Netwerkaanvallen laagdrempelig te leasen


De toenemende variëteit en complexiteit van cyberaanvallen die we nu zien, zijn het product van een opkomende 'cybercrime-as-a-service' markt. De criminele dienstverleners in dit segment stellen kwaadwillenden in staat om netwerkaanvallen uit te voeren tegen aanmerkelijk lagere kosten dan gebruikelijk en zonder dat diepgaande technische kennis nodig is. Door deze laagdrempelige manier van aanbieden komen deze aanvalstechnieken voor steeds meer mensen beschikbaar.

In het kielzog van andere 'XaaS'-aanbiedingen – Software-as-a-Service, Infrastructure-as-a-Service, etc. – zien we een nieuw verschijnsel de kop opsteken: Cybercrime-as-a-Service. De diensten die in dit segment worden aangeboden gaan veel verder dan het inhuren van een programmeur om specifieke taken uit te voeren, zoals een netwerkaanval. Er is een grote variëteit aan producten en diensten die zowel gehuurd als gekocht kunnen worden. Verder zijn er vele soorten spelers actief, variërend van volstrekt legale organisaties die gaten in software hebben ontdekt en deze kennis doorverkopen aan een select groepje klanten zoals overheidsinstellingen, tot aan de klassieke 'underground'-figuren die complete aanvallen aanbieden. De toegenomen activiteiten van opsporingsdiensten wereldwijd om cybercriminelen een halt toe te roepen, hebben ertoe geleid dat deze laatste groep nog dieper ondergronds is gegaan.

Deze ondergrondse organisaties passen steeds krachtigere mechanismen toe om er zo zeker mogelijk van te zijn dat potentiële klanten inderdaad zijn wie ze zijn en niet in opdracht van opsporingsdiensten werken. Vreemd genoeg zien we dat terwijl ondergrondse groepen zich steeds dieper ingraven, de handel in zero-day kwetsbaarheden – waar nog weinig afdoende remedies tegen bekend zijn – transparanter is dan ooit. Ze worden zelfs op platforms als Twitter ter veiling aangeboden!

Cybercrime-as-a-Service
Er zijn talloze diensten beschikbaar waaruit de would-be crimineel kan kiezen. De meeste van deze diensten worden overduidelijk door cybercriminelen aangeboden. Er zijn echter ook activiteiten waarvan we niet weten of ze wel of niet legaal zijn. Daarom hanteren we termen als grijze en zwarte markten. We gebruiken de term grijze markt als de activiteiten die daar plaatsvinden of de echte klanten die daar actief zijn, moeilijk te achterhalen zijn. Om deze markt beter in kaart te brengen, onderscheiden we vier subcategorieën: Research-as-a-Service, Crimeware-as-a-Service, Cybercrime Infrastructure-as-a-Service en Hacking-as-a-Service.

Research-as-a-Service
In tegenstelling tot de andere categorieën hoeft Research-as-a-Service niet per se illegaal te zijn – maar er is wel ruimte voor een grijze markt. Er bestaan commerciële bedrijven die software afspeuren op zero-day kwetsbaarheden en deze verkopen aan bepaalde organisaties die aan hun strenge criteria voldoen. Maar hier kunnen ook tussenpersonen actief zijn – ook wel ‘exploit brokers’ genoemd – die bemiddelen in de verkoop van deze kennis (intellectueel eigendom in juridische zin) aan partijen die 'aan minder strenge criteria' voldoen. In een recent artikel in het Amerikaanse zakenblad Forbes komt zo'n broker aan het woord. Deze meneer, gepresenteerd als 'the Grugq', verkocht gaten in software aan overheidsinstanties. Hij gaf ook inzicht in de 'richtprijzen' van deze activiteiten. Deze broker was betrokken geweest bij de verkoop van een beveiligingsgat in Apple iOS, waar een bedrag van 250.000 US dollar mee gemoeid was – en 15% commissie voor hem.

Naast genoemde activiteiten vallen ook bepaalde spamservices in de categorie Research-as-a-Service. Het handmatig samenstellen van een lijst met mailadressen is een tijdrovende bezigheid, vandaar dat er lijsten 'op maat' gecompileerd zijn. Mensen die een spamcampagne willen starten kunnen bijvoorbeeld 1 miljoen e-mailadressen in een bepaald land kopen (kostenindicatie: een kleine 500 dollar), of alleen adressen van een bepaalde staat in een bepaald land, zoals Florida, of klanten van een specifieke bank of de mailadressen van specifieke beroepsgroepen als arts, etc.

Crimeware-as-a-Service
Deze categorie houdt zich bezig met de ontwikkeling van gerichte aanvallen, inclusief het benodigde ondersteunende materiaal (droppers, downloaders, keyloggers, botnetwerken en meer). Hier worden ook de middelen ontwikkeld om malware af te schermen tegen detectie door beveiligingssoftware (cryptors, polymorfische bouwers, joiners, etc.) en spammer- en robotgereedschappen zoals Xrumer. Daarnaast ontwikkelt dit segment hardware die 'van pas komt' bij financiële fraude, zoals creditcard-skimmers.

