image

Australische overheid legt uit hoe cybercriminelen te werk gaan

zondag 24 mei 2020, 12:38 door Redactie, 3 reacties

De afgelopen maanden zijn allerlei Australische organisaties door ransomware en datadiefstal getroffen, maar via acht essentiële maatregelen zijn de meeste van deze aanvallen te voorkomen, zo stelt de Australische overheid. In een nieuw document voor it-professionals en organisaties legt het Australische Cyber Security Centre (ACSC) uit hoe cybercriminelen en apt-groepen te werk gaan. Apt staat voor Advanced Persistent Threat en is een aanduiding die vaak voor statelijke actoren wordt gebruikt.

Het ACSC is naar eigen zeggen zowel dit jaar als vorig jaar bij tal van onderzoeken naar cyberaanvallen betrokken geweest. Aanleiding voor de overheidsinstantie om een overzicht te maken van de tactieken, technieken en procedures die de aanvallers bij deze aanvallen toepasten. Het overzicht bestaat uit de manier waarop de aanvallers toegang weten te krijgen en welke acties ze vervolgens nemen om toegang te behouden, overige systemen te infecteren en detectie te voorkomen. Ook het legt het ACSC uit hoe dergelijke aanvallen zijn te detecteren en voorkomen.

Toegang

Bij de onderzoeken waar het ACSC bij betrokken was bleek dat aanvallers op verschillende manieren waren binnengekomen. Zo was er onder andere gebruikgemaakt van de uploadfunctionaliteit van een webapplicatie waardoor er een webshell kon worden geüpload om toegang tot de webserver te krijgen. Ook maakten de aanvallers gebruik van rie bekende kwetsbaarheden uit 2017 in de Telerik-webgebruikersinterface. Via deze kwetsbaarheden is het mogelijk om een encryptiesleutel te bruteforcen, die vervolgens is te gebruiken om op het systeem in te loggen en malware te uploaden.

Verder maken aanvallers gebruik van bekende kwetsbaarheden in Pulse Connect Secure VPN, Fortigate SSL VPN en Citrix Application Delivery Controller (ADC) / Citrix Gateway. Een andere manier om toegang te krijgen is het uitvoeren van bruteforce-aanvallen op de inlogpagina's van webapplicaties, het versturen van malafide e-mailbijlagen. Het ACSC heeft ook aanvallen gezien waarbij slachtoffers zelf kwaadaardige Microsoft Access-databasebestanden hadden gedownload. Deze bestanden bevatten weer kwaadaardige code die, wanneer geopend met Microsoft Access, de aanvallers toegang tot het systeem geeft.

Zodra de aanvallers eenmaal toegang hebben proberen ze die te behouden en hun rechten te verhogen. Om detectie van de gebruikte malware te voorkomen maken de aanvallers gebruik van "Timestomping", waarbij de timestamps van bestanden worden aangepast. Ook komt het voor dat de aanvallers logbestanden verwijderen. In veel gevallen proberen de aanvallers data van het systeem te stelen. Zo heeft het ACSC aanvallen gezien waarbij alle Exchange-mailboxes werden geëxporteerd zodra de aanvaller toegang tot de betreffende Exchange-servers had verkregen. Een andere veel toegepaste tactiek is het versleutelen van bestanden voor losgeld.

Essential Eight

Om zich tegen de beschreven aanvallen te wapenen adviseert het ACSC het implementeren van de "Essential Eight". Acht maatregelen waarmee de kans op een succesvolle aanval aanzienlijk wordt verkleind, aldus de Australische overheidsinstantie. Het gaat dan om het patchen van besturingssystemen, patchen van applicaties, het gebruik van multifactorauthenticatie, het niet zomaar toekennen van beheerdersrechten aan gebruikers, het dagelijks maken van back-ups, het extra beveiligen van applicaties, het aanpassen van de macro-instellingen in Microsoft Office en het blokkeren van niet goedgekeurde applicaties.

Reacties (3)
24-05-2020, 13:50 door Anoniem
Jammer dat ze niets kwijt doen over phishing websites. Ik had vroeger een website gehad die vaak bezocht werd, maar toch lukte het niet om op de eeste pagina van de zoekresultaten te komen van google en bij duckduckgo lukte het helemaal niet.

Het toppunt van al is dat ik paar maanden geleden een phishing website tegen kwam die gewoon op de eerste pagina stond in de zoekresultaten van google EN duckduckgo. HOE DOEN ZE DAT?!?!? Criminelen worden echt slimmer. Ik raad bij deze iedereen aan om toch echt goed op te letten en nooit altijd de zoekresultaten vertrouwen als je wilt internet bankieren, typ het web adres van de bank liever zelf in het adres balk van de browser, dan zit je altijd goed!
24-05-2020, 16:49 door Anoniem
Dit zeg ik al 19 jaar. "typ het web adres van het bedrijf dat je wilt bezoeken (de bank) liever zelf in het adres balk van de browser, dan zit je altijd goed!"
03-06-2020, 10:43 door Anoniem
Door Anoniem: Jammer dat ze niets kwijt doen over phishing websites. Ik had vroeger een website gehad die vaak bezocht werd, maar toch lukte het niet om op de eeste pagina van de zoekresultaten te komen van google en bij duckduckgo lukte het helemaal niet.

Het toppunt van al is dat ik paar maanden geleden een phishing website tegen kwam die gewoon op de eerste pagina stond in de zoekresultaten van google EN duckduckgo. HOE DOEN ZE DAT?!?!? Criminelen worden echt slimmer. Ik raad bij deze iedereen aan om toch echt goed op te letten en nooit altijd de zoekresultaten vertrouwen als je wilt internet bankieren, typ het web adres van de bank liever zelf in het adres balk van de browser, dan zit je altijd goed!

dan zit je altijd goed? wel eens gehoord van DNS cache poisoning?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.