Inleiding
Je hebt vast wel eens een reportage in het nieuws gezien over drugssmokkelaars die domme tot hele slimme manieren bedenken om drugs te smokkelen om te voorkomen dat de politie ze ontdekt. Meestal verstoppen ze de drugs in legitieme spullen, zoals ananassen of allerlei onschuldig fruit/groenten, schoenen, tijdschriftomslagen, zeep, ingeblikt voedsel, noem maar op. Sommigen stoppen de drugs in meerdere lagen om de geur te verbergen en het uiteindelijke pakket eruit te laten zien als een normaal onverdacht voorwerp dat door de politiecontroles komt.
Hackers gebruiken vaak vergelijkbare tactieken om hun levering van malware te verbergen. Ze verpakken het in onschuldig uitziende e-mails of advertenties op websites die je mogelijk bezoekt. Ze proberen toegang te krijgen tot de machines van slachtoffers terwijl ze hun activiteiten verhullen. Het doel is om detectie door beveiligingsprogramma’s en cyberbeveiligingsanalisten te omzeilen.
Dus waar gaat deze blogpost over
In deze blogpost bespreken we enkele technieken die bedreigingsactoren in 2024 gebruiken om malware te leveren, meestal om referenties en gevoelige informatie te verzamelen of om banktoepassingen te targeten om uiteindelijk geld van slachtoffers te stelen.
Ik heb geprobeerd de uitleg eenvoudig, duidelijk en vervolgens een beetje technisch te maken. Op deze manier kun je, zelfs als je niet erg technisch bent, genoeg informatie begrijpen om te voorkomen dat je slachtoffer wordt van dergelijke ontwijkende aanvallen. Als je meer technisch bent, zal ik extra details geven die nuttig kunnen zijn voor zowel blue teamers om zulk kwaadaardig gedrag aan te kunnen wijzen, als voor red teamers om inzicht te krijgen in initiële toegangstechnieken om te testen tijdens een red team oefening.
Wat bedoel ik met aflevering van malware?
Het zijn eigenlijk de technieken die cybercriminelen gebruiken om je apparaat te infecteren met een kwaadaardig programma. En hier zullen we het niet hebben over het kwaadaardige programma zelf, maar meer over hoe het op je apparaat kan komen zonder gedetecteerd of tegengehouden te worden door beveiligingsoplossingen. We zullen het ook niet hebben over het stelen van referenties en cookies met een man-in-the-middle reverse-proxy.
Lang geleden was dit leveringsproces zo eenvoudig. Je ontvangt een e-mail met een bestand als bijlage, of je downloadt iets van internet, of je sluit een USB aan, en bang! je bent geïnfecteerd.
Gelukkig is dit met de verbetering van beveiligingsoplossingen zoals Anti-Virus, Endpoint Detection and Response (EDR), anti-spam, anti-malware en e-mailfiltering niet langer een koud kunstje voor aanvallers.
Naarmate de verdediging tegen infectiepogingen geavanceerder wordt, worden cybercriminelen en hun technieken echter steeds geraffineerder. Aanvallers bestuderen de nieuwste verdedigingstactieken en bedenken manieren om deze te omzeilen, waardoor het afleveren van malware een kat-en-muisspel wordt. Beveiligingsteams verbeteren de verdediging op basis van de tactieken van de aanvallers, terwijl aanvallers nieuwe technieken ontwikkelen om de geïmplementeerde verdediging te omzeilen.
In het kort komt het er dus op neer dat moderne malware een manier vindt om toegang te krijgen tot een apparaat door een kwaadaardig programma af te leveren en uit te voeren zonder detectie of preventie door een geïnstalleerde beveiligingsoplossing op het doelapparaat of het aangesloten netwerk.
Waarom willen cybercriminelen malware leveren?
