Zo gijzel je een netwerk, in twaalf stappen

Het zou een flauwe mop kunnen zijn: hoe krijg je een systeembeheerder zover om zijn of haar wachtwoord prijs te geven? Boots op een gehackte computer een storing na, waardoor de gebruiker de IT-helpdesk belt. Om deze nepstoring te verhelpen voert de helpdeskmedewerker een beheerderswachtwoord in, daarbij gadegeslagen door de indringer.

Geen mop dus, legt cybersecurityexpert Frank Groenewegen van Fox-IT uit, maar één van de trucs die hackers toepassen als ze zich een weg banen in bedrijfsnetwerken: van de ene computer naar de andere springend, op zoek naar de cruciale plek die toegang biedt tot alle netwerkonderdelen. Om vanaf daar in één handomdraai een complete organisatie te gijzelen. Dat overkwam de Maastricht University vorige maand: net voor de kerstvakantie bleken alle belangrijke bestanden versleuteld en servers geblokkeerd. Inmiddels werken de systemen weer. De universiteit wil berichten dat er tonnen aan losgeld betaald is niet bevestigen. Fox-IT doet ook geen mededelingen over de specifieke hack in Maastricht omdat het bedrijf de aanval nog onderzoekt.

De hack van de universiteit is een voorbeeld van ransomware. Deze vorm van criminaliteit is uitgegroeid tot professioneel maatwerk. Het begon als eenworm die in theorie elke computer kon treffen. Berucht is de uitbraak van WannaCry in 2017. Een variant daarop was NotPetya – een worm, vermomd als ransomware die zich automatisch een weg baande in bedrijfsnetwerken en zo bijvoorbeeld transportbedrijf Maersk platlegde.

Na deze lukrake aanvallen ontdekten cybercriminelen dat er veel te verdienen is aan gerichte ransomware-aanvallen. Hun aanpak lijkt op de manier waarop geavanceerde inbrekers - ethische hackers of spionnen – netwerken penetreren.

Ze kijken waar ze toegang kunnen krijgen en hun slag kunnen slaan. Liefst bij grote bedrijven omdat daar veel geld te verdienen is

Frank Groenewegen Fox-IT

NRC sprak met experts van Fox-IT, KPN Security, NFIR en het Nationaal Cyber Security Centrum over ‘big game hunting’, zoals cybercriminelen hun werk noemen. Het is jagen op groot wild. „Ze kijken waar ze toegang kunnen krijgen en hun slag kunnen slaan. Liefst bij grote bedrijven omdat daar veel geld te verdienen is”, zegt Groenewegen.

Hoewel groepen van cybercriminelen elk hun eigen modus operandi en favoriete gereedschappen hebben, zijn er overeenkomsten in hun aanpak. De eerste fases van de hack gaan grotendeels geautomatiseerd, daarna wordt overgeschakeld op handwerk. Dat vergt kennis en geduld. Groenewegen: „We hebben gezien dat hackers zich langer dan een half jaar verscholen om zeker te zijn dat alle backups gesaboteerd waren.” Dan zit er voor het slachtoffer maar één ding op: betalen.

Een tactisch feestje

Hoe hack je een netwerk? Je kunt de aanpak vergelijken met iemand die als nieuweling op een feestje binnenkomt. Je kent er niemand, maar ziet wel dat het leukste gezelschap zich helemaal aan de andere kant van het feest bevindt, in een aparte ruimte. Om daar binnen te komen, moet je eerst kennismaken met andere feestgangers en hun vertrouwen winnen.

Een manier om de tactiek in kaart te brengen is het aanvalsschema van mitre.org: twaalf verschillende stappen die ook ethische hackers doorlopen om te testen hoe robuust een netwerk is. Dit is een vereenvoudigde samenvatting. In de praktijk worden de stappen vaak gecombineerd of herhaald.

1. Toegang verwerven tot machine

Phishing – een nepmail – is een veelgebruikte methode om computers te hacken, net als kwaadaardige code in websites of webadvertenties. Gekraakte machines worden op grote schaal verhandeld via zogeheten ‘RDP-shops’. Rik van Duijn van KPN Security laat zien op welk soort sites je voor een paar tientjes toegang kunt kopen tot een machine waarbij het remote desktop protocol van Windows open staat voor de buitenwereld en het wachtwoord gekraakt is.

