Wat je moet weten over computeraanvallen
Computeraanvallen. Wat zijn ze en waarom zou je je druk maken?
Heb je ooit gemerkt hoe softwareontwikkelaars hun software continu aan het patchen en updaten zijn—soms dagen na de initiële software-uitgave al updates vrijgevend?
Dat komt omdat elk stukje software dat je bezit en ooit zult bezitten in je leven kwetsbaarheden heeft die cybercriminelen kunnen vinden en uitbuiten—in andere woorden, 'exploiteren'. Er is niet zoiets als exploit-vrije software—er zullen altijd gaten zijn. Computer software is ongeveer zo solide als een blok Zwitserse kaas.
Door middel van exploits kunnen cybercriminelen toegang krijgen tot je computer en gevoelige informatie stelen of malware installeren. Ondanks een afname in exploitactiviteit blijven cybercriminelen terugvallen op deze sluipende aanvalsmethode. Met dat in gedachten is dit het perfecte moment om onszelf te informeren over het onderwerp van exploits en ons dienovereenkomstig te beschermen. Scroll dus naar beneden, lees verder en leer alles wat je moet weten over computeraanvallen.
Wat is een exploit? Exploit-definitie
Een computer exploit is een type malware dat misbruik maakt van bugs of kwetsbaarheden, die cybercriminelen gebruiken om ongeoorloofde toegang tot een systeem te verkrijgen. Deze kwetsbaarheden zijn verborgen in de code van het besturingssysteem en zijn applicaties, wachtend om ontdekt en gebruikt te worden door cybercriminelen. Vaak misbruikte software omvat het besturingssysteem zelf, browsers, Microsoft Office en applicaties van derden. Soms worden exploits verpakt door cybercriminele groepen in wat een exploitkit wordt genoemd. Exploitkits maken het makkelijker voor criminelen met beperkte technische kennis om exploits te gebruiken en malware te verspreiden.
Om beter te begrijpen wat exploits zijn, kan het helpen om te denken aan de dure fiets- en laptopcylindersloten die in het begin van de jaren 2000 populair waren. Mensen betaalden meer dan $50 voor deze sloten, in de veronderstelling dat de sloten hun waardevolle eigendommen beveiligden, totdat iemand een video online zette waarin werd getoond hoe deze sloten in enkele seconden konden worden gepickt met een goedkope en overal verkrijgbare Bic-pen.
Dit dwong de slotenmakers om hun sloten te updaten en consumenten moesten upgraden naar de nieuwe pick-proof sloten. Dit is een tastbare exploit van een fysiek beveiligingssysteem. Zoals het van toepassing is op software, zijn cybercriminelen op zoek naar slimme trucs, net zoals de Bic-pen kerel, die hen toegang zullen geven tot computers, mobiele apparaten en netwerken van anderen.
Exploit aanvallen beginnen vaak met malspam en drive-by downloads. Cybercriminelen misleiden nietsvermoedende slachtoffers om een geïnfecteerde e-mailbijlage te openen of op links te klikken die naar een schadelijke website leiden. Geïnfecteerde bijlagen, vaak een Word-document of PDF, bevatten exploitcode die ontworpen is om gebruik te maken van zwakke plekken in applicaties.
Drive-by downloads maken gebruik van kwetsbaarheden in je browser, zoals Internet Explorer of Firefox bijvoorbeeld, of de plug-ins die binnen je browser draaien, zoals Flash. Je kunt een website bezoeken die je in het verleden veilig hebt bezocht, maar deze keer is de website gehackt en je zult het niet eens weten. Alternatief kun je op een schadelijke link in een spam e-mail klikken die je naar een gespoofde versie van een bekende website brengt.
En in bijzonder lastige gevallen kun je een legitieme website bezoeken die een advertentie of pop-up weergeeft die geïnfecteerd is met malware—ook wel bekend als malvertising. Bij het bezoeken van de site werkt de schadelijke code op de webpagina onzichtbaar op de achtergrond om malware op je computer te laden.