Er zijn verschillende soorten cybercriminelen met verschillende doelen, variërend van het infecteren van je apparaat met een infostealer, die in principe probeert sappige informatie van je apparaat te stelen, zoals inloggegevens, e-mails, bestanden, cryptocurrency-portefeuilles… tot het infecteren van je bedrijfsapparaat om het te gebruiken voor geavanceerdere aanvallen, om gevoelige applicaties of apparaten in je interne bedrijfsnetwerk in gevaar te brengen.
Er zijn verschillende vectoren waarin aanvallers initiële toegang verkrijgen. In deze blogpost gaan we dieper in op vectoren die voortkomen uit phishing-aanvallen.
Use cases van echte scenario’s van eerste toegang
De afgelopen maanden heb ik onderzoek gedaan naar initiële toegangstechnieken voor red teaming-oefeningen. Gedurende deze tijd heb ik veel artikelen bekeken over de methoden die dreigingsactoren momenteel gebruiken om geavanceerde detectieoplossingen te omzeilen. In de volgende secties heb ik geprobeerd om de meest interessante technieken die zijn gebruikt in recente aanvallen sinds het begin van dit jaar (2024) tot de datum waarop dit bericht is geschreven in kaart te brengen en uit te leggen. Dus laten we eens duiken in de kunst van het afleveren van malware en initiële toegangstechnieken 😊
De laatste trigger onder de meerdere lagen van misleiding
Voordat ik in meer gedetailleerde aanvallen duik, wil ik eerst vermelden dat veel van deze aanvallen enkele gemeenschappelijke kenmerken hebben. Meer specifiek wil ik het hebben over hoe verschillende bedreigingsactoren meestal een infectieproces in meerdere fasen gebruiken. De eerste fasen hebben legitiem uitziende bestanden en ogenschijnlijk goedaardig gedrag. De kwaadaardige stap wordt pas geactiveerd in een latere of zelfs laatste stap van een keten van acties. Of als combinatie van meerdere stappen. Aanvallers gebruiken deze tactiek om detectie te omzeilen en EDR’s zover te krijgen dat ze de activiteit als legitiem gedrag beschouwen. De kwaadaardige stap blijft onopgemerkt zodra de verdediging ervan overtuigd is dat er niets schadelijks gebeurt. In die verschillende fasen gebruiken de aanvallers verschillende “bouwstenen” (als ik ze zo mag noemen) die leiden tot de uiteindelijke payload.
Veel van deze aanvallen hebben een aantal gemeenschappelijke bouwstenen, maar verschillende bedreigingsactoren kunnen ze op een andere manier samenvoegen om een payload te maken die niet op de andere lijkt. Uiteindelijk leiden ze tot hetzelfde resultaat. Die bouwstenen omvatten legitieme bestanden die we in ons dagelijks werk gebruiken. Voorbeelden zijn: Archiefbestanden, HTML, SVG, WSF, JavaScript, Snelkoppelingen (.LNK), PDF’s, Office Documenten, Cloud gehoste content, Batch bestanden en de beruchte PowerShell scripts. Laten we een concreter voorbeeld bekijken.
De kracht van het kwaad archiveren
Gearchiveerde bestanden zijn een veel voorkomend startpunt voor een eerste toegangsscenario. Je ontvangt een e-mail met een .zip-bestand, waarbij de afzender je aanspoort om het bestand uit te pakken en de factuur te openen van een aankoop die je hebt gedaan. Waarom zou je een gearchiveerd bestand ontvangen? Omdat de kans groter is dat het je e-mail bereikt dan andere soorten bestanden. Welke e-mailclient je ook gebruikt, er moet een soort e-mailfilter zijn dat je probeert te beschermen tegen schadelijke bijlagen. E-mailfilters kunnen bijvoorbeeld extensies als .exe (voor een uitvoerbaar bestand) of JS (voor JavaScript-bestanden) blokkeren en niet doorsturen, omdat ze onmiddellijk schade kunnen veroorzaken als ze worden uitgevoerd.
