Doorbreek cyber kill chain met endpointbeveiliging

Bij het uitvoeren van een cyberaanval doorlopen aanvallers over het algemeen een aantal vaste stappen. Indien je bekend bent met deze stappen, kan dit de beveiliging van jouw organisatie versterken. Hoe ziet zo’n cyber kill chain eruit en hoe helpt endpointbeveiliging bij het doorbreken van deze keten?

De term kill chain verwijst naar een militair concept waarbij een fysieke aanval in meerdere fasen wordt opgedeeld: van de initiële identificatie tot het uiteindelijke vernietigen van het doelwit. Lockheed Martin presenteerde in 2011 met de cyber kill chain het digitale equivalent, dat de verschillende stappen van een digitale aanval uiteenzet. De cyber kill chain bestaat uit zeven basisstappen die aanvallers altijd moeten nemen bij het uitvoeren van een cyberaanval:

  1. Externe verkenning
    Aanvallers leren in deze stap de zwakke plekken van hun doelwit kennen. Welke aanvalsmethoden leveren de hoogste kans op succes op?
  2. Cyberwapens kiezen
    Deze stap kent veel verschillende vormen. Zo kan op maat gemaakte malware worden ingezet, kunnen kwetsbaarheden worden uitgebuit via onder meer pdf- of Office-bestanden of kunnen zwakke plekken in webapplicaties worden misbruikt. Deze stap draait om het technische mechanisme dat een aanvaller inzet.
  3. Dreiging afleveren
    De derde stap draait om het daadwerkelijk uitvoeren van een aanval tegen een doelwit. Denk hierbij aan het verleiden van een slachtoffer tot het bezoeken van een malafide website of het openen van een malafide bijlage. Denk echter ook aan sql-injecties of het uitbuiten van kwetsbaarheden in verouderde software.
  4. Zwakke plekken uitbuiten
    Nadat de malafide payload is afgeleverd compromitteert deze het doelwit. De aanvallers krijgen hiermee voet tussen de deur bij het slachtoffer. In de praktijk kan de payload een phishingmail zijn, maar ook malware of social engineering.
  5. Permanente toegang verkrijgen
    Aanvallers zijn in de vorige stap van de cyber kill chain het netwerk binnengedrongen. Zij hebben hiermee tijdelijke toegang tot dit netwerk verkregen. In stap vijf creëren zij permanente toegang tot het systeem. Via een backdoor hebben ze dan op ieder willekeurig moment toegang tot het systeem.
  6. Command & control-infrastructuur creëren
    Zodra permanente toegang tot systemen van een slachtoffer is verzekerd, richten de aanvallers zich op het creëren van een betrouwbaar communicatiekanaal. Via dit kanaal kunnen zij hun aanval aansturen en soms ook data extraheren. Dit kanaal wordt ook wel het c&c-kanaal genoemd.
  7. Acties tegen doelwit uitvoeren
    De laatste stap omvat de malafide acties die aanvallers uitvoeren op systemen van slachtoffers. Denk hierbij aan het stelen van inloggegevens of gevoelige data, maar ook aan het meekijken met een webcam.

Te weinig aandacht voor bewegingen van aanvallers

“Opvallend aan de cyber kill chain die Lockheed Martin omschrijft is dat er relatief weinig aandacht is voor bewegingen van aanvallers binnen het netwerk van het slachtoffer”

Opvallend aan de cyber kill chain die Lockheed Martin omschrijft is dat er relatief weinig aandacht is voor bewegingen van aanvallers binnen het netwerk van het slachtoffer. Zo kunnen aanvallers al langere tijd aanwezig zijn op het netwerk voordat zij worden opgemerkt. Deze tijd gebruiken zij voor het verkennen van het netwerk en in kaart brengen van relevante doelen.
Het WatchGuard Threat Lab-team pleit daarom al langer voor een alternatieve variant van de cyber kill chain. Het kiezen van cyberwapens in stap twee maakt in deze versie plaats voor de bewegingen van aanvallers binnen het netwerk van het slachtoffer. Zo is het apparaat waar aanvallers toegang tot krijgen lang niet altijd het uiteindelijke doelwit. In deze alternatieve tweede stap bewegen aanvallers richting hun doelwit.