Cybercriminelen gebruiken exploits als middel voor een kwaadaardig doel, variërend van irritant probleem tot verlamd hinderlijk. Cybercriminelen kunnen proberen je computerbronnen in te zetten in een zombie botnet voor de doeleinden van een DDoS-aanval of om Bitcoin te minen (cryptojacking).
Cybercriminelen kunnen ook proberen adware te installeren en je bureaublad met advertenties te overspoelen. Ze kunnen op je systeem willen inbreken en gegevens stelen of malware installeren om stiekem gegevens van je te verzamelen over tijd (spyware). Ten slotte kunnen cybercriminelen malware installeren die al je bestanden versleutelt en betaling eisen in ruil voor de encryptiesleutel (ransomware).
Wat is een zero-day exploit?
Zero-day! De ene dag per jaar dat we de nederige kleine nul erkennen. Als dat maar waar was. Eigenlijk is een zero-day exploit, ook bekend als een zero-hour exploit, een softwarekwetsbaarheid waarvan niemand behalve de cybercrimineel die het heeft gemaakt, op de hoogte is en waarvoor er geen beschikbare oplossing is. Zodra een exploit publieke kennis wordt, is het niet langer een zero-day. Soms wordt een bekende exploit aangeduid als een n-day exploit, wat betekent dat er één of meer dagen zijn verstreken sinds de exploit werd bekendgemaakt.
Zodra een zero-day exploit publieke informatie wordt, zijn softwaremakers in een race tegen criminelen om de exploit te patchen voordat criminelen hiervan kunnen profiteren en er de vruchten van kunnen plukken. Gelukkig hebben onderzoekers gewetens. Als onderzoekers een exploit vinden voordat criminelen dat doen, zullen de onderzoekers meestal het probleem aan de fabrikant rapporteren en hen de kans geven om het te verhelpen voordat ze het publiek (en de criminelen) hiervan op grote schaal op de hoogte brengen.
Proactief naar exploits zoeken is een sport geworden voor sommige hackers. Op de jaarlijkse Pwn2own wedstrijd verdienen exploit experts geldprijzen en prijzen voor het succesvol hacken van populaire software in meerdere categorieën, waaronder webbrowsers en bedrijfsapplicaties. Als demonstratie van hun interesse in softwarebeveiliging, sponsorden Microsoft en VMware het Pwn2own-evenement in 2018.
Over softwaremakers die proactief zijn in het vinden en repareren van exploits zegt David Sanchez, Malwarebytes Principal Research Engineer: "Het is waar dat Microsoft en andere softwaremakers heel hard werken om hun applicaties zoals Office te beveiligen en het is moeilijk geworden om ze te misbruiken - bijna onmogelijk. Security jongens en cybercriminelen vinden nog steeds een manier om ze met succes te misbruiken. 100 procent beveiliging is slechts een illusie, maar Malwarebytes apps beschermen mensen zo dicht mogelijk bij die 100 procent."
"100 procent veiligheid is slechts een illusie. Malwarebytes apps beschermen mensen zo dicht mogelijk bij die 100 procent."
- David Sanchez
Malwarebytes Principal Research Engineer
Geschiedenis van computeraanvallen
Exploits zijn zo oud als de computer zelf. Zoals we al eerder hebben aangegeven, heeft alle software kwetsbaarheden en er zijn door de jaren heen enkele echte krakers geweest. Hier is een kort overzicht van enkele van de meer opmerkelijke computeraanvallen.
Onze verkenning van de grootste (d.w.z. slechtste) exploits ter wereld begint in 1988 met de Morris worm, een van de eerste computera worms en exploits. Genoemd naar zijn maker Robert Tappan Morris, was de gelijknamige worm ontworpen om te achterhalen hoe groot het internet was in die vroege vormingsjaren door gebruik te maken van verschillende kwetsbaarheden om toegang te krijgen tot accounts en het aantal computers met een netwerkverbinding vast te stellen.
De worm liep uit de hand en infecteerde computers meerdere keren, waarbij meerdere kopieën van de worm gelijktijdig werden uitgevoerd totdat er geen middelen meer over waren voor legitieme gebruikers. De Morris worm was effectief een DDOS-aanval geworden.
