Beheer

IT beheer
Cyberaanval, hack

Vijf manieren waarop je kunt ontdekken dat je gehackt bent

Welke signalen duiden op een aanval?

© Pixabay CC0 Public Domain
5 september 2019

Welke signalen duiden op een aanval?

Maar liefst 56 procent van alle incident response-verzoeken die beveiligingsbedrijf Kaspersky Lab in 2018 heeft verwerkt, kwam pas nadat er al tastbare gevolgen optraden als gevolg van een aanval. Volgens Kaspersky komt dat doordat bedrijven niet genoeg letten op signalen van een aanval. Maar waar moet je dan precies op letten?

Tastbare gevolgen van een hack zijn bijvoorbeeld ongeautoriseerde banktransacties of versleutelde computers als gevolg van ransomware. Dergelijke gevolgen kunnen voorkomen worden als een aanval op tijd wordt opgemerkt.

81 procent van de organisaties die data aanleverden voor analyses, had signalen van malafide activiteit in haar interne netwerk, aldus het rapport van Kaspersky. “Deze situatie geeft aan dat er bij veel bedrijven ruimte is om detectiemethodes en incident response-procedures te verbeteren”, stelt beveiligingsexpert Ayman Shaaban van Kaspersky. “Hoe eerder een organisatie een aanval oppikt, hoe kleiner de consequenties zijn.”

Tijdige detectie van een aanval is dus belangrijk, ook omdat een weinig serieus lijkende aanval zich kan ontplooien tot een incident met grotere (financiële) gevolgen. Als je door de pers of Autoriteit Persoonsgegevens wordt opgebeld, of als je een losgeldbericht op je scherm ziet, ben je echter al te laat. Dus hoe kun je dan wél op tijd ontdekken dat je gehackt bent?

1. Netwerkverkeer kan boekdelen spreken

“Uiteindelijk draait het om het monitoren van wat er in je eigen netwerk met je eigen clouddiensten gebeurt”, vertelt Candid Wueest, Threat Researcher bij beveiligingsbedrijf Symantec. “Naast beveiligingsoplossingen die een aanval kunnen blokkeren of detecteren zijn er veel nuttige log sources die moeten worden bewaakt, idealiter op een geautomatiseerde manier. Ze kunnen dan een indicatie geven dat er iets verdachts aan de hand is dat verder onderzocht moet worden.”

Een piek in netwerkverkeer kan er bijvoorbeeld op wijzen dat er iets mis is. Zo kan “uitgaand netwerkverkeer op ongebruikelijke servicepoorten met hoge pieken op ongebruikelijke tijdstippen” volgens Wueest een signaal zijn van een aanval. “Dit kan een indicatie zijn dat een aanvaller klantgegevens aan het onttrekken is.”

“Nieuwe IP-adressen uit het buitenland die inloggen op de RDP- of VPN-servers kunnen ook een indicatie zijn dat iemand probeert in te breken. Zeker als het in combinatie met herhaaldelijke mislukte aanmeldingen is”, aldus Wueest.

2. (Mislukte) inlogpogingen kunnen signaal van meer zijn

Een ander duidelijk signaal van een aanval is (mislukte) inlogpogingen. Het gebeurt nogal eens dat online diensten gehackt worden, waarbij inloggegevens worden buitgemaakt. Cybercriminelen die deze wachtwoorden vervolgens in handen krijgen, proberen vaak of ze ook bij andere accounts met het bijbehorende e-mailadres werken.

“Een opeenstapeling van geblokkeerde gebruikersaccounts kan bijvoorbeeld een indicatie zijn dat een aanvaller probeert gestolen wachtwoorden te gebruiken om extra computers in een netwerk in gevaar te brengen. Dit is iets wat de IT-helpdesk zal merken, omdat veel gebruikers zich zullen melden om hun accounts te ontgrendelen”, vertelt Wueest.

Het kan echter ook zo zijn dat een wachtwoord wél werkt en een hacker dus binnen weet te dringen. In dat geval is het monitoren van het netwerkverkeer dus weer belangrijk. “Je kunt bijvoorbeeld zien dat accounts op vreemde tijden gebruikt worden, zoals in het weekend of ’s nachts”, vertelt Frank Groenewegen, Chief Security Expert bij Fox-IT.

3. Let op je antivirusmeldingen

Vrijwel iedereen heeft tegenwoordig een antivirusprogramma op zijn computer staan. Probleem is echter dat de meldingen daarvan niet altijd in de gaten worden gehouden of goed beoordeeld worden, stelt Groenewegen.

“In onze eigen onderzoeken zien we regelmatig dat niemand actief naar dat programma kijkt. Daardoor mis je dus virusmeldingen op de laptop.” Dergelijke software is bovendien lang niet altijd even duidelijk met zijn meldingen. “Antivirusprogamma’s geven vaak vage meldingen. Dan staat er bijvoorbeeld ‘win32.MIMIKATZ detected’, maar dat zegt de gemiddelde gebruiker niets.” MIMIKATZ is een tool die wachtwoorden steelt, en dus gevaarlijk.

Een virusscanner geeft in dergelijke gevallen bovendien vaak aan dat het virus verwijderd is. “Maar zo’n melding is vaak juist een signaal dat er meer aan de hand is. Het is een goede reden om een onderzoek te starten”, waarschuwt Groenewegen. Hij raadt dan ook aan om hulp te zoeken bij dergelijke signalen.

4. Event logs kunnen je veel vertellen

Daarnaast kunnen event logs signalen van aanvallen weergeven. Maar ook hier geldt: je moet er wel naar kijken. “Ook als een virusscanner niets oppikt, zien wij in onze onderzoeken vaak dat er in de event logs wel kenmerken van aanvallen te vinden zijn”, vertelt Groenewegen.

“Er zijn bijvoorbeeld een paar technische logs aanwezig die - als ze in een specifieke volgorde voorkomen - een aanval aangeven.” Dergelijke logs zijn vaak erg technisch, waardoor ze nietszeggend zijn als je de expertise niet hebt. Daardoor worden dergelijke signalen vaak over het hoofd gezien.

Gelukkig zijn er oplossingen te koop die log-monitoring voor je doen, en daarbij ook de vertaalslag maken. Derde partijen kunnen dergelijke diensten ook leveren.

5. Ongewone processoractiviteit is altijd verdacht

Een laatste signaal dat er iets mis is, is als de processor van een systeem overuren draait. Dit kan bijvoorbeeld duiden op een miner van cryptovaluta, die de rekenkracht van getroffen apparaten inzet om cryptocurrency te verzamelen.

Dit mag dan een duidelijke indicatie van malafide activiteit zijn, maar dat weten cybercriminelen ook. Daarom hebben vele van hen stappen genomen om detectie op deze wijze te voorkomen. Zo zijn er vormen van malware die alleen ’s nachts werken, zodat er overdag niets opvalt. Andere malware kiest er juist voor om de gebruikte rekenkracht te beperken, om zo detectie te voorkomen.

Om die reden is het dus niet alleen van belang om te letten op processors die harder werken dan nodig zou moeten zijn, maar ook op activiteit die niet op de systemen thuishoort en (veel) activiteit op vreemde tijdstippen.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.