Ransomwaregroepen vinden nieuwe manieren om endpointbeveiliging te omzeilen
Veel bedrijven werken met zogenaamde Endpoint Detection and Response software (EDR) om minder legaal gedraag op computers te kunnen detecteren en aan te pakken. Maar een groeiend aantal ransomware-groepen maakt slim gebruik van zogenaamde 'EDR-killers', die deze software uitschakelt. Hierdoor kunnen de criminelen ongestoord hun gang gaan en voor meer schade zorgen.
Hoewel het gebruik van de EDR-killers niet heel nieuw is, wordt het steeds gerichter en op grotere schaal toegepast. De tools die het digitale dievengilde inzet kunnen, na inbraak tot op het kernel niveau (de diepste laag van een besturingsysteem) relatief eenvoudig EDR-software van de grootste security-aanbieders uitschakelen. Denk hierbij aan Sophos, Trend Micro, Kaspersky en Bit Defender, meldt The Register.
Interessant is dat elke aanval met een eigen versie van een EDR-killer gebeurt. Dit zorgt er voor dat het voor de verdedigende partijen lastig wordt om een standaard EDR-killer te herkennen.
Daarnaast wordt ook gebruikt gemaakt van een 'Bring Your Own Vulnerable Driver (BYOVD)'-aanval. Hierbij gebruikt de crimineel een legitiem maar kwetsbaar stuurprogramma dat in de kernel wordt geladen en misbruikt. Via deze aangepaste driver krijgt de aanvaller de diepe toegang die vereist is, waarna hij de EDR-software kan uitschakelen en vervolgens rustig en ongezien data kan verzamelen en via het netwerk de aanval kan opschalen.
Geen malware? geen probleem
Opvallend genoeg maken sommige aanvallers geen gebruik van speciaal ontworpen kwaadaardige software en drivers, maar van legitieme software. Zo werd een tijdje geleden bekend dat bepaalde ransomwareaanvallen HRSword gebruikten, een legitiem verkrijgbaar commercieel product dat, je raadt het al, gebruikt kan worden om EDR uit te schakelen. Ook zijn criminelen soms zo brutaal dat ze gewoon software van de securityleverancier zelf gebruiken om de EDR uit te schakelen.
Het gebruikmaken van een normaal stuk software, geeft aanvallers het voordeel dat deze minder snel opvalt en niet of nauwelijks herkend wordt als 'verdacht' door beveiligingssoftware. Dit maakt het extra moeilijk om dergelijke aanvallen te detecteren en te stoppen.
Het grootste gevaar van het toenemende gebruik van dit soort EDR-killers, is dat de kwaadwillenden niet alleen ongezien op een computer aan de gang kunnen, maar dankzij de kernel-toegang die ze al hebben gekregen enorme schade kunnen aanrichten. Ze kunnen bijvoorbeeld misbruik maken van de grotendeels onbewaakte communicatiepaden tussen verschillende systemen, waardoor ze ook dieper in netwerken en op andere gevoelige systemen terecht kunnen komen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonneeHet feit dat aanvallers tot in het end-point kunnen komen, betekent dat de verdediging van meerdere andere lagen reeds gefaald heeft of misschien zelfs afwezig was. Als organisaties zorgen voor real-time in-line scanning op kwaadaardigheid van alles wat de organisatie in gaat (via web forms, API's etc.) dan scheelt dat al een heel stuk kans op succes bij een aanval. Hiervoor dien je natuurlijk wel een scanner te gebruiken die -vrijwel- niet vertraagt en ook onbekende kwaadaardigheid herkent. Als diezelfde scanfunctie -in andere vorschijningsvorm- daarnaast dan ook nog op de end-points in-memory draait, dan wordt het min of meer onmogelijk om dit soort aanvallen succesvol uit te voeren. Scripts, shell-commands, files, malware, het wordt dan allemaal herkend en de aanval wordt in de kiem gesmoord. denk bv. aan data stealers, back-doors, trojans, gniepige scriptjes waarvan er maar één bestaat in de wereld, gemanipuleerde drivers etc.
Lezers welke een simpele uitleg willen wat je tegen dit soort aanvallen kunt doen, kunnen sharing_secrets.pdf bekijken op https://drive.proton.me/urls/EZG7CJ3PSW#kK69FqVn7KOS Het is een simpele uitleg hoe overheden geheime data veilig delen. Op https://drive.proton.me/urls/6F113ZQFX4#KjX1NulrcUS5 (Apple) en https://drive.proton.me/urls/FFXTYKA9JC#GvOY0mJ438RU (Linux) is software te downloaden waarmee sterke Quantum Random wachtwoorden gegenereerd kunnen worden en informatie beveiligd kan worden conform de NL Universiteitsstandaard. Op beveiligde informatie met deze Quantum Random wachtwoorden zijn ransomware aanvallen onmogelijk. Op https://drive.proton.me/urls/MVWQRHJRM8#Sr5gC40B7iUX is een test van de Apple standaard pseudo-random generator te vinden. Zoals te zien is in de test resultaten faalt de Apple pseudo-random generator totaal. Een goede True Quantum Random Generator is te adviseren voor veilige passwords. Pseudo-random generatoren kunnen geen echt onvoorspelbare passwords genereren. Voor geinteresseerden in Quantum Techniek is een minor opgezet. Uitgebreide achtergrond info: https:// drive .proton .me /urls /2NR3CP 9RK0#eWFcc xCCuX7j (alle spaties in de link verwijderen)