De malware-diensten die in dit segment worden ontwikkeld en aangeboden hebben betrekking op Trojaanse paarden, rootkits en 'ransomware'. Dit laatste gaat om software die de computers van gebruikers blokkeert totdat zij een bepaalde actie hebben ondernomen, zoals het verstrekken van creditcardgegevens, of het betalen van een bepaald bedrag aan de afperser.

Cybercrime Infrastructure-as-a-Service
Het ontwikkelen van de nodige malwaretools is één, maar deze zullen ook op de een of andere manier bij de beoogde slachtoffers terecht moeten komen. Dat is waar de 'infrastructuurafdeling' zich mee bezighoudt. Botnets, op afstand bedienbare netwerken van besmette pc's, worden bijvoorbeeld ingezet om malware te distribueren. Deze botnets worden ook gebruikt voor het sturen van spam en voor het uitvoeren van grootschalige DDoS-aanvallen De kosten om gebruik te kunnen maken van een botnet lopen bij een zekere aanbieder uiteen van 450 dollar voor een 'minimumpakket' via 650 dollar voor een zilverpakket tot aan 999 dollar voor een 'briljantpakket'. Daarnaast voorziet deze infrastructuurafdeling in 'bulletproof webhosters', zo genoemd omdat bekend is dat zij de verzending van grote hoeveelheden spam of malware faciliteren en zich om die reden goed tegen tegenmaatregelen hebben ingedekt – vandaar ‘kogelvrij’. Soms worden de servers letterlijk in een leegstaande bunker ondergebracht! Dergelijke dienstverleners maken het mogelijk om bijvoorbeeld 30 miljoen ongewenste e-mails in een maand te verzenden.

Hacking-as-a-Service
Tot slot zijn er de alles-in-één diensten. In plaats van losse aanvalscomponenten aan te schaffen of in te huren, kunnen hier complete aanvallen worden afgenomen. Technische kennis is hier helemaal niet meer nodig maar het prijskaartje is navenant hoger. Hier kan men bijvoorbeeld terecht voor het kraken van e-mailwachtwoorden, de opdrachtgever hoeft alleen de naam en het e-mailadres van het slachtoffer te verstrekken. Voor DDoS-aanvallen geldt hetzelfde. Men hoeft slechts de naam van de aan te vallen website op te geven en het bedrag dat men wenst te besteden over te maken, waarna de DDoS-aanval begint. Opmerkelijk goedkoop, want bij sommige aanbieders kan een aanval al vanaf enkele dollars per uur besteld worden.

Winstgevend
Dat deze Crimeware-as-a-Service goed gedijt wordt onderschreven door het European Cybercrime Center (EC3), onderdeel van het in Den Haag gevestigde Europol en per 1 januari 2013 in het leven geroepen om grensoverschrijdende cybercrime een halt toe te kunnen roepen. Volgens schattingen van EC3 wordt er jaarlijks door cybercriminelen wereldwijd 290 miljard euro aan slachtoffers ontfutseld. Hiermee is deze activiteit inmiddels al winstgevender dan de handel in marihuana, cocaïne en heroïne gecombineerd.

Lege handen?
Betekent dit alles nu dat de wereld met lege handen staat tegenover dit Cybercrime as-a-Service fenomeen? Niet in de optiek van McAfee. We raden systeembeheerders ten eerste aan om zich goed bewust te zijn van de eenvoud waarmee aanvallen kunnen worden besteld. Ten tweede moeten zij de volgende maatregelen nemen:

Application control. Met dergelijke software worden aanvallen tegengehouden doordat de malwareprogramma’s niet meer uitgevoerd kunnen worden, zelfs niet als admin op een Windows-systeem. Hierdoor wordt ook voorkomen dat Remote Access Tools (RAT's) op het systeem terechtkomen.
Configuration control. Hiermee wordt voorkomen dat er wijzigingen in de configuratie kunnen worden aangebracht, ook niet meer door iemand met admin-rechten. Veranderingen kunnen alleen nog worden doorgevoerd na expliciete permissies.
Network Security Protection. Indien juist geconfigureerd kan NSP-technologie beschermen tegen geavanceerde netwerkaanvallen. Deze technologie ontdekt kwaadaardig netwerkverkeer en waarschuwt beheerders. Toekomstige aanvallen van deze soort worden daardoor ook geblokkeerd.

Verder raadt McAfee beheerders aan hun firewalls met Application Protection uit te rusten, Web Gateway filtering toe te passen en encryptie op Endpoint te installeren . Indien deze tools goed worden geconfigureerd, hebben geavanceerde aanvallen door cybercriminelen weinig kans meer.

René Pieete is Senior SE Manager Northern & Eastern Europe bij McAfee International BV