Het was weer tijd voor de jaarlijkse RSA conferentie. Uiteraard waren we er ook bij! Er een aantal aanvalstechnieken op een rijtje gezet. Een belangrijke trend waar we de komende jaren mee van doen kunnen krijgen. de zes gevaarlijkste hacktechnieken zetten we hier op een rijtje.
1. Het afvangen van Kerberos-tickets
Kerberos is een netwerkauthenticatieprotocol dat standaard gebruikt wordt door Windows-servers, waarbij de client zich aanmeldt in het Windows-domein. Het is ook mogelijk het Kerberos-protocol te gebruiken voor UNIX-gebaseerde systemen, zoals OS X, Solaris, AIX en grote Linux-distro's. De hacktruc zit hem erin dat je de ticket die uitgewisseld wordt door client en server afvangt in de vorm van een man-in-the-middle attack.
Volgens experts maakt het niet uit of je als hacker toegang hebt tot een client of een server, zolang je maar in het domein zit. Vervolgens vang je alle Kerberos-tickets van de client op die door de server van een authenticatiestempel zijn voorzien. Die zijn tien uur geldig, waarin de aanvaller vrij spel heeft. Meer dan genoeg tijd.
2. Doelgerichte aanvallen op ICS en SCADA
De industriële systemen die aan het internet hangen zijn maar magertjes beveiligd tegen indringers en daar wordt steeds meer gebruik van gemaakt. Aanvallers zoeken nu naar specifieke systemen waarvoor zij op maat gesneden exploits maken en kopen. Daarbij wordt rekening gehouden met specifieke taken die de systemen kunnen uitvoeren.
Ook nieuw is het aanvalsvertrekpunt: Gezocht wordt naar een systeem dat met de ICS communiceert en waarvan de netwerkrelatie door het ICS wordt vertrouwd, Door het andere systeem over te nemen kan daardoor makkelijker worden binnengedrongen in het ICS-doelsysteem.
Dat houdt in dat aanvallers phishingaanvallen uitvoeren op technici die met hun eigen systeem toegang hebben tot de doel-ICS. Ook worden zogeheten drinkplaatsen gecreëerd, watering holes, op sites waar veel technici komen. Verder zoeken aanvallers naar manieren om ICS-bestanden te infecteren met trojans die bedoeld zijn om mee te gaan met bijvoorbeeld een system-update, zodat die infecties makkelijker door een firewall heenkomen.
3. Encryptie wordt een aanvalsmethode
Versleuteling wordt al gebruikt in diverse type aanvallen, kijk bijvoorbeeld naar de toename aan ransomeware. Maar die methode wordt steeds verfijnder, aldus het SANS Institute. Tot voor kort was een aanval via ransomeware nog een probleem voor de consument, maar er valt veel meer geld te halen in het bedrijfsleven. Zo wordt er onder meer gekeken naar het versleutelen van backups bij grote bedrijven, die nu nog versleutelde gegijzelde data kunnen vervangen via de backup. De eerste aanvallen op NAS-systemen hebben zich al voorgedaan!
4. Meer aanvallen op het Internet of Things
Steeds meer apparaten hangen aan het bedrijfsnetwerk, waaronder de eigen smartphones, tablets en notebooks van het personeel. Ook met bijbehorende printers en WiFi-routers en de omgeving is klaar voor de hacker. Doordat ieder apparaat ook nog wel eens een verschillende versie van software met zich meedraagt en door het ontbreken van een patchbeleid ook kwetsbaar zijn voor aanvallen op oudere kwetsbaarheden, is het voor de aanvaller steeds makkelijker om tot een bepaald niveau van het netwerk door te dringen.
5. Aanvallers gebruiken gestolen data slimmer
Aanvallers die in het bezit komen van data gaan daar dan ook steeds slimmer mee om. Zo kozen de aanvallers van Sony voor een periodieke publicatie van informatie die ze van de servers van Sony hebben gestolen en kiezen ze daarvoor per keer een publicatiekanaal. Daardoor weet het getroffen bedrijf nooit wanneer er welke informatie naar buiten komt en is er qua public relations geen enkele verdediging tegen.
6. DDoS-aanvallen worden heftiger en slimmer
DDoS-aanvallen op het netwerk? De meeste bedrijven en organisaties weten er alles van. Maar de aanvallers gaan nu een stapje verder en pakken specifieke applicaties aan. Dat kan met veel minder data, op wat Ullricht noemt een layer-7-niveau van een denial-of-service. De data die op een applicatie wordt afgevuurd is veel minder dan bij een DDoS, en blijft vaak onder de radar, maar de applicatie krijgt te veel informatie om nog goed te kunnen reageren. Daardoor wordt de applicatie feitelijk tijdelijk onbruikbaar.