Cybercriminelen kunnen zoeken naar ‘interessante’ gekraakte computers – van bedrijven of instellingen met een grote omzet. Van Duijn vindt al snel een Nederlandse server, in Leeuwarden. Kosten: 16 euro.

2. Uitvoeren in het geheim

De hacker probeert onderhuids scripts en code uit te voeren, zonder ontdekt te worden door de gangbare controlemechanismes. Powershell is een krachtig Windows-gereedschap dat vaak misbruikt wordt. In deze fase wordt al voorzichtig de omgeving van de geïnfecteerde computer verkend, op zoek naar kwetsbaarheden en waardevolle data.

3. Volhouden

Om een veroverde positie te behouden moet de hacker verborgen aanpassingen doen in (opstart-) procedures, gebruikeraccounts of het Windows-register. Een bootkit kan de computer om de tuin leiden vanaf de allereerste start van de harde schijf. Zo houdt de hacker ook na een herstart toegang. In de praktijk is de meeste kwaadaardige software al ‘persistent’.

4. Hogere rechten verwerven

De rechten van een gewone computergebruiker zijn beperkt – de hacker aast op beheerdersrechten op de besmette machine. Bijvoorbeeld door de gebruiker uit te lokken om het beheerderswachtwoord in te voeren of programma’s te dwingen om op een hoger niveau te opereren. Het komt voor dat alle laptops hetzelfde beheerderswachtwoord hebben – zelfs die van de ‘allerhoogste’ systeembeheerder. Een andere truc: de nep-storing om een helpdeskmedewerker naar een besmette pc te lokken.

5. Verdediging omzeilen

Om een antivirussysteem om de tuin te leiden wordt misbruik gemaakt van digitale certificaten, waardoor kwaadaardige software legitiem lijkt. Een andere manier om opsporing te voorkomen is antivirus helemaal uit te schakelen, bestanden te vermommen of code buiten de gebruikersaccount om uit te voeren.

6. Inloggegevens stelen

Wachtwoorden kunnen uit het geheugen van de computer gevist worden, of via keyloggers die elke toetsenbordaanslag opslaan. Zwakke wachtwoorden kun je met brute rekenkracht raden. Vaak slingeren er wachtwoorden in bestanden en scripts op gedeelde netwerkschijven. Met zogeheten tweefactorauthenticatie is alleen een wachtwoord niet voldoende om in te loggen maar er zijn manieren om die extra beveiliging te omzeilen. Een wachtwoordmanager – een kluis voor alle belangrijke inloggegevens – kan te openen zijn, als de hacker achterhaalt wie toegang die kluis heeft.

7. Verkenning van het netwerk

Veel organisaties gebruiken Active Directory van Microsoft om hun netwerk in te richten. Hoe beter de cruciale netwerkonderdelen van de gewone gebruikersaccount gescheiden zijn, hoe lastiger het voor inbrekers wordt. De hacker inventariseert of er meerdere netwerkdomeinen zijn, gaat op zoek naar de onderlinge vertrouwensrelaties, scant servers op bekende kwetsbaarheden en open poorten, zoekt naar gebruikte clouddiensten, accountnamen, wachtwoordbeleid en actieve beveiligingssystemen. Hiervoor worden dezelfde gereedschappen gebruikt die ethische hackers inzetten voor netwerktests.

8. Sprong naar ander systeem

Met een ‘laterale beweging’ in een netwerk zoekt de hacker naar een andere computer met hogere rechten. De hacker installeert bijvoorbeeld software voor beheer op afstand, of gebruikt bestaande gegevens om minder op te vallen. Via spearphishing (nepmail verzonden vanaf de computer van een vertrouwde collega) kan een buitenstaander toch op de computer van een systeembeheerder komen. Als er geen verbinding met het internet is kan kwaadaardige software via een usb-stick toch op andere pc’s belanden.