De SQL Slammer worm nam de wereld in 2003 stormenderhand in, waarbij ergens rond de 250.000 servers die Microsoft's SQL Server software draaiden in zijn botnet werden opgenomen. Zodra een server was geïnfecteerd, gebruikte het een willekeurige aanvalsstijl, genereerde het willekeurige IP-adressen en stuurde daar geïnfecteerde code naartoe. Als de doelserver SQL Server geïnstalleerd had, zou het ook geïnfecteerd worden en aan het botnet toegevoegd worden. Als resultaat van SQL Slammer werden er 13,000 Bank of America geldautomaten offline gehaald.
De Conficker worm van 2008 is opmerkelijk om een paar redenen. Ten eerste sleepte het veel computers in zijn botnet—naar verluidt 11 miljoen apparaten op zijn hoogtepunt. Ten tweede populariseerde Conficker een soort misleiding die virussen gebruiken om detectie te vermijden, Domain Generating Algorithm (DGA) genoemd. Kort gezegd stelt de DGA-techniek malware in staat om eindeloos te communiceren met zijn command and control server (C&C) door nieuwe domeinen en IP-adressen te genereren.
Ontworpen om Iran's nucleaire programma aan te vallen, maakte de 2010 Stuxnet worm gebruik van meerdere zero-day kwetsbaarheden in Windows om toegang tot een systeem te krijgen. Van daaruit kon de worm zichzelf repliceren en zich van het ene systeem naar het andere verspreiden.
Ontdekt in 2014, werd de Heartbleed exploit gebruikt om het encryptiesysteem aan te vallen dat computers en servers in staat stelt om privaat heen en weer te communiceren. Met andere woorden, cybercriminelen konden de exploit gebruiken om je digitale gesprek af te luisteren. Het encryptiesysteem, genaamd OPEN SSL, werd gebruikt op 17,5% of half a million 'veilige' web servers. Dat is een hoop kwetsbare data.
Omdat dit een probleem is voor de websites die je bezoekt (server-side), in plaats van een probleem op je computer (client-side), is het aan netwerkbeheerders om deze exploit te patchen. De meeste gerenommeerde websites hebben deze exploit jaren geleden gepatcht, maar niet allemaal, dus het is nog steeds een probleem om bewust van te zijn.
2017 was een topjaar voor ransomware. De WannaCry en NotPetya ransomware aanvallen maakten gebruik van de EternalBlue/DoublePulsar Windows-exploits om op slinkse wijze computers binnen te komen en data gegijzeld te houden. Gezamenlijk veroorzaakten deze twee aanvallen $18 miljard aan schade wereldwijd. De NotPetya aanval verlamde tijdelijk—onder vele anderen—een Cadbury chocoladefabriek en de maker van Durex condooms. Hedonisten overal ter wereld hielden hun collectieve adem in tot de exploit was gepatcht.
De Equifax-aanval van 2017 had voorkomen kunnen worden als het kredietbureau meer had gedaan om hun software up-to-date te houden. In dit geval was de softwarefout die cybercriminelen gebruikten om in te breken in het Equifax-datanetwerk al bekend en een patch was beschikbaar. In plaats van de boel te patchen, stond Equifax met hun verouderde software cybercriminelen toe persoonlijke informatie van honderdduizenden Amerikaanse klanten te stelen. "Bedankt."
Voordat jullie Apple-gebruikers daar denken dat Macs niet vatbaar zijn voor exploit-gebaseerde aanvallen, bedenk dan de huiveringwekkende 2017 root bug die cybercriminelen simpelweg de mogelijkheid gaf om het woord "root" in het gebruikersnaamveld in te voeren en twee keer op return te drukken om volledige toegang tot de computer te krijgen. Die bug werd snel opgelost voordat cybercriminelen ervan konden profiteren, maar dit laat wel zien dat elke software kwetsbare bugs kan hebben. Zoals we meldden, zijn Mac-exploits in opkomst. Eind 2017 waren er 270 procent meer unieke bedreigingen op het Mac-platform dan in 2016.
