Dat cybercriminelen samenwerken om hun buit te bemachtigen, zal je bekend zijn. Maar veruit de meeste aanvallers zijn niet georganiseerd in een grote bende, maar betreffen onderaannemers in een brede industrie. Die sector heeft CEO's met mensen die bijvoorbeeld botnets verhuren, klanten vinden ze in spammers of DDoS'ers, en ze hebben zelfs marketeers: acteurs bieden bijvoorbeeld een DDoS-service in videopromo's.
Drie soorten aanvallers
Een deel van deze uitgebreide organisatie zie je terug met een in de cloud geplaatste honeypot. Een honeypot is een server die bedoeld is om aanvallers te detecteren. Handig voor bedrijven om te zien waar aanvallen vandaan komen: de snoodaards richten geen schade aan, maar je ziet wel wie het zijn, welke tactieken ze gebruiken en waar ze vandaan komen. Beveiligen tegen deze groep wordt zo een stuk minder lastig. 'Ken uw vijand' - en dergelijke clichés.
Er zijn ruwweg drie soorten aanvallers die aan de poort rammelen. Dat is ten eerste de 'Bruteforcer'. Deze snifft rond en probeert in te loggen op elke server die hij of zij maar kan vinden. "Dit is duidelijk geautomatiseerd werk", vertelt honeypot-onderzoeker Pedram Hayati op beveiligingscongres Hack in the Box in Amsterdam.
Deze eerste groep fingerprint de servers (welke resources, hardware, ID's etc) door binnen te komen via zwakke inloggegevens. Hayati verdeelt aanvallers in de volgende drie groepen: de Bruteforcer, de Infecteerder en de Beheerder (PDF van presentatie).
Binnen 10 minuten aanval
Tijdens een demonstratie zet Hayati het wachtwoord op een van zijn honeypots op "password" en binnen een kwartier zit iemand vanaf een Nederlands IP-adres al in de honeypot om de resources in kaart te brengen. Hayati merkt op dat de aanvaller bekijkt hoeveel storage beschikbaar is en de officieel ongeautoriseerde partij voert een bekende aanval uit op Apache Tomcat om zich toegang te verschaffen tot de webserver.
De persoon die bij de live-demo binnen de honeypot rondsnuffelt, is het eerste onderdeel van een drietapsraket. Die aanvaller laat het bij het in kaart brengen van het systeem, vervolgens komt de tweede persoon erbij kijken en dat is degene die zorgt voor de infectie. Een gerichte aanvaller neemt inderdaad alle rollen in de aanvalsketen op zich, maar in de praktijk blijkt dat dit een kleine groep is. De overgrote meerderheid bestaat uit criminelen die een breed net uitwerpen.
Naar het edele handwerk
De meeste aanvallen verlopen via verschillende routes, wat een indicatie is dat het mogelijk verschillende aanvallers zijn, vertelt hij aan Computerworld. Maar het zijn dus ook verschillende types. De tweede groep die Hayati identificeert, noemt hij de 'Infecteerder'. Deze werkt niet alleen via een andere IP-range, de aanvaller gaat ook anders te werk en het is duidelijk dat de credentials al in handen zijn - via de eerste aanvaller, de Bruteforcer.
Hierna: Je hebt meestal te maken met de malafide sector; niet met één bende. Dat betekent dat je niet onder vuur ligt van een groep, maar van deelsectoren die elkaar ondersteunen. Cybercrime is ook een business en dat is ook dé zwakke plek van het rapaille dat in jouw netwerk probeert te geraken: ze zijn kwetsbaar omdat dezelfde economische spelregels gelden als voor legitieme bedrijven.
De tweede aanvaller gaat minder geautomatiseerd te werk en probeert malware op het systeem te plaatsen. "Je kunt ze omschrijven als scriptkiddies, maar werken niet met automatische systemen." In een van de voorbeelden vangt de honeypot alle interactie op, inclusief tikfouten en een lange serie ingevoerde backspaces - wat aangeeft dat er getypt wordt en geen automatische actie meer plaatsvindt. "Scriptkiddies kunnen niet eens typen", grapt de onderzoeker.
De infecteerder heeft veel meer interactie met het systeem dan zijn voorganger en heeft daarvoor wel rootrechten nodig. (Die de bruteforcer als het goed is heeft geregeld.) Deze aanval lijft de server in bij bijvoorbeeld het uiteindelijke serverbotnet door malware te plaatsen. De aanvaller vindt een opening waarmee malware vanaf een server kan worden gedownload, waarna de botnetbeheerder het systeem in handen krijgt.
In de portemonnee terugpakken
Meestal duurt het voor een honeypot in een cloudomgeving wordt geplaatst (gehost door bijvoorbeeld Amazon of Google) dus zo'n tien minuten voor de eerste persoon aan de voordeur rammelt. Het is zaak om het de aanvaller niet té gemakkelijk te maken, omdat de server moet lijken op een echt systeem en geen valstrik van onderzoekers, of erger: van het bedrijf zelf.
Een bedrijf met zo'n honeypot merkt de aanvaller dan op en zet hem op een blacklist, waardoor het meer gaat kosten aan nieuwe resources om een aanval uit te voeren. Dat heeft een negatieve impact op de ROI en daar worden de ondernemende criminelen niet blij van. Dat is de meerwaarde van een goede honeypot of twee in je publieke of hybride cloud. Omdat cybercrime een business is, heeft het exact dezelfde regels: kosten moeten laag blijven, winsten hoog. Als je die balans verstoort, pak je de criminelen aan waar het pijn doet: in de portemonnee.