9. Data verzamelen

De hacker probeert informatie te verzamelen: waardevolle documenten, mail, toetsenbordaanslagen, audio- en video-opnames en schermafbeeldingen. Voor ransomware moet de hacker weten wat het backup-beleid is en hoe lang het duurt voordat de fysieke backups op tape onklaar gemaakt kunnen worden. Backups in de cloud zijn ook niet veilig, als de wachtwoorden vindbaar zijn.

10. Beheer op afstand

Om controle te houden over het netwerk moet de hacker op afstand commando’s versturen zonder dat dat opvalt in het netwerk. Bijvoorbeeld door veelgebruikte netwerkpoorten te kiezen, dataverkeer te versleutelen of onzindata toe te voegen. Ook de oorsprong van het netwerkverkeer kan verdoezeld worden om te voorkomen dat monitoringsystemen de command & control-server ontdekken en blokkeren. Overigens draait op lang niet alle bedrijfsnetwerken adequate monitorsoftware.

11. Data verzamelen

Als hackers van plan zijn (ook) data te stelen worden de gegevens in het geheim verzameld en verpakt in kleinere bestanden door middel van compressie. Deze gegevens worden vaak in kleine delen opgeknipt en versleuteld verstuurd, om niet op te vallen in het overige netwerkverkeer.

12. De aanslag

Na al het verborgen werk slaan de hackers toe, liefst op een rustig tijdstip. Het encryptieproces kan al in een paar uur achter de rug zijn. In het geval van ransomware worden processen afgesloten, zodat alle bestanden versleuteld kunnen worden. In elke map blijft een leesbaar document achter met het verzoek om losgeld te betalen. Hetzelfde beheergereedschap dat gebruikt wordt om honderden werkplekken tegelijk te configureren, wordt nu ingezet om alle bestanden te versleutelen.

Slecht beheer of bezuinigingen op beheer maken het hackers te makkelijk

Arwi van der Sluijs NIFR

Wat doe je er tegen?

Arwi van der Sluijs van NFIR onderzocht onder meer de ransomware aanval op de gemeente Lochem, vorig jaar. Hij gaat er vanuit dat het beheer bij de Universiteit Maastricht te kort schoot: „Slecht beheer of bezuinigingen op beheer maken het hackers te makkelijk. Er wordt bijvoorbeeld niet gecontroleerd welke netwerkpoorten open staan en de wachtwoorden zijn te simpel te kraken.”

Vaak zijn netwerken wel beschermd tegen aanvallen van buitenaf, maar worden intern te weinig drempels opgeworpen. Microsoft maakte een handleiding hoe je een netwerk opdeelt in meerdere lagen, maar segmenteren van een bestaand systeem is niet eenvoudig. Computers die elkaar alleen kunnen bereiken via de hoogst noodzakelijke poorten zijn een hindernis voor hackers, maar ook voor gebruikers en it-beheerders.

Systeembeheerders zijn zich doorgaans wel bewust van de kwetsbaarheden, maar beschikken over te weinig tijd of het budget is te beperkt om daar iets aan te doen. Het lukt hen niet leidinggevenden te overtuigen van de risico’s van ransomware. Alles werkt toch?

Er zijn ook genoeg slechte gewoonten om af te leren: uitgestelde updates, vergeten servers, verouderde applicaties, backups die op een te toegankelijke plek worden opgeslagen. Andere zwakke plekken: admins die ‘admin’ heten, een lokaal beheerderswachtwoord dat op elke werkplek identiek is en systeembeheerders die toegang hebben tot cruciale onderdelen van het netwerk op dezelfde computer waarop ze e-mail ontvangen en kunnen browsen.

Dankzij anonieme betaalmiddelen als bitcoin kon ransomware uitgroeien tot een succesvolle industrie, met geautomatiseerde diensten die je als cybercrimineel kunt inhuren. Een lijst met gekraakte computers, om te beginnen. Maar ook kant-en-klare ransomwaresoftware en een helpdesk die het losgeld int en na afloop het slachtoffer tipt om het ontsleutelde netwerk eerst eens goed te scannen. Je weet nooit of zich niet nóg een ransomwaregroep heeft genesteld.

Correctie 11-1: de juiste spelling van het beveiligingsbedrijf is NFIR, niet NIFR.