Gedragsanalyse

Bij nagenoeg elke cyberaanval doorlopen aanvallers de verschillende stappen van de cyber kill chain. Het onderbreken van deze keten kan aanvallers dan ook in de wielen rijden. Endpointbeveiliging (epp) is hiervoor een krachtig middel. Een epp-suite kan allerlei vormen van endpointbeveiliging omvatten. We zoomen in op de wijze waarop een epp-suite verschillende stappen van de cyber kill chain kan doorbreken.

  • Dreiging afleveren

Bij veel aanvallen speelt malware een cruciale rol. Malware kan zijn werk pas doen nadat het op een endpoint is genesteld. Een goede epp-suite merkt een besmetting tijdig op en stopt de dreiging. Het is belangrijk dat een epp-suite niet alleen bekende malware opmerkt, maar juist ook onbekende dreigingen. Gedragsanalyse speelt hierbij een belangrijke rol.

  • Uitbuiten

Zwakke plekken in de beveiliging van software kunnen door aanvallers worden uitgebuit. Epp-suites gaan dit tegen met behulp van anti-exploit-technologieën. Zo kan de software het geheugen van endpoints monitoren op bekende technieken die aanvallers misbruiken voor het uitbuiten van kwetsbaarheden.

  • Command & control

Aanvallers vertrouwen op c&c-infrastructuur voor het aansturen van malware. Sommige epp-suites monitoren netwerkverkeer op verdacht verkeer dat kan duiden op c&c-verkeer. Het blokkeren van dit verkeer verstoort de communicatie tussen de aanvallers en malafide software.

  • Acties tegen doelwit uitvoeren

Idealiter voorkom je dat een endpoint wordt besmet met malware. Lukt dat niet? Dan wil je in ieder geval zeker stellen dat adequaat wordt ingegrepen. Veel epp-suites bevatten endpoint detection & response (edr)-functionaliteiten die hierbij helpen. Edr monitort endpoints en detecteert malafide activiteiten. Zo is direct in te grijpen en verdere schade te voorkomen.
Een epp-suite biedt dus een gelaagde bescherming tegen aanvallen, waarmee je de cyber kill chain kunt doorbreken. Want waar een aanvaller succes moet hebben bij het doorlopen van alle schakels van de keten, doorbreek jij deze keten al indien je de toegang tot slechts één van de schakels weet te stoppen.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses artificial intelligence and machine learning to reduce spam. See how your comment data is processed.

Related posts

General News

Apple users are targeted by an advanced phishing attack to reset their ID password

Apple users are targeted by a sophisticated phishing attack where attackers attempt to reset their Apple ID password. This attack exploits a bug in the Apple ID password reset function, flooding users with fake requests to change their password. Victims are then approached by scammers posing as Apple Support staff, trying to convince them to share the password reset code. This could result in full access to the user's Apple ID and personal data.

Read more

Major security vulnerability discovered in popular 3CX desktop app, extensive explanation and summary.

This blog post discusses a security vulnerability discovered in the popular 3CX desktop app, a software used by many large businesses worldwide. The blog post begins by describing the official 3CX desktop app and how it is used as a replacement for traditional business phone lines. It then delves into the discovery of unexpected malicious activity originating from the 3CX desktop app by security analysts from CrowdStrike. The company's response to the discovery is criticized and the lack of preparedness of many large businesses for malware attacks is highlighted. The blog post continues with a technical explanation of how the security vulnerability works, including the presence of malicious DLL files and the encryption of malicious payloads. The severity of the security vulnerability is emphasized as it can affect hundreds or even thousands of companies using the 3CX desktop app.

Read more

Autodiefstal met USB-kabels

In deze blog bespreken we de ontwikkelingen op het gebied van autodiefstal met USB-kabels. We leggen uit hoe autodieven met deze methode te werk gaan en hoe fabrikanten proberen dit probleem aan te pakken. We bespreken enkele mogelijke oplossingen, waaronder software-updates en fysieke beveiligingsmaatregelen, om deze vorm van autodiefstal te voorkomen.

Read more

Hackers nemen Iraanse televisie over

Hackers hebben onlangs Iraanse live televisie overgenomen en kijkers aangespoord om geld van hun bankrekeningen op te nemen om de valuta van het land te ontwrichten. De hackers roepen op tot opstand tegen de regering.

Read more
You are all caught up, this was the last message.
  • Tags

  • Categories

  • Archives

  • Skip to content