Gearchiveerde bestanden hebben een legitiem gebruik. Normaal gesproken archiveer/comprimeer je sommige bestanden en stuur je ze naar je collega’s of klanten, niets slechts, toch? Het is dus minder waarschijnlijk dat ze worden beschouwd als bestanden die op de zwarte lijst staan. En dat is één reden waarom aanvallers ze gebruiken. Een andere reden is dat ze verborgen bestanden kunnen bevatten, naast het bestand dat het slachtoffer opent. Dat verborgen bestand speelt een rol in de ketenfasen die leiden tot de uiteindelijke uitvoering van malware.
Gearchiveerde bestanden die worden gebruikt in scenario’s voor eerste toegang zijn er in verschillende smaken. Het meest bekende is het ZIP-bestand. Aanvallers kunnen echter ook RAR, tar.gz, of 7z formaten gebruiken, of disk image bestanden (zoals ISO, IMG en VHD).
Gecodeerde gearchiveerde bestanden
Hier is de twist: als een aanvaller een normaal ZIP-bestand met een verdacht bestand meestuurt, zal de anti-malware bescherming dit meestal blokkeren. Omdat het de gegevens in de ZIP kan lezen en de schadelijke inhoud kan detecteren. Sommige bedreigers sturen echter een versleuteld ZIP-bestand (beveiligd met een wachtwoord). In dat geval kan de anti-malwarebescherming van e-mail de versleutelde inhoud niet lezen om te detecteren of deze kwaadaardig is of niet. Versleutelde gearchiveerde bestanden (zoals ZIP-, RAR- of 7z-bestanden die met een wachtwoord zijn beveiligd) worden dus doorgelaten.
Het omzeilen van de MOTW (Mark-of-the-Web)
Mark-of-the-Web (MOTW) is een beveiligingskenmerk dat aangeeft dat een bestand afkomstig is van het internet. Hierdoor kan Microsoft Defender SmartScreen de inhoud van het gemarkeerde bestand extra inspecteren. Bijvoorbeeld, het downloaden van een Word-document van het internet zal resulteren in het hebben van de markering van het web, waardoor macro’s standaard worden uitgeschakeld. Zelfs als het Word-document in een ZIP-archief zit dat van het internet is gedownload, zou het nog steeds deze markering moeten hebben.
Als het slachtoffer echter een hulpprogramma zoals 7-Zip gebruikt om het archief uit te pakken, kan de markering van het web worden omzeild. Een Word-document dat in een 7z-bestand wordt verzonden, heeft bijvoorbeeld niet de markering van het web als het met 7-Zip wordt uitgepakt, waardoor macro’s niet standaard worden uitgeschakeld.
Het gearchiveerde bestand kan dus dienen als de eerste schakel in de initiële toegangsketen, een patroon dat bij veel grootschalige aanvallen is waargenomen. Zo verstuurt de Iraanse cyberspionagegroep Mint Sandstorm e-mails met links om een beschermd RAR-bestand te downloaden als startpunt om malware in te zetten om gevoelige informatie van de slachtoffers te verzamelen.
Een andere bedreiger gebruikte ook een ZIP-bestand dat rechtstreeks in e-mails werd verzonden. Het bestand bevatte een Jscript dat een batchbestand en een base64-gecodeerd bestand laat vallen. De aanvallers decoderen het bestand met certuti naar een Portable Executable (PE) DLL die wordt uitgevoerd met rundll32.
Andere voorbeelden van hoe bedreigers archieven als uitgangspunt gebruiken: Cybercriminelen richten zich op Latijns-Amerika met geavanceerd phishingprogramma, Keylogger vermomd als bankbetalingsbericht, Nieuwe JinxLoader richt zich op gebruikers met Formbook- en XLoader-malware, Bancaire Trojaanse paarden richten zich op Latijns-Amerika en Europa.
