Misbruik monitoring- en beheersoftware leidt vaak tot cyberincidenten

Bijna een derde (30%) van de cyberaanvallen die in 2019 door het Kaspersky Global Emergency Response-team werden onderzocht, gebeurde via legitieme instrumenten voor beheer en administratie op afstand. Hierdoor kunnen aanvallers langer onopgemerkt blijven. Zo hadden continue cyberspionage-aanvallen en diefstal van vertrouwelijke gegevens een mediaanduur van 122 dagen.

Dit blijkt uit Kaspersky's nieuwe Incident Response Analytics Report. Monitoring- en beheersoftware helpen IT- en netwerkbeheerders bij het uitvoeren van hun dagelijkse taken, zoals het oplossen van problemen en het bieden van technische ondersteuning aan medewerkers. Deze legitieme software is ontwikkeld voor normale gebruikersactiviteiten, beheertaken en systeemdiagnostiek. De software wordt echter veelvuldig door cybercriminelen gebruikt om informatie over bedrijfsnetwerken te verzamelen en vervolgens laterale bewegingen uit te voeren, software- en hardware-instellingen te wijzigen of een kwaadaardige actie uit te voeren, zoals klantgegevens versleutelen.

Onder de radar

Het is voor beveiligingsoplossingen moeilijker om dergelijke aanvallen op te sporen. Aanvallers blijven via legitieme software makkelijker onder de radar van veiligheidsanalisten, omdat deze acties zowel deel kunnen uitmaken van een geplande cybercriminaliteit activiteit, als van een reguliere systeembeheerderstaak. Zo wordt de aanval vaak pas gedetecteerd nadat de schade is aangericht. In het segment van de aanvallen die meer dan een maand duurden, hadden de cyberincidenten bijvoorbeeld een gemiddelde duur van 122 dagen.

Aan de andere kant merken experts van Kaspersky op dat in sommige gevallen kwaadaardige acties met legitieme software zich juist vrij snel openbaren. Zoals bij een ransomware-aanval waarbij de schade duidelijk zichtbaar is. De mediane aanvalsduur voor korte aanvallen was een dag.

PowerShell wordt meest misbruikt

In totaal bleek uit de analyse van geanonimiseerde gegevens uit incident response (IR) zaken dat 18 verschillende legitieme instrumenten door aanvallers werden misbruikt voor kwaadaardige doeleinden. De meest gebruikte was PowerShell (25% van de gevallen). Deze krachtige administratietool kan voor vele doeleinden worden gebruikt, van het verzamelen van informatie tot het uitvoeren van malware. PsExec werd in 22% van de aanvallen gebruikt. Deze console-applicatie is bedoeld voor het opstarten van processen op externe eindpunten. Dit werd gevolgd door SoftPerfect Network Scanner (14%), die bedoeld is om informatie over netwerkomgevingen op te halen.

"Het is niet mogelijk om dergelijke hulpmiddelen uit te sluiten om vele redenen. Echter, zal het goed registreren en controleren van systemen helpen om verdachte activiteiten in het netwerk en complexe aanvallen in vroegere stadia te ontdekken", aldus Konstantin Sapronov, Head of Global Emergency Response Team bij Kaspersky.

Incidenten tijdig detecteren

Om dergelijke aanvallen tijdig op te sporen en hierop te reageren, kunnen organisaties overwegen om een Endpoint Detection and Response-oplossing met een MDR-dienst te implementeren. MITRE ATT&CK Round 2 Evaluation kan klanten helpen bij het kiezen van EDR-producten die overeenkomen met de behoeften van hun specifieke organisatie.

Om de kans te minimaliseren dat software voor beheer op afstand wordt gebruikt om door te dringen tot een infrastructuur, adviseert Kaspersky het volgende:

• Beperk de toegang tot externe beheertools vanaf externe IP-adressen. Zorg ervoor dat de interfaces van de bediening op afstand alleen toegankelijk zijn vanaf een beperkt aantal eindpunten.
• Een strikt wachtwoordbeleid afdwingen voor alle IT-systemen en multi-factor authenticatie inzetten.
• Volg het principe om het personeel beperkte privileges te bieden en geef alleen hoog geprivilegieerde accounts aan degenen die dit nodig hebben om hun werk te kunnen doen.

Het volledige Incident Response Analytics Report is hier beschikbaar.