Backdoors sluiten met tools en processen

  • 3 minuten
  • 20 december 2019

Een backdoor, in relatie tot software en hardware, is de mogelijkheid om toegang tot een endpoint, server, apparaat of netwerk te verkrijgen door authenticatie, en andere standaard securityprocedures en -mechanismes, te omzeilen.

Door alternatieve en ongepubliceerde toegangsmogelijkheden in te programmeren, kunnen ontwikkelaars backdoors creëren. Deze worden gebruikt om in te loggen op een eindproduct. Edward Snowden onthulde in 2013 dat een groot aantal bedrijven door spionagebureaus binnen de overheid onder druk werd gezet om backdoors in hun producten te installeren.

Backdoors zijn ook populair bij cybercriminelen omdat zij hen in staat stellen te komen en gaan wanneer ze willen.

Hoe kwaadaardige professionals dit aanpakken

Ongeacht het motief achter backdoors, de ongelimiteerde toegang die hierdoor wordt verschaft is een enorm beveiligingsrisico die de meeste bedrijven liever zouden vermijden.

Onderzoekers van ESET hebben in 2018 backdoors ontdekt die geloofd werden het werk te zijn van de beruchte spionagegroep, Turla. De malware, genaamd “Gazer”, werd sinds 2016 actief ingezet in gerichte aanvallen tegen overheden en diplomaten. Meer informatie over deze specifieke aanval kan hier gevonden worden.

Kwaadaardige backdoors gebruiken vaak dezelfde methoden om mogelijkheid tot installatie, ook wel een infectie, te creëren. Zo gebruikt de Turla-groep bijvoorbeeld zowel spearphishing-campagnes als watering hole-campagnes om slachtoffers te creëren.

Deze backdoors worden opgezet door kwetsbaarheden in browsers en extensies te misbruiken en malware te installeren. Door de malware-infectie van een apparaat wordt vervolgens de backdoor geïnstalleerd.

Spearphishing is een gerichte phishingaanval: een e-mailcampagne die naar een select aantal ontvangers wordt verstuurd met daarin een schadelijke bijlage of een link naar een phishingwebsite.

Wanneer één deur sluit, zal een andere openen

Wanneer de malware zich op het netwerk bevindt, zal het gaan zoeken naar servers en endpoints met openstaande poorten en hiermee verbinden. Zodra de verbinding gemaakt is, kan de aanvaller command and control over het doelwitnetwerk verkrijgen. Idealiter zouden firewalls en randnetwerkoplossingen pogingen tot verbinden met externe bronnen blokkeren, terwijl verkeer van interne bronnen ongehinderd open ports kan gebruiken.

Wanneer een backdoor operationeel is, kan deze echter gebruikt worden om andere backdoors te creëren en zo een doolhof te bouwen dat moeilijker wordt om te detecteren en te vernietigen. Om tegen een inval te beveiligen zijn zowel geschikte technologie als medewerkersparticipatie nodig. Dat laatste is belangrijk omdat aanvallen vaak worden gestart met gerichte aanvallen op basis van social engineering, zoals spearphishing.

Het trainen van medewerkers in het herkennen van van phishingmails is een vaak gehoorde oplossing bij een groot aantal bedrijven. Een juiste technische aanpak geeft medewerkers de mogelijkheid om de werkgever te helpen om phishingaanvallen te herkennen en te signaleren.

Educatie, focus en best-practice

Om deze dreigingen tegen te gaan zouden er standaard procedures moeten zijn om tijdens netwerkmonitoring te kijken naar ongebruikelijke verkeerspatronen. Het herkennen van gebruik en misbruik van apparaten binnen een netwerk vereist een hoog niveau technische kennis.

Een best-practice is systemen updaten om zo de hoeveelheid kwetsbaarheden die een aanvaller kan misbruiken te minimaliseren. Dit zou verder moeten gaan dan alleen software: ook hardware maakt gebruik van software en dus is het belangrijk om ervoor te zorgen dat de nieuwste hardwareversies geïnstalleerd worden. Softwareversies monitoren over het gehele netwerk zal het makkelijker maken om systemen en hardware met bekende kwetsbaarheden te herkennen.

Een up-to-date antimalware-software die endpoints, servers en diensten beveiligt verkleint kansen voor aanvallers om de eerste inval te maken. Anti-phishingbescherming treedt in werking indien nodig en dekt hiermee een extra deel van het risicoprofiel van de organisatie af.