De legende van de kortere weg: Een link naar de omleiding
Je weet dat je een snelkoppeling kunt maken voor een programma en die kunt plaatsen waar je maar wilt om toegang te krijgen tot dat programma, bijvoorbeeld vanaf het bureaublad, terwijl het programma op een andere locatie staat, toch! Maar weet je dat je in die snelkoppeling ook andere opdrachten kunt uitvoeren? Waarom? Omdat de snelkoppeling er zo uitziet:
Bij het openen van de snelkoppeling wordt de opdracht in dit doelveld uitgevoerd (in dit geval het uitvoeren van de rekenmachinetoepassing). Maar wat als we daar andere opdrachten plaatsen?
Zoals je in het volgende voorbeeld kunt zien, kan wat er waarschijnlijk uitziet als een pdf-snelkoppeling, in feite een commando als dit uitvoeren:
Door de snelkoppeling te openen wordt de opdracht in het veld Doel uitgevoerd, waardoor het bestand Link.txt wordt gemaakt:
In een concreter voorbeeld gebruikt een bedreigingsactor snelkoppelingen (.LNK-bestanden) die een PowerShell-opdracht uitvoeren om een HTA-bestand uit te voeren. Het JavaScript in de HTA decodeert een PowerShell-decodeerder, die een PowerShell-lader decodeert. Deze loader wordt uitgevoerd in het geheugen en start het downloaden en uitvoeren van payloads zoals Cryptbot, LummaC2 of Rhadamanthys informatiedieven.
Het is maar een PDF! Het is maar een PDF!
PDF’s is iets dat je misschien elke dag ontvangt in je e-mail of downloadt van het internet. Daarom is het een verleidelijk doelwit voor aanvallers. Maar hoe kunnen ze die onschuldige PDF met rapporten, facturen of nieuwe beleidsregels kwaadwillig gebruiken? Hier volgt een aantal echte initiële toegangsscenario’s die bedreigers gebruiken, waarbij het uitgangspunt een PDF-bijlage was:
Deze aanval begint met een PDF-bijlage die wordt gepresenteerd als e-mail met een factuurthema, zoals de onderstaande. (Dit is een demonstratievoorbeeld, niet de echte):
Als je op de link klikt, wordt een ZIP-bestand gedownload dat een MSI- of HTA-bestand bevat. Uit dit bestand wordt een VB-script gedownload dat een ander VB-script downloadt om te worden uitgevoerd. Vervolgens wordt een DLL van Mispadu (een bekende trojan) geïnjecteerd en in het geheugen uitgevoerd. Hierdoor krijgen aanvallers controle over de machine van het slachtoffer.
Andere bedreigingsactoren gebruikten PDF waarmee een ZIP-bestand met .LNK-bestand wordt gedownload. Het uiteindelijke doel is om een DarkGate payload te injecteren. Aanvallers krijgen vervolgens toegang tot het apparaat van het slachtoffer om informatie te stelen.
Andere voorbeelden van recente aanvallen waarbij PDF-bijlagen als beginpunt worden gebruikt: Van PDF’s naar payload, Venom RAT gericht op meerdere sectoren, bankentrojan CHAVECLOAK
(Let niet op mijn woorden
In Microsoft Office-documenten (zoals Word of Excel) kun je een zogenaamde macro maken om bepaalde taken in het document te automatiseren. Deze macro is eigenlijk een stuk code (Visual Basic for Applications of VBA). Aanvallers gebruiken deze macro’s al lang om kwaadaardige code in documenten te injecteren. Daarom is het een bekende aanvalsvector geworden. Microsoft en beveiligingsoplossingen hebben stappen ondernomen om het risico van macro’s te verkleinen. Aanvallers kunnen echter heel creatief zijn in het omzeilen van obstakels.
