Waar we jou als lezer op de hoogte houden van allerlei ontwikkelingen op ICT-gebied, doen we dat voor onze medewerkers natuurlijk ook. Maandelijks nemen we onze collega’s wel mee in nieuwtjes, worden ze getraind in hun vaardigheden en kennis en laten collega’s hun specialistische werkwereld zien. Graag geeft onze Security Consultant Nick jou als lezer deze keer een inkijkje in de wereld van hacken. 

Hoewel ik samen met mijn collega Jeffrey erg uitkeek naar een nieuwe kennissessie om onze collega's meer te vertellen over hacken, voelde dit ook enigszins tegenstrijdig. Dagelijks zien we in ons SOC (Security Operating Center) namelijk meldingen voorbijkomen van verschillende cyberaanvallen. Maar tijdens deze sessie bevonden we ons plotseling aan de andere kant van het SOC en kregen we de kans om onze eigen testsystemen aan te vallen. Dit maakte het een stuk eenvoudiger om de spanning op te bouwen.

Waarschuwing: hacken is strafbaar wanneer je deze technische vaardigheden in de praktijk brengt zonder toestemming. Het is namelijk in feite digitaal inbreken.

Waar we inmiddels allerlei soorten hackers kennen, kunnen we onderscheid maken in het type hacker door het verschil in motieven. Een 'hacktivist' bijvoorbeeld hackt voornamelijk vanwege een bepaalde overtuiging en is vergelijkbaar met een digitale milieuactivist. Aan de andere kant maakt het een cybercrimineel niet uit wat hij of zij hackt, zolang er maar geld te verdienen valt. Een voorbeeld van een cyberterrorist is de 'Lockbit' ransomware groep, die toevallig in de weken voorafgaand aan de sessie uitgebreid in het nieuws is geweest. Ironisch genoeg waren zij gehackt via een kwetsbaarheid op hun eigen website!

De meeste cyberaanvallen beginnen nog steeds met het sturen van phishing-e-mails; het is eenvoudig en goedkoop om in korte tijd veel e-mailberichten te versturen. Aanvallers proberen daarbij gebruikersnamen en wachtwoorden te stelen, om deze vervolgens te verkopen of te misbruiken. Gelukkig zijn veel accounts tegenwoordig al beveiligd met MFA (Multifactor Authenticatie). Je krijgt bij het inloggen dan een melding op bijvoorbeeld een mobiele telefoon, met de controlevraag ‘Ben jij dit zelf?’, waarna je dan 'Ja' kunt aanklikken of nóg beter, het getal moet invoeren dat op je scherm tijdens het inloggen wordt weergegeven. Zo vindt er een extra verificatie plaats. Een demonstratie van hoe eenvoudig het is om deze 'sessie' te stelen en te misbruiken creëert bewustzijn; als het niet je dagelijkse materie is dan sta je er echt versteld van hoe snel het in zijn werk gaat.

Waar we normaal gesproken vanuit ons SOC direct actie ondernemen wanneer een verdachte inlogpoging wordt gemeld, hebben we de poging dit keer echter genegeerd om te laten zien hoe eenvoudig het is om dit op te zetten. Maar ook om te laten zien hoeveel schade je kunt aanrichten door simpelweg op 'akkoord' te klikken. De aanvaller had nu immers toegang tot het bedrijfsnetwerk.

Maar hoe verloopt nou zo’n hackaanval? Het beginpunt is verkennen. Als aanvaller wil je zoveel mogelijk informatie over de specifieke organisatie inzichtelijk te hebben, het kost een hacker meestal zo'n 70% van de tijd. Websites als Facebook, LinkedIn, Shodan en andere tools bieden namelijk veel informatie over organisaties. Denk aan de personen die betalingen mogen doen, welke systemen ze gebruiken (dit is af te leiden uit vacatures) en welke IP-adressen mogelijk een ingang tot het bedrijfsnetwerk kunnen bieden.

Het scannen van de systemen is het volgende item op het hackprogramma. Vanaf zowel een intern als een extern systeem hebben we deze scan uitgevoerd. Op het externe systeem hebben we een bekende hack nagebootst, omdat de beveiliging daar niet op orde was. Daardoor konden we ongehinderd onze gang gaan om te proberen binnen te komen. Opmerkelijk was dat het slechts 3,5 minuten duurde voordat we duizend verschillende wachtwoorden hadden geprobeerd om in te loggen op dit systeem. Bij de interne scan zagen we dat het systeem dat we wilden aanvallen een webserver was en ontdekten we een verborgen directory waar we een kwaadaardig script konden uploaden en uitvoeren. Tot het systeem, dat al een paar weken niet was bijgewerkt, kregen we direct toegang. Met de kennis van de mensen in de zaal én via Teams konden we snel de juiste maatregelen nemen om dergelijke aanvallen in de toekomst te voorkomen.

Vervolgens kwamen we bij een toegangsdeur met een code die bestond uit cijfers (0-9) en letters (A-F). Omdat hier nauwelijks woorden van gemaakt konden worden, hebben we geen woordenlijstaanval gebruikt maar een brute force aanval. We moesten daarvoor een lijst maken met alle mogelijke wachtwoorden, maar gelukkig zijn daar eenvoudige tools voor beschikbaar. Binnen de kortste keren hadden we 4096 combinaties uitgeprobeerd en hadden we toegang tot de juiste code verkregen. Omdat er op dit systeem geen alarm was geactiveerd, duurde het slechts enkele minuten voordat we ook deze code hadden bemachtigd.

Het behouden van de verkregen toegang is de uitdaging die daarop volgt. Als het gecompromitteerde account wordt uitgeschakeld, het MFA-token verloopt of als het wachtwoord wordt gewijzigd, verliezen we als aanvaller de toegang. Daarom hebben we gekeken naar een achterdeur en een 'reverse shell' om toegang te behouden. Bij de laatste wordt vanuit het systeem een proces opgestart vanaf het gecompromitteerde systeem. Omdat het verkeer naar buiten gaat, valt dit veel minder snel op.

Het verwijderen van bewijsmateriaal is afsluitend minstens zo belangrijk, zodat een beheerder of analist geen bewijs van een mogelijke hack zou vinden. We hebben de logging van het verkeer geïnspecteerd, waarbij al snel duidelijk werd waar de hack had plaatsgevonden. Ook zagen we in de logging welke gebruiker was gecompromitteerd en hoe de aanvaller het wachtwoord had gevonden. Als laatste stap heeft de aanvaller een 'reverse shell' geïnstalleerd, waardoor we konden zien waar deze vandaan kwam, wie de maker van de tool was en hoe deze was geïnstalleerd.

Afsluitend hackten we een wifi-signaal op meerdere manieren met verschillende wifi-encrypties. Als er een wachtwoord op staat, is het slechts een kwestie van tijd voordat een aanvaller dit weet te raden. Vooral bij verouderde WEP-encryptie wordt dit pijnlijk duidelijk. Een best practice is om dit te koppelen aan een gebruikersaccount voor toegang tot het wifi-signaal. Hiermee kan de toegang voor medewerkers die uit dienst gaan, direct worden stopgezet door het account te deactiveren.