De laatste tijd is er weinig nieuws op het gebied van browser-exploits. Aan de andere kant zijn Office-exploitkits in opkomst. Sinds 2017 merken we een toename in het gebruik van Office-gebaseerde exploitkits. Het was in de herfst van dat jaar dat we voor het eerst verslag deden van meerdere innovatieve Word-exploits, waaronder een verborgen in nep IRS-mededelingen en een andere zero-day aanval verborgen in Word-documenten — die van het slachtoffer weinig tot geen interactie vereisen om te activeren.
We zien nu een nieuw type Office-exploitkit dat niet afhankelijk is van macro's; d.w.z. speciale code ingebed in het document om zijn vuile werk te doen. Deze exploitkit gebruikt in plaats daarvan het document als afleidingsmanoeuvre terwijl een automatische download plaat vindt die de exploit inzet.
Recentelijk zijn cybercriminelen bezig met het inzetten van fileless malware, zo genoemd omdat dit type malware niet afhankelijk is van code die op de doelcomputer is geïnstalleerd om te werken. In plaats daarvan maakt fileless malware misbruik van de applicaties die al op de computer geïnstalleerd zijn, waardoor de computer effectief tegen zichzelf en andere computers wordt gebruikt.
"Fileless malware maakt misbruik van de applicaties die al op de computer geïnstalleerd zijn, waardoor de computer effectief tegen zichzelf en andere computers wordt gebruikt."
Exploits op mobiele apparaten: Android en iOS
Het grootste probleem voor mobiele gebruikers is het installeren van apps die niet door Google en Apple zijn goedgekeurd. Het downloaden van apps buiten de Google Play Store en Apple App Store betekent dat de apps niet door de desbetreffende bedrijven zijn gekeurd. Deze onbetrouwbare apps kunnen proberen kwetsbaarheden in iOS/Android uit te buiten om toegang te krijgen tot je mobiele apparaat, gevoelige informatie te stelen en andere schadelijke acties uit te voeren.
Hoe kan ik mezelf beschermen tegen exploits?
Exploits kunnen eng zijn. Betekent dit dat we onze routers uit het raam moeten gooien en doen alsof het de pre-internet computer Donkere Middeleeuwen zijn? Zeker niet. Hier zijn een paar tips als je proactief wilt zijn over exploit bescherming.
- Blijf up-to-date. Update je regelmatig je besturingssysteem en alle verschillende applicaties die je hebt geïnstalleerd? Als je nee hebt geantwoord, kun je een potentieel slachtoffer zijn voor cybercriminelen. Nadat een zero-day exploit bekend wordt bij de softwareleverancier en een patch is uitgebracht, ligt de verantwoordelijkheid bij de individuele gebruiker om hun software te patchen en updaten. In feite worden zero-day exploits gevaarlijker en wijdverbreider nadat ze publieke kennis zijn geworden, omdat een bredere groep aan bedreigingsactoren misbruik maken van de exploit. Check terug bij je software providers en kijk of er updates of patches beschikbaar zijn. Als mogelijk, ga naar je software-instellingen en zet automatische updates aan zodat deze updates automatisch op de achtergrond plaatsvinden zonder enige extra inspanning van jouw kant. Dit zal de hoeveelheid vertragings tijd tussen wanneer een kwetsbaarheid wordt aangekondigd en wanneer het gepatcht wordt elimineren. Cybercriminelen aas op mensen die vergeten of niet weten dat ze hun software moeten updaten en patchen.
- Upgrade je software. In sommige gevallen wordt een softwaretoepassing zo oud en onhandelbaar dat de softwaremaker stopt met het ondersteunen ervan (abandonware), wat betekent dat eventuele extra bugs die worden ontdekt niet worden verholpen. Naar aanleiding van het vorige advies, zorg ervoor dat je software nog steeds door de maker wordt ondersteund. Als dat niet het geval is, upgrade dan naar de nieuwste versie of schakel over naar iets anders dat hetzelfde doet.