Sjablooninjectie op afstand
Hier is een echt voorbeeld van deze bedreigende actor die een kwaadaardig Microsoft Word-document gebruikte als hun eerste toegangspunt. De aanvallers gebruikten een techniek genaamd Remote Template Injection. Bij deze aanval voegen de aanvallers geen schadelijke macro toe aan het verzonden document, maar halen ze de macro op uit een externe sjabloon die wordt gehost op de infrastructuur van de tegenstander, telkens wanneer het slachtoffer het Word-document opent dat de sjabloon bevat.
Hoe maak je een Word-document met een sjabloon op afstand dat een kwaadaardige macro bevat? Fluitje van een cent! Maak een Word-document met de schadelijke macro – > sla het op als Word 97-2003 sjabloon (*.dot) -.> host het -> Maak een nieuw document van het lege sjabloon in C:\Users\Attacker\Documenten\Aangepaste kantoorsjablonen.> Plaats daar wat overtuigende inhoud -> sla het op als .docx -.> Klik er met de rechtermuisknop op en open het archief> Navigeer naar woord > _rels, klik met de rechtermuisknop op settings.xml.rels en selecteer Edit – Bewerken.> Verander in dit XML-bestand het “Doel” in de externe locatie waar u uw sjabloon hebt gehost -.> Stuur het document naar het slachtoffer. Je kunt ook remoteInjector gebruiken om dingen te automatiseren.
OLE-sjabloon manipuleren
Macro’s zijn niet het enige dat aanvallers misbruiken in Office-documenten. Hier is nog een echt voorbeeld van actoren die gebruikmaken van OLE (Object Linking and Embedding) sjabloonmanipulatie om Microsoft Office-documentsjablonen te gebruiken om kwaadaardige code uit te voeren terwijl detectie wordt omzeild. Om een lang verhaal kort te maken: de aanvallers sturen een Word-document met wachtwoordbeveiliging (versleuteld) om detectie te omzeilen. Het document bevat de instructies om: het rapport te downloaden, het wachtwoord in te voeren en bewerken mogelijk te maken. Het document bevat instructies om op een printerpictogram te klikken om hun “salarisgrafiek” te bekijken. Het pictogram is eigenlijk een OLE-pakket, een functie in Microsoft Windows waarmee documenten en andere objecten kunnen worden ingesloten en gekoppeld. Als het slachtoffer op het pictogram klikt, wordt een zip-archief geopend dat (opnieuw) een LNK-bestand bevat. Dit LNK-bestand laat een PowerShell-lader vallen. Enkele stappen later wordt een registersleutel gemaakt om de Trojan uit te voeren als een persistentiemechanisme.
Smokkelaars in HTML/SVG-pakken
Aanvallers proberen altijd legitieme functies te misbruiken om slechte dingen uit te voeren. HTML-smokkel is daar een mooi voorbeeld van. Einddoel: Het openen van een HTML- of SVG-bestand (dat als e-mailbijlage kan worden verzonden) activeert de download van een bestand naar je apparaat zonder verdere kennisgeving. Dit bestand, dat ISO, IMG, VHD… kan zijn, kan een keten van bestanden en payloads bevatten die uiteindelijk leiden tot de infectie. Bij deze aanval is het bestand dat moet worden gedownload gecodeerd in een klodder gegevens binnen JavaScript-code in het HTML/SVG-bestand. Bij het openen via een webbrowser wordt deze blob met gegevens gedecodeerd in een bestand. Hier is een eenvoudige demonstratie: je opent een HTML/SVG-bestand en je krijgt dit:
Maar aanvallers gaan nog een stap verder. In dit voorbeeld wordt het bestand niet rechtstreeks gedownload, maar activeert de website van de aanvallers die wordt gehost op Google Sites een reCAPTCHA-pagina. De payload wordt pas gedownload nadat “Ik ben geen robot” met succes is gecontroleerd. Bovendien, in tegenstelling tot typische HTML-smokkelscenario’s waarbij aanvallers het schadelijke bestand opnemen in de JavaScript binnen de HTML, sluiten de aanvallers in dit geval het schadelijke bestand in een apart JSON-bestand in. Een GET-verzoek haalt het bestand op van een ander domein wanneer het slachtoffer de pagina opent. Met deze extra stappen voegen de aanvallers dus een gevoel van legitimiteit toe zodat het slachtoffer kan vertrouwen waarop hij klikt (de reCAPTCHA-controle) en verbergen ze het schadelijke bestand verder voor openbare scanners zoals VirusTotal.
