image

Systeembeheerder cryptobedrijf valt voor malafide vacature ontvangen via LinkedIn

dinsdag 25 augustus 2020, 12:47 door Redactie, 10 reacties

Een bedrijf dat zich met cryptovaluta bezighoudt is vorig jaar het slachtoffer van een aanval geworden nadat een systeembeheerder een malafide vacature opende. Dat stelt antivirusbedrijf F-Secure in een vandaag verschenen analyse (pdf). De beheerder werd via zijn persoonlijke LinkedIn-account door de aanvallers benaderd. Die verstuurden vervolgens een zogenaamde vacature van een blockchainbedrijf, waarbij de gezochte positie overeenkwam met de vaardigheden van de beheerder.

Het document was echter voorzien van een kwaadaardige macro. Standaard staan macro's in Microsoft Office uitgeschakeld. Om de beheerder de macro's toch in te laten schakelen hadden de aanvallers een melding toegevoegd dat het document vanwege de AVG was beveiligd. Om de inhoud te kunnen zien moest de beheerder macro's inschakelen, wat ook werd gedaan.

Zodoende kon er malware op het systeem worden geïnstalleerd. Ook werd aanwezige antivirussoftware uitgeschakeld en probeerden de aanvallers hun sporen te wissen. Volgens F-Secure was de aanval op het niet nader genoemde cryptobedrijf onderdeel van een grotere aanvalscampagne, uitgevoerd door de Lazarus Group. Deze groep zou in dienst van de Noord-Koreaanse overheid opereren.

Image

Reacties (10)
25-08-2020, 13:51 door Anoniem
Altijd als een blind paard op de "enable content" knop klikken is vragen om moeilijkheden.
Trouwens, volgens mij staat de optie (vanaf versie 2016) "Block macros from running in Office files from the internet", niet standaard aan. Als die aan staat moet een bestand eerst naar een trusted location worden opgeslagen, alvorens je de macro kunt draaien (al dan niet eerst nog met een melding, maar dat is weer afhankelijk van enkele van de andere instellingen die je kunt doen.
Een hoofdpijn dossier als je dat voor je bedrijf moet instellen met de huidige mogelijkeden die >Office 2016 biedt.
Uiteraard kun je er voor kiezen om alles wat intern wordt gebruikt te signen, maar afhankelijk van het bedrijf kan dat ook een aardige complexe en administratieve taak zijn, waarbij na iedere macro wijziging weer opnieuw gesigned moet worden.
25-08-2020, 14:33 door Anoniem
Eigenlijk is "systeembeheerder" met god-rechten een achterhaald concept. Nu nog de IT architectuur die zoiets ondersteund.
25-08-2020, 15:56 door Anoniem
Ontvang de mails op een standalone computer die niet verbonden is met het netwerk??
25-08-2020, 19:40 door Anoniem
LinkedIn dat is toch een bedrijf van Microsoft? Kunnen die nog niet eens zorgen dat onveilige documenten worden
tegengehouden door het systeem?
26-08-2020, 10:27 door Anoniem
Door Anoniem: LinkedIn dat is toch een bedrijf van Microsoft? Kunnen die nog niet eens zorgen dat onveilige documenten worden
tegengehouden door het systeem?
Software kan stom gedrag van mensen niet voorkomen!
26-08-2020, 12:05 door Anoniem
Door Anoniem: Ontvang de mails op een standalone computer die niet verbonden is met het netwerk??

Idd, perfecte oplossing!
26-08-2020, 12:39 door Anoniem
Door Anoniem:
Door Anoniem: Ontvang de mails op een standalone computer die niet verbonden is met het netwerk??

Idd, perfecte oplossing!
Ik hoop, dat je dat sarcastisch bedoelde!
27-08-2020, 10:25 door Anoniem
Door Anoniem:
Door Anoniem: LinkedIn dat is toch een bedrijf van Microsoft? Kunnen die nog niet eens zorgen dat onveilige documenten worden
tegengehouden door het systeem?
Software kan stom gedrag van mensen niet voorkomen!

Dat kan software zekers wel. RES powerfuse wat nu Ivanti heet kan dit voorkomen. Als een programma iets wil installeren wordt dit meteen door ivanti geblokkeerd en krijg je een melding te zien.

Daarnaast kan je zelf ook wat doen als je dit niet hebt. Zorg ervoor dat je geen admin rechten op je pc hebt. En nog beter dat je SRP hebt ingeschakeld. Dan kan je niks installeren, zelfs als je met admin rechten inlogt (tenzijn je het weer uitzet).
27-08-2020, 20:22 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: LinkedIn dat is toch een bedrijf van Microsoft? Kunnen die nog niet eens zorgen dat onveilige documenten worden
tegengehouden door het systeem?
Software kan stom gedrag van mensen niet voorkomen!

Dat kan software zekers wel. RES powerfuse wat nu Ivanti heet kan dit voorkomen. Als een programma iets wil installeren wordt dit meteen door ivanti geblokkeerd en krijg je een melding te zien.

Daarnaast kan je zelf ook wat doen als je dit niet hebt. Zorg ervoor dat je geen admin rechten op je pc hebt. En nog beter dat je SRP hebt ingeschakeld. Dan kan je niks installeren, zelfs als je met admin rechten inlogt (tenzijn je het weer uitzet).
In het artikel staat, dat de beheerder de macro's inschakelt heeft. Een beheerder heeft beheerrechten.
Met andere woorden, je kletst maar wat!
31-08-2020, 12:51 door Anoniem
Door Anoniem: Eigenlijk is "systeembeheerder" met god-rechten een achterhaald concept. Nu nog de IT architectuur die zoiets ondersteund.

Systemen zonder "superuser" modus treft men tegenwoordig veelvuldig aan in de UNIX en VMS wereld, maar die systemen draaien geen Microsoft Office (met uitzondering van Apple macOS X). Onder Linux is de truc het bij de installatie uitschakelen van de root account en de overgebleven sudo(1) admin account(s) van vérgaande restricties te voorzien. De root gebruiker bestaat dan alleen nog in naam als proces user-ID, maar niet meer als login.

Onder OpenBSD zou men terwille van de eenvoud eerder naar doas(1) i.p.v sudo grijpen. Doas onder OpenBSD heeft in grote lijnen dezelfde mogelijkheden als sudo onder Linux. Aan te bevelen valt sudo in combinatie met 2FA-tokens toe te passen. In de praktijk is toegang tot de root, in noodgevallen, dan alleen nog mogelijk door middel van een single-user reboot via een bewaakte fysieke console (in een aparte bedrijfsruimte).

Unix-like operating systems use a rudimentary access control system: the root account can do anything, while other users are peasants with only minimal access. This worked fine in UNIX’s youth, but today, system administration responsibilities are spread among many people and applications. Each person needs a tiny slice of root’s power.

Michael W. Lucas Sudo Mastery (Tilted Windmill Press, 2019 2nd Edition)

https://mwl.io/nonfiction/tools#sudo2
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.