- Blijf veilig online. Zorg ervoor dat Microsoft SmartScreen of Google Safe Browsing ingeschakeld is voor de browser die je gebruikt. Je browser zal elke site die je bezoekt controleren tegen de door Microsoft en Google onderhouden zwarte lijsten en je wegleiden van sites die bekend staan om het verspreiden van malware. Effectieve anti-malwaretools zoals Malwarebytes blokkeren ook slechte sites, waardoor je meerdere lagen van bescherming hebt.
- Gebruik het of verlies het. Hackers blijven hacken. Daar kunnen we niet veel aan doen. Maar als er geen software is, is er geen kwetsbaarheid. Als je de software niet meer gebruikt—verwijder het dan van je computer. Hackers kunnen niet inbreken in iets dat er niet is.
- Installeer geautoriseerde apps. Om veilig te blijven op je mobiele apparaat, houd je aan geautoriseerde apps. Er zijn momenten dat je misschien buiten de App Store en Google Play Store wilt gaan, zoals wanneer je een nieuwe app bètatest, maar je moet er dubbel van overtuigd zijn dat je de app-maker vertrouwt. Over het algemeen gesproken, houd je echter aan goedgekeurde apps die door Apple en Google zijn getoetst.
- Gebruik anti-exploit software. Dus je hebt alle noodzakelijke voorzorgsmaatregelen genomen om aanvallen op basis van exploits te vermijden. Maar wat te doen bij zero-day exploits? Vergeet niet, een zero-day exploit is een softwarekwetsbaarheid die alleen cybercriminelen kennen. Er is niet veel dat we kunnen doen om ons te beschermen tegen bedreigingen die we niet kennen. Of tóch wel? Een goed anti-malwareprogramma, zoals Malwarebytes voor Windows, Malwarebytes voor Mac, Malwarebytes voor Android, of Malwarebytes voor iOS, kan proactief schadelijke software herkennen en blokkeren die kwetsbaarheden op jouw computer probeert te misbruiken met behulp van heuristische analyse van de aanval. Met andere woorden, als het verdachte softwareprogramma is gestructureerd en zich gedraagt als malware, dan zal Malwarebytes het markeren en in quarantaine plaatsen.
Hoe beïnvloeden exploits mijn bedrijf?
Op veel manieren vormt jouw bedrijf een hoger waarde doelwit voor cybercriminelen en exploits dan de individuele consument—meer gegevens om te stelen, meer om losgeld voor te vragen, en meer eindpunten om aan te vallen.
Neem bijvoorbeeld de Equifax-datalek. In dit geval gebruikten cybercriminelen een exploit in Apache Struts 2 om toegang te krijgen tot het netwerk van Equifax en hun gebruikersrechten te escaleren. Zodra de aanvallers op het netwerk waren, maakten ze zichzelf tot systeembeheerders, waardoor ze toegang kregen tot gevoelige gegevens van miljoenen consumenten. Niemand kent de volledige gevolgen van de Equifax-aanval, maar het kan het kredietbureau miljoenen dollars kosten. Er is een class action rechtszaak in de maak en individuen klagen Equifax aan bij de kantonrechter, waarbij ze tot wel $8.000 per zaak winnen.
Naast privilege-escalatie kunnen exploits worden gebruikt om andere malware te implementeren—zoals gebeurde bij de NotPetya-ransomware-aanval. NotPetya verspreidde zich over het internet en viel zowel individuen als bedrijven aan. Met de EternalBlue en MimiKatz Windows-exploits kreeg NotPetya een voet tussen de deur op een netwerk en verspreidde zich van computer tot computer, waarbij elk eindpunt werd vergrendeld, gebruikersgegevens werden versleuteld en het bedrijf tot stilstand werd gebracht. Computers, smartphones, VOIP-bureautelefoons, printers en servers werden allemaal nutteloos. De totale schade aan bedrijven wereldwijd wordt geschat op 10 miljard dollar.
Dus hoe kun je je bedrijf beschermen? Je moet de zwaktes in je systeem elimineren met een goed patch management strategie. Hier zijn wat dingen om in gedachten te houden terwijl je uitzoekt wat het beste is voor je netwerk.