WTF is WSF!
Wikipedia zegt: “Een Windows Script File (WSF) is een bestandstype dat gebruikt wordt door de Microsoft Windows Script Host. Hiermee kunnen de scripttalen JScript en VBScript in een enkel bestand worden gecombineerd, of andere scripttalen zoals Perl, Object REXX, Python of Kixtart indien geïnstalleerd door de gebruiker.” Het uitvoeren van Jscript en VBScript klinkt erg lekker voor een aanvaller.
Aanvallers maken meestal misbruik van WSF en HTA (HTML-toepassing). Door het veelvuldige gebruik ervan in aanvallen, zijn ze echter beter detecteerbaar geworden door beveiligingsoplossingen. Dat weerhoudt aanvallers er echter niet van manieren te vinden om deze vectoren toch te gebruiken.
Een nieuwe golf van Raspberry Robin worminfecties gebruikt wsf-bestanden om de slachtoffers te infecteren. Aanvallers kunnen het bestand aan het slachtoffer leveren via spam of malvertisingcampagnes. Wat interessant is aan deze campagne, is dat de aanvallers het wsf-bestand zwaar hebben gecodeerd. Het heeft 0% detectie op VirusTotal.
Verduistering toevoegen
Voor verduistering gebruikten de aanvallers meerdere technieken, waaronder het toevoegen van te veel nutteloze junk-tekens om de kwaadaardige inhoud te verbergen. De aanvallers decoderen functies en versluieren de scriptstroom. Ze voegen ongebruikte code toe. Maar ze controleren ook in andere delen van de code of deze ongebruikte code is verwijderd (mogelijk door een blue team analist die de code probeert te analyseren). Als wordt ontdekt dat de ongebruikte code ontbreekt, wordt het script beëindigd, wat de analyse aanzienlijk bemoeilijkt. Bovendien maken ze gebruik van anti-debuggingtechnieken en bevatten ze een uitzondering voor Microsoft Defender, waardoor de hele hoofdschijf wordt uitgesloten van antivirusscans. Als het script detecteert dat op de machine van het slachtoffer een andere antivirusoplossing wordt uitgevoerd, wordt het beëindigd.
Na uitvoering en na deze reeks anti-analyse en anti-virtuele machine evaluaties om er zeker van te zijn dat de payload niet wordt uitgevoerd in een gevirtualiseerde omgeving, wordt de belangrijkste DLL payload van de worm opgehaald van de externe server en uitgevoerd.
Batches hier PowerShells daar
In veel van de eerder genoemde aanvalsscenario’s gebruikten aanvallers Windows Batch-bestanden (.bat) of PowerShell-scripts op een bepaald punt in de initiële toegangsketen voordat ze de uiteindelijke controle kregen.
Aanvallers kunnen PowerShell-opdrachten die de laatste infectiestap activeren opslaan in scriptbestanden (.ps1) of batchbestanden (.bat). Ze kunnen het batchbestand direct uitvoeren of door een geplande taak te maken die het batchbestand uitvoert op basis van een vooraf gedefinieerde trigger. Deze PowerShell-scripts en batchbestanden zijn vaak sterk versluierd om de aanvallers te verbergen en detectie te omzeilen.
Aanvallers gebruiken PowerShell-scripts om de Anti-malware Scan Interface (AMSI) te omzeilen als een ontwijkingsstap voordat ze schadelijke payloads uitvoeren. Ze gebruiken PowerShell ook om schadelijke payloads in het geheugen te laden en uit te voeren zonder deze naar schijf te schrijven.
