Weet je zeker dat je goed beschermd bent door je next-gen antivirusoplossing?
Antivirusstoring. “Het begon allemaal om zes uur ’s ochtends, toen de CISO van een van onze volgende klanten contact opnam met onze CSIRT-noodlijn. Deze klant was net getroffen door een ransomware die hun bestandsservers versleutelde. De CISO was verbaasd over de omvang van de schade. Hij was vooral gefrustreerd omdat hij dacht goed beschermd te zijn door zijn gerenommeerde anti-virus & malware-oplossing die ransomwares, zero-days en geavanceerde aanvallen had moeten blokkeren. Hij had nooit gedacht dat dergelijke malware zo snel in zijn systemen kon inbreken en ze plat kon leggen.” Benaderingsadviseur, David BLOOM.
“We hebben wat onderzoek gedaan waaruit bleek dat de antivirus correct was geïnstalleerd, geconfigureerd en up-to-date was. Dus wat ging er mis?” Benader CSIRT Manager, Marc STERN.
Kunnen we een antivirusoplossing echt vertrouwen als deze beweert bescherming te bieden tegen onbekende bedreigingen?
Om een substantieel antwoord op deze vraag te geven, simuleerden we een soortgelijke aanval in ons cyberlab. Inmiddels waren er een paar dagen verstreken, dus de ransomware was geen zero-day meer. Daarom gebruikten we een intern ontwikkelde malware om de aanval te simuleren: een vrij eenvoudig python-script verpakt in een executable.
Bekijk de aanvalssimulatie in ons cyberlab
– De eerste tests met een klassieke ransomware waren succesvol… vanuit het perspectief van de aanvaller. Alle doelbestanden werden versleuteld zonder enige waarschuwing van de antivirus.
– We zijn dus wat dieper gegaan om de effectiviteit van de AV op een grotere verscheidenheid aan aanvallen te testen. We ontwikkelden een malware die een remote shell en andere functionaliteiten implementeert, zoals een exploit gebaseerd op een kwetsbaarheid die al enkele maanden bekend is. Vervolgens hebben we deze uitgevoerd op een verouderd Windows 10-werkstation om te controleren of ten minste één deel van de malware wordt gedetecteerd.
– We reproduceren de antivirusomgeving van onze klanten met een up-to-date Sophos Advanced Endpoint Protection en Sophos Intercept X met alle beveiligingsfuncties ingeschakeld.
Onze conclusies
We hebben vergelijkbare tests gedaan met antivirusoplossingen van drie andere grote leveranciers en slechts één presteerde beter. Het is zeker niet onze bedoeling om te beweren dat de Sophos antivirus slechter zou zijn geweest dan andere, maar het is voor ons moeilijk om nietszeggende beweringen als “bescherming tegen onbekende bedreigingen” te begrijpen, noch expliciete beweringen over detectie-/blokkeringsmechanismen die niet effectief bleken te zijn.
Zoals in deze aanvalssimulatie is aangetoond, is een beveiligingsoplossing alleen geen afdoende garantie voor effectieve bescherming als je niet op zijn minst een up-to-date systeem hebt (in dit geval hebben we een oude kwetsbaarheid uitgebuit), goed technisch beleid, andere verdedigingslagen en gebruikersbewustzijn.
Malware is al jaren een grote bedreiging; hackers en beveiligingsonderzoekers vinden elke dag nieuwe ontwijkingstechnieken en antivirusbedrijven doen indrukwekkend werk om bij te dragen aan een veiliger internet, maar we betreuren intensieve marketing gebaseerd op buzzwords en statistieken die de eindgebruiker een vals gevoel van totale veiligheid geven. De gebruiker is en blijft waarschijnlijk nog wel even de zwakste schakel op het gebied van beveiliging.
Dankzij onze verschillende advies-, trainings- en implementatieservices kan Approach u helpen uw beveiligingsniveau aanzienlijk te verhogen.
