Hoe een hacker in zeven stappen jouw organisatie binnenkomt

Dit is hoe een hacker in zeven stappen jouw organisatie binnenkomt | Experis

Je kan de laatste jaren niet ontkennen dat Cyber Security een echt hot topic is geworden. Dat gaat natuurlijk hand in hand met de opkomst van cyber crime, bijvoorbeeld in de vorm van spearphishing-aanvallen. Dit was de reden dat wij Ronald Kingma besloten uit te nodigen om te spreken tijdens de Experis Security Summit van maart 2019. Als Ethical Hacker en Security Specialist bij Access24, een onafhankelijke speler op het gebied van cyber security, weet hij namelijk als geen ander hoe je er alles aan kan doen om toekomstige hacks te voorkomen. Om de weerbaarheid van organisaties te versterken, kruipt hij namelijk regelmatig zelf in de huid van een hacker. Tijdens deze hack- en redteaming-aanvallen sluipt hij systemen binnen om zwakke plekken te ontdekken, het beveiligingsniveau van de organisatie te bepalen en verbeterplannen op te stellen.

“We zijn continu bezig om onze systemen te hardenen, te patchen en te updaten. Terwijl een hacker maar een piepklein gaatje hoeft te vinden om alles stuk te maken waar je jaren aan hebt gewerkt.”

We vroegen Ronald wat de Cyber Kill-chain is. Dit zijn de stappen die hackers ondernemen tijdens een aanval, vanaf het eerste moment. Aan de hand van model van Lockheed Martin duiken we dieper in de wereld van Cyberaanvallen.

Fase 1 | Reconnaissance

Dit is de ontdekkingsfase. De hacker onderzoekt, identificeert en selecteert zijn doelen. Hij speurt het internet af, op jacht naar bronnen met waardevolle informatie over de organisatie die hij binnen zou kunnen dringen. Het doelwit? Informatiesystemen met minimale beveiliging en maximale kwetsbaarheden.

Fase 2 | Weaponization

In deze fase denkt de hacker na over wat hij nodig heeft om binnen te komen. De hacker weegt zijn slagingskans af op basis van de kennis die hij tijdens de Reconnaissance-fase heeft gevonden. Zo ontwerpt hij bijvoorbeeld malware die zich specifiek richt op de kwetsbaarheden in de systemen die hij is tegengekomen bij zijn doelwit. Maar hij kan ook kiezen voor de Circle of Trust-aanpak: een fakeprofiel aanmaken op LinkedIn, geaccepteerd worden binnen een groep medewerkers uit het bedrijf en vervolgens proberen binnen te dringen met slinkse kruiwagentrucjes. Zelf heeft Ronald tijds een red teaming-aanval het bericht gestuurd dat deze zogenaamde collega’s voortaan ergens anders moesten inloggen om thuis te kunnen werken. Het werkte, sommige collega’s trapten erin.

Fase 3 | Delivery

Hier gaat het om hoe de hacker het “wapen” aflevert bij zijn doelwit. Dit kan zijn in de vorm van een email attachment, Dropbox of USB-drive bij het doelwit. Een “fun” fact: zeker 90% van de geslaagde aanvallen begint met een e-mail. Een aanval op het netwerk wordt dan ook meestal gelanceerd in de vorm van een spearphishing-attack, waarbij een medewerker van de organisatie er op vernuftige wijze ingeluisd wordt en, zonder het te weten, malware op de informatiesystemen van de hele organisatie loslaat.

Fase 4 | Exploitation

Zodra het wapen is afgeleverd, wordt de malwarecode op het netwerk uitgevoerd via ofwel een mechanisme op locaties, ofwel een mechanisme op afstand. Het is dus niet altijd nodig om fysiek bij de organisatie binnen te dringen om een de informatiesystemen binnen te dringen.

Fase 5 | Installation

Dit is een mijlpaal voor de hacker, en een klein feestje waard. De code heeft zichzelf geïnstalleerd op de netwerken. De hacker wil natuurlijk wel de verbinding behouden met de interne systemen van de organisatie en daarom gaat hij op zoek naar meer bronnen en documenten om te besmetten. Enkele opties zijn dan: de installatie van een Remote Access Trojan of een backdoor op een doelsysteem, om zo persistentie te krijgen binnen een omgeving.

Fase 6 | Command and Control

In deze fase krijgt de hacker de touwtjes in handen. Want wanneer de hacker deze fase bereikt, heeft hij zijn management- en communicatiecode in het netwerk geplaatst. Met deze software kan de hacker de code binnen het netwerk volledig beheersen en steeds dieper binnendringen om data te exfiltreren. Nog een “fun” fact van Ronald: Rusland heeft slechts negentien minuten nodig om van Delivery tot Command and Control te komen. Binnen die tijd hebben ze je complete netwerk overgenomen. Best een eng idee toch?

Fase 7 | Actions on Targets

Hier komt de ware aard van de hacker naar boven. Want de acties die de hacker onderneemt hangen compleet af van zijn missie en intenties. Wanneer hij alle zes de fases heeft doorlopen, kan hij zich richten op zijn uiteindelijke doel: bijvoorbeeld data-exfiltratie, services blokkeren of complete netwerken om zeep helpen.

Omdat de meeste aanvallen vaak op een persoonlijke manier van start gaan met het onderzoeken van de organisatie en de mensen die er werken, heeft Ronald een belangrijk advies die het hackers net een tikkeltje lastiger gaat maken.

“Denk na over de digitale voetstappen die je achterlaat”

Het internet staat namelijk toe dat er gigantisch veel informatie over jou wordt opgeslagen. Ronald zegt: “Je leven volgt een patroon dat metadata produceert, zoals gewoonten, locaties, interesses, vrienden en zelfs gevoelens! Met machine learning kunnen we tegenwoordig bijvoorbeeld emoties uit teksten op Whatsapp of e-mail interpreteren. In een licht overspannen samenleving, waarin je door technologie overal sporen achterlaat, is het verstandig om na te deken over welke voetstappen je precies achterlaat voor anderen om te vinden.”

Wil je meer van Ronald weten? Zoals een waargebeurd verhaal over een spearphishing-aanval? Of wil je weten hoe hij denkt over het delen van kennis omtrent cybersecurity of over de bruikbaarheid van big data? Lees het in onze Security Whitepaper samen met de artikelen van de andere twee sprekers: Wouter Spierenburg over de mogelijkheden die AI te bieden heeft in de strijd tegen Cyberaanvallen en Laurens Baardman over zijn geslaagde hack van een Audi.