Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe hackers toegang tot systemen blijven openhouden?

12-11-2020, 17:56 door Anoniem, 5 reacties
Wanneer een computer geïnfecteerd is verlaten hackers systemen heb ik gehoord vandaag tijdens een zoom presentatie om later over twee jaar terug te slaan.

Hoe pakt zo'n hacker dit aan? (Met de tijd mee komen updates ed. en er wordt gemonitord)

Hoe kan je detecteren dat iemand een backdoortje heeft gemaakt?
Reacties (5)
12-11-2020, 22:48 door Anoniem
Backdoors bestaan in vele varianten.

- netcat
- scripts die na een periode automatisch geactiveerd worden
- backdoors in programma's die geactiveerd worden na het ontvangen van een bepaalde string
- BIOS based backdoors (die overleven een fresh-install van OS)
- etc. etc.

Lees http://www.phrack.org eens
12-11-2020, 22:51 door Anoniem
De hacker maakt een user aan met systeem rechten, maar met een service naam.
12-11-2020, 23:02 door MathFox
Door Anoniem: Wanneer een computer geïnfecteerd is verlaten hackers systemen heb ik gehoord vandaag tijdens een zoom presentatie om later over twee jaar terug te slaan.
Geloof niet alles wat ze op Internet vertellen; neem verhalen van verkopers ook altijd met een korrel zout.
Hoe pakt zo'n hacker dit aan? (Met de tijd mee komen updates ed. en er wordt gemonitord)
Een hacker kan backdoor software installeren, (systeem-) software vervangen door software met een achterdeur, gebruikers aanmaken, services activeren of services op een lekke manier configureren... En dan ben ik vast niet compleet.
Hoe kan je detecteren dat iemand een backdoortje heeft gemaakt?
Moeilijk: Wat voor backdoor is het? Persistent of een die alleen in het geheugen staat en een reboot overleeft? Virus- en malware scanners zien dingen over het hoofd.. Vandaar het advies om systemen compleet te herinstalleren (vergeet het bios niet!)

Voor backdoors die op schijf staan kun je de harddisk uit het systeem halen en bit voor bit vergelijken met de schijf van een vergelijkbaar geconfigureerd systeem waarvan je zeker bent dat het schoon is. Dit kan een zeer tijdrovende analyse worden als er echt iets gevonden wordt.
13-11-2020, 15:35 door Anoniem
Door Anoniem: Wanneer een computer geïnfecteerd is verlaten hackers systemen heb ik gehoord vandaag tijdens een zoom presentatie om later over twee jaar terug te slaan.

Hoe pakt zo'n hacker dit aan? (Met de tijd mee komen updates ed. en er wordt gemonitord)

Hoe kan je detecteren dat iemand een backdoortje heeft gemaakt?
Je geeft te weinig context. Maar verder is het achterlijk als hacker zijnde als je moeite steekt in het infecteren van een systeem om dit vervolgens 2 jaar te laten liggen. Hoe langer je "backdoor, reverse shell etc" er in zit des te meer kans dat het gevonden en opgeruimd word. Meestal is het zo dat een hacker binnen komt via een aanvals vector (LAN: Wifi, usb of vanaf een ander lan systeem of WAN: Phishing, Geexploiteerde webservers/routers die aan het internet hangen.) In veel situaties kost dit een aanvaller aardig wat moeite, hierom wil je graag snel en effectief te werk gaan. MAAR: Er zijn veel hacker groepen bekend zoals Mage Card en statelijke APT groepen die soms langer dan 2 jaar in een netwerk blijven hangen. Dit doen ze echter puur om informatie als winst te maken (denk aan belangrijke documenten, contact gegevens (lol corona app joke) of financiele gegevens. Maar na 2 jaar terug komen in een netwerk is een beeeeetje apart.
13-11-2020, 15:36 door Anoniem
Door Anoniem: Wanneer een computer geïnfecteerd is verlaten hackers systemen heb ik gehoord vandaag tijdens een zoom presentatie om later over twee jaar terug te slaan.

Hoe pakt zo'n hacker dit aan? (Met de tijd mee komen updates ed. en er wordt gemonitord)

Hoe kan je detecteren dat iemand een backdoortje heeft gemaakt?
Ow met toevoeging op het vorige bericht, wel kan het zo zijn dat malware "slaapt". Dan ben je 2 maanden terug geinfecteerd en na 2 maanden begint de malware pas weer met verbindingen maken en data te stelen. Maar dit gebeurt puur om "niet zichtbaar te zijn". Als je gaat wiresharken/monitoren dan denken veel analysten en mensen vaak alleen aan de connecties die op dat moment zichtbaar zijn. Vaak getest over de span van een week. Maar dit is dan wel weer iets budget technisch.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.