Beschrijving van ons aanvalsscenario
Wat we in deze tests laten zien is dat het mogelijk is om de controle over een computer op afstand over te nemen door SYSTEMrechten te verkrijgen. En het scenario is eenvoudig: een helpdeskmedewerker downloadt in zijn vrije tijd een spel. Helaas is het gedownloade uitvoerbare bestand geen spel, maar malware.
Hier is de beschrijving van de stappen die je in de video kunt volgen.
Antivirus eerste waarschuwing
Als de gebruiker de malware heeft gedownload, waarschuwt de antivirus voor een potentieel gevaar omdat het een uitvoerbaar bestand is. Natuurlijk klikt de gebruiker op “doorgaan” omdat deze waarschuwing normaal lijkt omdat het een spel is. Vanaf dit moment zet de antivirus de executable onder bewaking. Dit is zichtbaar in de console onder “Controlled Items”.
Malware geruisloos uitgevoerd
De malware belt de “command and control” server terug, klaar om onze commando’s uit te voeren. Vanaf dat punt draait de malware geruisloos zonder dat de gebruiker het merkt (het gebruik van de muis in de video is bedoeld als demo).
We vragen de malware om:
– Voer enkele systeemcommando’s uit (alleen voor de demo): “dir” om de werkdirectory te tonen, daarna “ipconfig” om de netwerkinterfaces van het slachtoffer te tonen.
– Maak een screenshot van het bureaublad van het slachtoffer (ook voor de demo).
– Versleutel een map en de submappen met het AES-algoritme om een gerichte ransomware te simuleren. In de “factsheet” stelt Sophos dat “Intercept X CryptoGuard-technologie spontane kwaadwillige gegevensversleuteling detecteert om ransomware te stoppen”, dus… we hebben het getest.
– Een tweede instantie van onze malware uitvoeren met hogere rechten (Admin). In dit scenario maakt de medewerker inderdaad deel uit van de IT-helpdesk, hij is beheerder van het systeem. Maar zoals je waarschijnlijk weet, heeft Microsoft sinds Windows Vista het concept van gebruikers toegangscontrole (UAC) geïntroduceerd om te voorkomen dat processen als administrator worden uitgevoerd zonder toestemming van de gebruiker. In de loop der jaren zijn er echter veel omzeilingen van UAC ontdekt door beveiligingsonderzoekers. Wij gebruikten een van deze al lang bekende omzeilingen(eventvwr.exe) om beheerdersrechten te krijgen.
– Injecteer een Meterpreter shellcode in het geheugen. In Active Adversary Mitigations van zijn “factsheet“, stelt Sophos dat het Meterpreter Shell detecteert. Meterpreter is een geavanceerde remote shell geschreven voor het Metasploit Framework dat wordt gebruikt door penetratietesters en hackers over de hele wereld. Dit is wat we met succes hebben getest: we genereerden een Meterpreter shellcode en injecteerden deze in het machinegeheugen van het slachtoffer met behulp van onze malware.
Dit bevestigt dat de meeste antivirussen nog steeds moeite hebben met het detecteren van bestandsloze aanvallen die de laatste jaren opkomen, zoals vermeld door ZDNet. Bestandsloze aanvallen hebben bijna 10x meer kans op slagen dan bestandsgebaseerde aanvallen.
De laatste stap wordt ook uitgevoerd met Meterpreter:
- We starten het “getsystem” commando om onze privileges te verhogen en krijgen SYSTEM privileges op het slachtoffer. Vanaf dat moment accepteert het systeem elke instructie die door ons wordt gegeven via Meterpreter.
Over de tester en de testomgeving
– De tests zijn gemaakt door David Bloom, Cyber Security Consultant – lid van ons CSIRT-team
– De tests zijn uitgevoerd met de demoversie van Sophos.
– Kernagent: 2.0.0
– Geavanceerde bescherming van eindpunten: 10.8.1.1
– Sophos Intercept X: 2.0.1
Wilt u op de hoogte blijven van de nieuwste bedreigingen? Het is de hoogste tijd om je in te schrijven voor onze SOC-nieuwsbrief.
