Waarom het bedrijfsnetwerk de perfecte achterdeur is voor malware

Bedrijven moeten zich vandaag meer dan ooit beschermen tegen malafide aanvallen. Antivirus installeren op een desktop of server is een evidentie, maar steeds meer hackers nemen het bedrijfsnetwerk in het vizier.

Security is vandaag binnen nagenoeg elk bedrijf wel een topic dat regelmatig wordt aangesneden. Ze hebben een lange weg van sensibilisering afgelegd en grote aanvallen zoals WannaCry voeden de nood aan security. Laptops, desktops en soms servers worden onder de loep genomen om veilig te opereren. GDPR heeft iedereen op scherp gezet om datalekken te voorkomen, maar netwerkinfrastructuur wordt zelden mee gecontroleerd.

Waarom is een router of switch belangrijk om te beveiligen? In feite zijn het vandaag kleine computers op zichzelf met een cpu, beschikbare cpu-cycles en een besturingssysteem dat vermoedelijk geen antiviruspakket draait. Hackers zoeken naar het zwakste punt binnen een bedrijf om malware te verspreiden. Wanneer een laptop of server te goed beveiligd is, is het netwerk een interessant alternatief.

VPNFilter

Malafide hackers hebben vandaag tools om netwerkinfrastructuur te scannen op fout geconfigureerde switches. Martin Lee, technisch specialist bij Cisco Talos, benadrukt dat die tools nog maar heel recent zijn. “We weten vandaag dat zo’n activiteit gebeurt. Eerder dit jaar hebben we via deze weg het VPNFilter-hack aan het licht gebracht.” In totaal werden er 500.000 toestellen in 54 verschillende landen besmet. Het ging vooral om KMO-routers en NAS-systemen.


Lees dit: VPNFilter die malware in routers injecteert breidt flink uit


Lee waarschuwt dat de VPNFilter-malware eigenlijk nog maar een voorsmaakje is. Er zijn nog heel wat opportuniteiten voor hackers. VPNFilter was interessant omdat het om modulaire malware ging. De eerste stap is de malware-installatie op het toestel. De tweede fase is een modulair raamwerk voor plug-ins dat de hackers macht geeft. Er was zelfs de mogelijkheid om een toestel vanop afstand volledig te wissen. Je netwerkapparaat was daarna rijp voor de vuilbak.

Lee: “Hackers worden er niet dommer op. Ze beseffen nu dat die eerste ‘hop’ in het netwerk kan worden overgenomen. Die kunnen ze naar hun eigen voordeel ombuigen. We zullen ongetwijfeld nog volgende, verbeterde versies zien waarvan we vandaag het bestaan nog niet afweten.”

Malware-investeringen

Voor heel wat hackers is malware een one shot weapon. Wanneer ergens in wordt geïnvesteerd, moet het ook effectief zijn. Security is vandaag heel sterk geworden op vlak van malwaredetectie. Zelfs wanneer iets volledig nieuw wordt ontdekt, kan door middel van karakteristieken toch een automatische blokkering optreden. Met nieuwe malware bedoelen we zeker geen zero-day. Die zijn peperduur om te ontwikkelen en kan je beter voor high profile aanvallen gebruiken. Denk hierbij aan aanvallen tegen overheidsinstanties. De meeste malware vandaag misbruikt voornamelijk bestaande lekken.

 

Voor heel wat hackers is malware een one shot weapon.

 

Lee haalt twee scenario’s aan van netwerkaanvallen die Cisco Talos vandaag steeds meer ziet gebeuren. “Denk aan een plug-in die via malware op netwerkapparatuur wordt geïnstalleerd en alle trafiek kan onderscheppen. Een hacker kan een specifieke HTTP-pagina aanmaken en java injecteren zodat de plug-in naar belangrijke login- en wachtwoordgegevens kan scannen. Een werknemer surft naar een veilige HTTPS-website, maar wordt naadloos doorgestuurd naar de HTTP-website die er identiek uitziet. Gegevens worden ingevuld, en de hacker heeft zijn gegevens.”

Zoiets is mogelijk wanneer netwerkapparatuur besmet is. Enkel oplettende werknemers die ineens in de adresbalk bovenaan ‘Niet Veilig’ zien staan omdat het ineens een HTTP-verbinding is geworden, zullen argwanend reageren. Lee benadrukt dat er altijd hints zijn die erop kunnen duiden dat er iets mis loopt. De grootste uitdaging is om die hints te zien.

Hackers vinden

Een tweede scenario dat Lee toelicht is een packet sniffer die in het netwerk wordt geïnjecteerd door hackers op zoek naar Modbus-apparatuur (SCADA-protocol). “De plug-in zoekt specifiek naar Modbus-trafiek van een specifieke industriële pomp en kan die potentieel ook aansturen en wijzigen.” Wie het Stuxnet-virus kent, trekt direct een parallel naar deze aanval. “Eigenlijk functioneert Stuxnet 11 jaar later nog steeds als boegbeeld voor heel wat hackers. Het toonde hen wat er allemaal mogelijk was, het deed hen dromen. Malware op industriële onderdelen is vandaag een essentieel gevaar,” zegt Lee.

 

Stuxnet functioneert 11 jaar later nog steeds als boegbeeld voor heel wat hackers.

 

De Internet of Things (IoT)-trend is daarom uiterst belangrijk om goed in het oog te houden. Elk apparaat heeft toegang tot het netwerk, waardoor patches en onderhoud essentieel worden om hackers buiten te houden.

“Hackers pakken is vandaag een bijzonder moeilijke taak,” licht Lee toe. “Niemand verbindt zijn laptop rechtstreeks aan je systeem. Meestal wordt trafiek gerouteerd over andere gecompromitteerde systemen, functionerend als één grote ketting. Hackers kunnen ook altijd het TOR-netwerk gebruiken om connecties verborgen te houden. Het is belachelijk moeilijk voor ons om de uiteindelijke dader te vinden.”

Het is belangrijk om IT-admins tools te geven om slechte handelingen aan het licht te brengen. Er zijn altijd wel vingerafdrukken die worden achtergelaten door malafide hackers.

Delicate balans

Een groot probleem binnen netwerkapparatuur is legacy-hardware. Heel wat mensen lachen met Windows XP-machines, maar de realiteit is dat heel wat grote bedrijven die langer bestaan zulke hardware dagelijks nog nodig hebben. Die kan je vandaag beschermen met een degelijke firewall upstream met IDS-trafiek.

“We proberen altijd om normale activiteit te definiëren met onze security-oplossingen. We zijn volwassen genoeg om te beseffen dat we niet elke aanval kunnen stoppen. Maar we willen er wel zoveel mogelijk stoppen. En wanneer er toch een aanval succesvol is, willen we tijdig tussenbeide komen. De tijd dat malware vrij kan ageren moet tot het minimum worden beperkt,” concludeert Lee.

 

Het is vandaag belangrijk voor bedrijven om goed na te denken over netwerkapparatuur.

 

Het is vandaag belangrijk voor bedrijven om goed na te denken over netwerkapparatuur. Analyseer verschillende scenario’s en ga telkens uit van het worst case scenario. Ook de balans tussen vals positieven en vals negatieven is een belangrijke om goed te bewandelen. Je wil niet dat de marketingafdeling deals misloopt omdat bijlagen of mails te agressief worden gecategoriseerd als gevaarlijk. Anderzijds kan je op de financiële afdeling niet secuur genoeg zijn omdat vals positieven daar direct gruwelijk kunnen uithalen. 100 procent juist bestaat niet, maar benader dat cijfer zo sterk mogelijk.