel toegepaste tactiek is het versleutelen van bestanden voor losgeld.
Essential Eight
Om zich tegen de beschreven aanvallen te wapenen adviseert het ACSC het implementeren van de "Essential Eight". Acht maatregelen waarmee de kans op een succesvolle aanval aanzienlijk wordt verkleind, aldus de Australische overheidsinstantie. Het gaat dan om het patchen van besturingssystemen, patchen van applicaties, het gebruik van multifactorauthenticatie, het niet zomaar toekennen van beheerdersrechten aan gebruikers, het dagelijks maken van back-ups, het extra beveiligen van applicaties, het aanpassen van de macro-instellingen in Microsoft Office en het blokkeren van niet goedgekeurde applicaties.
Het toppunt van al is dat ik paar maanden geleden een phishing website tegen kwam die gewoon op de eerste pagina stond in de zoekresultaten van google EN duckduckgo. HOE DOEN ZE DAT?!?!? Criminelen worden echt slimmer. Ik raad bij deze iedereen aan om toch echt goed op te letten en nooit altijd de zoekresultaten vertrouwen als je wilt internet bankieren, typ het web adres van de bank liever zelf in het adres balk van de browser, dan zit je altijd goed!
Het toppunt van al is dat ik paar maanden geleden een phishing website tegen kwam die gewoon op de eerste pagina stond in de zoekresultaten van google EN duckduckgo. HOE DOEN ZE DAT?!?!? Criminelen worden echt slimmer. Ik raad bij deze iedereen aan om toch echt goed op te letten en nooit altijd de zoekresultaten vertrouwen als je wilt internet bankieren, typ het web adres van de bank liever zelf in het adres balk van de browser, dan zit je altijd goed!
dan zit je altijd goed? wel eens gehoord van DNS cache poisoning?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