Batchbestanden worden gebruikt om kwaadaardige opdrachten uit te voeren, waaronder het ophalen van bestanden, het uitvoeren van PowerShell-scripts en het verwijderen van bestanden om sporen te verbergen. Deze batchbestanden zijn ook versluierd. Tools zoals BatCloak worden door sommige bedreigingsactoren gebruikt om traditionele detectiemechanismen te omzeilen.
Oh dacht je echt dat ik AI hier niet zou noemen :p
Het is geen verrassing dat bedreigingsactoren AI al gebruiken om hun payloads te verbeteren. ChatGPT, CoPilot en andere LLM’s die speciaal zijn ontwikkeld om de beperkingen te omzeilen die sommige modellen opleggen om kwaadwillig gebruik te voorkomen, worden al gebruikt om te helpen bij het ontwikkelen van malware. Deze modellen kunnen echter ook eerder worden gebruikt in de eerste stadia van de eerste toegang. AI kan het maken van phishingmails vergemakkelijken, waardoor ze in sommige gevallen overtuigender zijn dan e-mails die door mensen zijn geschreven.
Een voorbeeld van recente bedreigingsactoren die AI gebruiken in de eerste payloads voor toegang, is de hackersgroep TA547. De groep wordt ervan verdacht Large Language Model (LLM) te gebruiken om PowerShell-scripts te genereren die worden gebruikt in een nieuwe golf phishingaanvallen die begin april Duitse bedrijven hebben getroffen met malware genaamd Rhadamanthys.
Het gedeobfusceerde PowerShell-script vertoonde enkele kenmerken die waarschijnlijk niet door menselijke programmeurs zijn gemaakt, zoals grammaticaal correct en hyperspecifiek commentaar voor elke regel in de code.
De kettingringen in elkaar zetten
Is je dat patroon opgevallen in die echte aanvalsscenario’s hierboven? Die keten van wat ik eerder bouwstenen noemde… Je ziet PDF -> ZIP -> MSI -> DLL -> infectie, of ZIP -> LNK -> Batch -> PowerShell -> DLL -> InforStealler, of een andere combinatie in verschillende volgorde. Deze trend om meerdere stadia van verschillende bestandsindelingen aan elkaar te koppelen en het schadelijke gedrag over meerdere componenten te verspreiden, wordt door veel bedreigingsactoren overgenomen om een complexe infectieketen te vormen. De belangrijkste reden hiervoor is om onder de radar van blue teamers te blijven en het moeilijker te maken om te worden gedetecteerd door beveiligingsoplossingen.
0 Waarschuwingen: De kunst van het ontwijken
Zoals eerder vermeld worden bedreigingsactoren steeds geraffineerder met hun aanvallen, zodat ze de evoluerende detectiemechanismen kunnen omzeilen.
Het gebruik van een complexe keten van meerfasige initiële toegangsaanvallen lijkt een goede strategie. Maar in elke fase gebruiken aanvallers verschillende ontwijkingstechnieken. Ze gebruiken bijvoorbeeld publieke en private cloudservices om stukken te hosten die ze in de verschillende stadia van de keten zullen gebruiken. Dit resulteert in het maskeren van de kwaadaardige oproepen als legitiem verkeer.
Bovendien gebruiken aanvallers, zoals we eerder hebben gezien, verschillende versluieringstechnieken in de verschillende stadia van de initiële toegangsketen. Of het nu gaat om het HTML-bestand, de meegeleverde Jscript-code, het PowerShell-script, VBScript, batchbestanden of de uiteindelijke DLL of welke payload dan ook, aanvallers gebruiken verschillende coderings-, versleutelings- en verduisteringstechnieken om de werkelijke kwaadaardige bedoeling van de payloads te verbergen.