- Implementeer netwerksegmentatie. Het verspreiden van je data over kleinere subnetwerken verkleint je aanvalsvlak—kleinere doelen zijn moeilijker te raken. Dit kan helpen om een inbreuk te beperken tot slechts enkele eindpunten in plaats van je gehele infrastructuur.
- Pas het principe van de minste bevoegdheid (PoLP) toe. Kortom, geef gebruikers het toegangsniveau dat ze nodig hebben om hun werk te doen en niets meer. Dit helpt weer om de schade van inbraken of ransomware-aanvallen te beperken.
- Blijf up-to-date met updates. Houd Patch Tuesday in de gaten en plan daar omheen. Het Microsoft Security Response Center onderhoudt een blog met alle laatste update-informatie. Je kunt je ook abonneren op hun e-mailnieuwsbrief om op de hoogte te blijven van wat er elke maand wordt gepatcht.
- Prioriteer je updates. De dag na Patch Tuesday wordt soms gekscherend Exploit Wednesday genoemd. Cybercriminelen zijn zich bewust geworden van mogelijke exploits en het is een race tegen de klok om de systemen te updaten voordat zij een kans krijgen om aan te vallen. Om het patchproces sneller te laten verlopen, kun je overwegen om updates op elke eindpunt te starten vanaf één centrale agent, in plaats van het aan elke eindgebruiker over te laten om het zelf te regelen.
- Controleer je updates achteraf. Patches horen software te repareren, maar soms breken ze dingen juist. Het is de moeite waard om te checken of de patches die je op je netwerk hebt doorgevoerd niets hebben verslechterd en, indien nodig, ze te verwijderen.
- Doe weg met ‘abandonware’. Soms is het moeilijk om oude software te verwijderen die voorbij de houdbaarheidsdatum is—vooral in een groot bedrijf waar de aankoopcyclus met de snelheid van een luiaard beweegt. Maar stopgezette software is echt het slechtste scenario voor elke netwerksysteembeheerder. Cybercriminelen zijn actief op zoek naar systemen die verouderde en obsolete software gebruiken, dus vervang deze zo snel mogelijk.
- Natuurlijk is goede beveiligingssoftware voor eindpunten een essentieel onderdeel van elk beveiligingsprogramma tegen uitbuiting. Denk eens aan Malwarebytes. Met Malwarebytes Endpoint Protection en Malwarebytes Endpoint Detection and Response, hebben we een oplossing voor alle uw zakelijke beveiligingsbehoeften.
Tot slot, als dit alles uw honger naar kennis over exploits niet heeft gestild, kan u altijd meer lezen over exploits op de Malwarebytes Labs blog.
Nieuws over exploits
- Log4j zero-day "Log4Shell" komt net op tijd om uw weekend te verpesten
- Windows Kwetsbaarheid in Installer wordt actief uitgebuit zero-day
- Nu patchen! Exchange-servers aangevallen door zero-days van Hafnium
- Ontdekking zero-day Zoom maakt gesprekken veiliger, hackers $200.000 rijker
- Android Patches voor 4 in-the-wild bugs zijn uit, maar wanneer krijgt u ze?
- Onderneem actie! Meerdere Pulse Secure VPN kwetsbaarheden in het wild uitgebuit
- Update nu! Chrome patcht zero-day die in het wild werd uitgebuit
- Grote patchdinsdag: Microsoft en Adobe repareren in-the-wild exploits
- Update uw iOS nu! Apple verhelpt drie zero-day kwetsbaarheden
- Een zero-day gids voor 2020: Recente aanvallen en geavanceerde preventieve technieken
Exploitkit-beoordelingen:
Exploitkits: overzicht lente 2019
Exploitkits: overzicht winter 2019
Exploitkits: overzicht herfst 2018
Exploitkits: overzicht zomer 2018
Exploitkits: overzicht lente 2018
Exploitkits: overzicht winter 2018
Lees meer nieuws over exploits en kwetsbaarheden op de blog Malwarebytes Labs .