Watering hole aanvallen: hoe APT en cybercriminelen infiltreren in beveiligde infrastructuren

Mijn eerste kennismaking met de wereld van cybercriminelen vond vele jaren geleden plaats via een watering hole-aanvalscampagne. Ik bezocht een Perzische website en ontdekte dat deze malware downloadde naar bezoekers’ Browsers. Ik heb onmiddellijk contact opgenomen met de sitebeheerder, die me vertelden dat ze geen technische kennis van de kwestie hadden. Het werd duidelijk dat ze een verouderd CMS gebruikten met bekende beveiligingslekken, welke criminelen misbruikten om specifieke doelgroepen te targeten en malware te verspreiden.

Watering hole aanvallen zijn enkele van de methoden die de voorkeur genieten van cybercriminelen en geavanceerde persistente bedreigingen (Apts). Bij deze aanvallen, Cybercriminelen gebruiken een tactiek genaamd “Strategisch webcompromis” (Stedelijk Gewest) om toegang te krijgen tot het netwerk van de organisatie van het slachtoffer. Door websites te identificeren die vaak door doelgebruikers worden bezocht, Een aanvaller kan die websites infecteren met malware en deze downloaden naar nietsvermoedende gebruikers’ apparaat.

Malware die wordt gebruikt bij watering hole-aanvallen is ontworpen om detectie te omzeilen en onopgemerkt te blijven op het apparaat van het doelwit, Aanvallers continu toegang geven tot gevoelige informatie. Dit type aanval is bijzonder zorgwekkend omdat het gedurende lange tijd onopgemerkt kan blijven, waardoor aanvallers in de loop van de tijd gevoelige informatie kunnen verzamelen.

Een type veelgebruikte malware bij watering hole-aanvallen is polymorfe malware. Polymorfe malware is een type kwaadaardige software dat is ontworpen om de code en het uiterlijk voortdurend te veranderen om detectie door antivirussoftware en andere beveiligingsmaatregelen te voorkomen. Dit type malware is bijzonder gevaarlijk omdat het zichzelf in veel verschillende vormen kan muteren, waardoor het moeilijk wordt voor traditionele antivirus-/antimalwaresoftware om deze te detecteren en te verwijderen. Polymorfe malware kan het uiterlijk op verschillende manieren veranderen, inclusief encryptie, compressie, en randomisatie.

Aanvallen op drinkplaatsen zijn vooral gevaarlijk voor kleine bedrijven, omdat ze vaak het doelwit zijn vanwege zwakkere beveiligingsmaatregelen in vergelijking met grotere ondernemingen. Echter, Zelfs grote organisaties en overheidsinstanties zijn het slachtoffer geworden van waterputaanvallen.

Hieronder vindt u enkele stappen die u kunt nemen om het risico te verkleinen dat u het slachtoffer wordt van dit soort aanvallen:

1. Webfilters gebruiken: Webfiltertools kunnen de toegang tot schadelijke of onbekende websites en webpagina's blokkeren. Dit voorkomt dat gebruikers per ongeluk malware downloaden van de drinkplaats.
2. Gebruik antivirussoftware van de volgende generatie (NGAV): NGAV-oplossingen maken gebruik van geavanceerde detectietechnieken zoals machine learning-algoritmen en gedragsanalyses om nieuwe en voorheen onbekende bedreigingen te identificeren en erop te reageren.
3. Endpointdetectie en -respons implementeren (EDR (EDR)): EDR-oplossingen bewaken endpoints zoals laptops en desktops op verdacht gedrag en kunnen in realtime reageren op bedreigingen.
4. Netwerkgebaseerde detectie en respons implementeren (NDR): NDR-oplossingen controleren netwerkverkeer op verdachte activiteiten en kunnen bedreigingen detecteren en erop reageren die traditionele antivirusoplossingen mogelijk over het hoofd zien.
5. Maak gebruik van bedreigingsinformatie: Threat intelligence-diensten kunnen informatie verstrekken over opkomende dreigingen, inclusief polymorfe malware. U kunt deze informatie gebruiken om potentiële bedreigingen te identificeren en passende maatregelen te nemen om uw netwerk te beschermen
6. Implementeer een zero trust-netwerk: Een zero trust-netwerk is een beveiligingsmodel dat ervan uitgaat dat elke gebruiker en elk apparaat op het netwerk een potentiële bedreiging vormt. Gebruikers moeten worden geverifieerd voordat ze toegang krijgen tot bronnen op het netwerk, en de toegang is beperkt tot wat nodig is.
7. Netwerksegmentatie gebruiken: Netwerksegmentatie helpt kritieke systemen en gevoelige gegevens te scheiden van de rest van het netwerk. Dit voorkomt dat malware zich verspreidt in het geval van een succesvolle aanval.