Bedreigingsactoren gebruiken nog steeds Living Off The Land Binaries (LOLBAS). Bitsadmin en certuril worden bijvoorbeeld vaak gebruikt voor het coderen/decoderen en overbrengen van componenten die worden gebruikt in de initiële toegangsketen.
Aanvallers richten zich niet alleen op het omzeilen van antivirusprogramma’s, maar ook op het onopgemerkt blijven van beveiligingsoplossingen zoals EDR’s. Geraffineerde hackersgroepen zijn beter op de hoogte van welk gedrag waarschuwingen op EDR’s triggert en nemen extra maatregelen om triggers te voorkomen. EDR’s kunnen echt vervelend zijn vanuit het perspectief van een aanvaller (of een red teamer). Maar een volledig scenario van initiële toegang, van het ontvangen van de initiële trigger tot het uitvoeren van de uiteindelijke payload, zonder waarschuwingen op te roepen, is mogelijk. Wanneer u 99 keer probeert die EDR te omzeilen en faalt, zal het begrijpen van alle triggers die leiden tot die 99 waarschuwingen er zeker voor zorgen dat de 100 pogingen de EDR vrijelijk passeren zonder verdachtmakingen op te roepen.
Conclusie en aanbevelingen
In deze blogpost heb ik geprobeerd je mee te nemen in deze Malware Masquerade in de hoop je inzicht te geven in hoe echte bedreigingsactoren hun payloads maskeren om mensen en organisaties binnen te dringen zonder ontdekt te worden. Zoals ze zeggen, “om je vijand te kennen, moet je de vijand worden”, het begrijpen van de technieken en tactieken die hackers gebruiken is de eerste stap om je tegen hen te beschermen.
Hier zijn enkele aanbevelingen voor jou, of je nu een niet-technisch persoon bent die het internet gebruikt of een technisch persoon die probeert het internet beter te maken voor anderen:
Voor mensen die e-mails met links of bijlagen ontvangen of advertenties op websites openen…
Gewoon niet doen. Tenzij je de afzender van de e-mail of de herkomst van die website echt vertrouwt, klik je gewoon niet op dingen waarvan je niet zeker weet of ze veilig zijn of niet. Download geen updates of programma’s of wat dan ook van onbetrouwbare bronnen. Gebruikersbewustzijn is cruciaal bij pogingen tot phishing om toegang te krijgen. Mensen zijn hier inderdaad het belangrijkste doelwit; daarom moet iedereen zichzelf voldoende voorlichten om niet in dergelijke bedrieglijke aanvallen te trappen.
Voor de blauwe teamer…
Het is cruciaal om op de hoogte te zijn van de meest recente tactieken die bedreigingsactoren gebruiken om toegang te krijgen en detectie te omzeilen. Met dergelijke kennis kunt u kwaadaardig gedrag herkennen als u het ziet, in plaats van het te beschouwen als een vals positief omdat u zich niet bewust was van die aanvalsvector. U kunt ook de regels en configuratie van uw detectieoplossingen verbeteren om ze nuttiger te maken bij het vangen van die stiekeme hackers.
Voor de rode teamer…
“Ja, dat kan!”. Hackers doen hun best om manieren te vinden om onder de radar van welk detectiemechanisme dan ook door te dringen. Je kunt ze maar beter begrijpen, manieren vinden om hetzelfde te doen en, nog belangrijker, je kennis delen met de verdedigers. Ja, het is cool om EDR’s te omzeilen met 0 waarschuwingen, maar voor ethische hackers is dat niet het doel, toch? Dus, na een red team engagement, ga je gang en leg je uit wat je hebt gebruikt om detectie te omzeilen, je TTPS, wat de IOC’s zouden zijn die zouden helpen bij het identificeren van de aanval. Draag bij aan het dichten van dat gat in de muur van cyberdefensie. Maak het de echte aanvallers moeilijker, beveilig de cyberspace en red de wereld. 😉