Hak het hoofd eraf
Nu komen we bij de voor autoriteiten interessantste persoon en dat is de uitvoerder. De beheerder is opdrachtgever van de aannemers die bruteforcen en infecteren. Deze ondernemer zit ook achter bijvoorbeeld het botnet of de exploitkit waar we allemaal last van hebben. Het neerhalen van een botnet is niet zo zinvol, constateerden we al vaker, maar het aanpakken van deze bendebons: daar bereik je wat mee.
Daar kan iemand als Paunch over meepraten. Hij was de eigenaar en maker van nog maar enkele jaren geleden de beruchtste en populairste exploitkit: Blackhole. Na zijn arrestatie en het oprollen van de bende, bleef er van de kit in luttele weken niets over. Overigens zie je vervolgens wel hetzelfde als in alle andere criminele sectoren: andere partijen springen in het achtergelaten gat. De vraag blijft, dus als je voor aanbod kunt zorgen, zit je gebakken.
De derde aanvaller die Hayati via de honeypots aantrof, is de Beheerder. De eerste twee zouden er misschien niet eens zijn geweest zonder de markt die de beheerder aanboort. Zijn doel is om servers te verzamelen en uit te baten als een soort malafide clouddienst. De botnetherder brengt alle veroverde schapen samen op één stukje cloud en zet zijn kudde in om clouddiensten (in dit geval spam of DDoS) te leveren.
Lees verder: Eigenlijk is het betrekkelijk simpel. Er is een soort malafide cloudhoster met een uitbater aan het hoofd en die moet je aanpakken; de infrastructuur is secundair.
De beheerder tekent zich duidelijk af tussen de andere aanvallers omdat de beheerder heel gericht te werk gaat binnen de server en handmatige acties uitvoert. Deze uitbater zorgt ervoor dat de nieuwste serverslaaf aan de rij buitgemaakte servers wordt toegevoegd en de honeypot laat het IP-adres van deze herder en diens C&C zien. "Is er iemand van CERT in de zaal", vraagt Hayati op een gegeven moment. Geen handen. "Dit is de persoon die je zou moeten aanpakken", zegt hij, wijzend op het IP-adres van de beheerder.
Slechteriken blacklisten
De honeypots van Hayati merkten op dat de meeste werden aangevallen via dezelfde clusters. Dat wijst op een aantal organisaties dat een groot marktaandeel heeft. Opvallend is dat het geen grote internationale organisaties betreft, maar dat ze specifiek per regio zijn. De groepen die de VS beheersen zijn niet dezelfde als de groepen die Azië beheersen.
"Daarom is een generieke blacklists ook niet goed genoeg", aldus Hayati. Die blacklisten IP-adressen op basis van gedetecteerde aanvallen, maar een blacklist die is aangemaakt in de VS bevat ten eerste regionale groeperingen daar en ten tweede niet de Europese groepen die hier meer actief zijn. Er is dus bloat van IP-adressen die nauwelijks bedreiging opleveren, terwijl cruciale adressen uit bijvoorbeeld de Oekraïne mogelijk missen.
Overigens is dat niet het advies van John Matherly. Hij is de oprichter van zoekmachine Shodan, die zulke blacklists genereert. Dat doet Shodan interessant genoeg omdat het kwetsbare systemen in kaart brengt en dat zijn dezelfde systemen die aanvallers opeisen. Shodan ziet daarom real-time het verkeer tussen systemen en aanvallers aan de hand van de stroom informatie van malware die met een C&C communiceert. Zo'n blacklist is niet regiospecifiek, maar hij vertelt aan Computerworld dat het dus actuele informatie bevat van C&C's die op dat moment in het wild opereren.
Handel in zombies
De honeypots laten zo de losse stappen zien van een aanval en het verband tussen de verschillende groepen. Ook geeft het een indicatie van het handelsproces. Een bemachtigde zombie is in de regel binnen een dag beschikbaar als onderdeel van een groter botnet, maar soms duurt het opeens een week voordat de servers zijn toegevoegd bij de malafide hostingpartij. "Daardoor lijkt het erop dat deze niet direct worden bemachtigd door de botnetbeheerder, maar dat er een lijst met overgenomen systemen wordt verhandeld."
"Een collega van me vroeg naar de prijzen in een IRC-room waar een groepje van deze krakers bij elkaar kwam", vertelt Hayati in gesprek met Computerworld. "Die vertelden dat het vijf á vijfentwintig dollar kost per gekraakte server. 'Maar neem niet die van vijf dollar, want dat zijn de minst interessante.'" Net als in iedere andere business, wordt de buit gecategoriseerd, onder meer op basis van de beschikbare resources.
Advies: gebruik honeypots
Honeypots geven je dus informatie waar je direct op kunt reageren. Die honeypot moet overigens wel secuur ontworpen zijn, want de aanvaller moet niet zien dat de server geen echte is. De verschillende functies van een honeypot (het autorisatiegedeelte, de resources die de aanvaller wil grijpen en de monitoring) strikt van elkaar gescheiden moeten zijn. Een aanvaller die bijvoorbeeld tijdens het rondsnuffelen een monitoringsfunctie aantreft, ruikt mogelijk onraad.
Honeypots zijn dus een handig wapen in de strijd tegen geboefte voor zowel bedrijven als overheden, omdat ze laten zien hoe de aanvallers te werk gaan. Als je dat weet, kun je het netwerk een stuk gerichter beveiligen.
-
-
Er zijn nog geen reacties.Reageer
Preview