Hackers Exposed

1 februari 2013 maakte Twitter bekend via een blogpost dat aanvallers er in geslaagd waren zich toegang te verschaffen tot gegevens van zo’n 250.000 gebruikers. De manier waarop zij deze compromittering detecteerden trok mijn aandacht: ‘This week, we detected unusual access patterns that led to us identifying unauthorized access attempts to Twitter user data.’ of wel ‘ongewone toegangspatronen‘.

Dit bevestigt mijn gedachten dat we onze focus moeten gaan verschuiven van de traditionele aanpak naar detectering van afwijkend gedrag of zoals Twitter zei ‘ongewone toegangspatronen’. Vraag is dan wel: hoe detecteer je afwijkend gedrag.

Om deze vraag te kunnen beantwoorden moet we enige kennis hebben van hoe een hacker te werk gaat. Nu pretendeer ik niet een volleerd hacker te zijn maar met enige kennis en common sense kom je een heel eind (als je het beter weet, help mij dan). Intelligentie en programmeer vaardigheden behoren niet langer meer tot de meest noodzakelijke competenties. Kennis van tooling en werking, maar vooral durf om het uit te voeren zijn veel belangrijker.

Stap 1: Informatie verzamelen

De aanvaller zal altijd eerst informatie verzamelen van zijn slachtoffer om zodoende zijn verdere aanval op te kunnen zetten. Informatie van het netwerk, de ip-adressen, gebruikte hard- en software, de structuur, enz. Hierin ondersteunen verschillende tools (bijv. NetScanTools en Nessus) en zelfs diensten (bijv. Shodan) hem.
–> Netwerkscan’s zijn zeker afwijkend gedrag. Het betreffende IP-adres is daarmee zeker verdacht. Blokkeren zou zeker een mogelijkheid zijn.

Stap 2: Verduisteren afkomst

Nadat de aanvaller de informatie heeft geanalyseerd, zal hij zijn verdere aanval opzetten. Hierbij wil hij natuurlijk niet dat de aanval gedetecteerd wordt maar zal hij hier wel rekening mee houden. Daarom zal de aanvaller er altijd voor zorgen dat de aanval niet naar hem te herleiden is. Een eenvoudige manier is door gebruik te maken van een Tor netwerk.
–> Hierin is geen afwijkend gedrag te herkennen en is er dus weinig tegen deze stap te doen.

Stap 3: Tactiek bepaling

Afhankelijk van de resultaten uit de informatie verzameling wordt de verdere tactiek bepaald. Hij zal op zoek gaan naar bekende kwetsbaarheden (vulnerabilities) en de daarbij behorende exploits die toepasbaar zijn. Online databases helpen hem daarbij. In de database staat per component de kwetsbaarheid inclusief de exploit.
–> ook in deze stap is niet direct afwijkend gedrag te herkennen. Hier geldt de traditionele aanpak door zelf op vastgestelde basis de eigen omgeving op kwetsbaarheden te controleren.

Stap 4: Uitnutten kwetsbaarheid

Nu is het een kwestie van de juiste exploit uitzoeken, een exploit die hem toegang verschaft. Eenmaal de juiste exploit te hebben bepaald, zal de aanvaller nog moeten beschikken over de middelen om deze exploit te kunnen uitvoeren. Wederom een keur aan tooling bedienen hem hierin inclusief ‘how to‘ video materiaal via YouTube. Bekende tools zijn MetaSploit, Nessus en W3AF.
–> op het moment dat een kwetsbaarheid wordt uitgenut zal de component zeker afwijkend gedrag gaan vertonen. Verhoogd resource gebruik (CPU, geheugen of netwerk) kunnen duiden op kwaadaardigheid. Controle hiervan behoort tot de maatregelen. Dit afwijkend gedrag moet zeker leiden tot verdere analyse.

Stap 5: Vervolg actie

Een exploit uitvoeren geeft de aanvaller interne toegang. Vervolgens zal hij ook van de interne omgeving meer informatie willen hebben en dus terug naar stap 1. Net zo lang totdat hij zijn doel heeft bereikt dan wel zijn behoefte heeft vervuld.
–> header-informatie uitvragingen, portscans uitvoeren, veelvoud aan inlogpogingen zijn duidelijk afwijkend gedrag. Allemaal aanleiding tot verdere analyse.

Overigens is er voldoende technologie voorhanden die verdere analyse kan ondersteunen, zoals bijvoorbeeld Security Information and Event Management (SIEM) tooling. Bekende producten zijn ArcSight, Fortify en TippingPoint. Gartner heeft een aardige magic quadrant gepubliceerd die bij HP is te downloaden.

May the source be with you

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Cyberwar ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security
Dit bericht werd geplaatst in New Technology, Security en getagged met . Maak dit favoriet permalink.

Een reactie op Hackers Exposed

  1. Pingback: Security Intelligence versus Big Data | The Sloeserwij Files

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s