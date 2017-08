Het zijn lastige tijden voor IT-beveiligers. Vrijwel dagelijks lees je een verhaal over inbraken bij bedrijfsnetwerken en diefstal van miljoenen klantgegevens. Het publiek is inmiddels zo afgestompt, dat we massaal de schouders ophalen als er weer eens tientallen miljoenen records en privémailtjes op straat komen te liggen.

Als security-specialisten kunnen we niet constant in angst leven en het is niet eens zo lastig om de grootste ellende buiten te houden. Vorige week stond ik in dit artikel stil bij veelvoorkomende aanvallen en de zetten die je moet doen om niet de volgende Sony, LinkedIn, Yahoo of Ashley Madison te worden. De meeste aanvallen beginnen meestal met social engineering en/of ongepatchte software. Focus op deze twee en je houdt een heleboel alvast tegen.

Maar als het simpel was, zouden er wellicht niet zoveel organisaties met succes bestolen worden. Het kan erg moeilijk zijn om malware te detecteren, omdat gemotiveerde en vasthoudende aanvallers er alles aan doen om hun trojans, exploits en exfiltratietechnieken onder de radar te houden. Vandaag kijken we naar de tien onopvallendste technieken van de vijand.

1. PowerShell-malware

Microsofts bedoeling van scripttaal PowerShell is dat Windows-beheerders een flexibele tool hebben om systemen en Active Directory te beheren. Het is geweldig voor het automatiseren van routinetaken en het op afstand beheren van een heleboel systemen. Malafide hackers vinden het fijn, omdat het lastig is om te zien dat een legitieme dool voor malafide doeleinden wordt gebruikt.

Hacken met PowerShell is van een relatief theoretische optie die onderzocht werd door beveiligingsexperts naar de voorkeurstool van slechteriken. De laatste tijd is het zelfs zeldzaam dat PowerShell niet wordt gebruikt tijdens een aanval. De meeste code is met zorg geobfusceerd om detectie te voorkomen.

Twee populaire toolkits zijn PowerSploit en PowerShell Empire. Die zijn ontwikkeld voor pentesters om zwakke plekken in de beveiliging te kunnen dichten, maar worden ook door aanvallers gebruikt. Je kunt je tegen PS-aanvallen beschermen - bijvoorbeeld door alleen getekende scripts toe te staan - maar vaak reageren bedrijven pas op PowerShell-aanvalstechnieken als het te laat is.