In de vorige blogpost hebben we geleerd dat onze digitale tegenstanders graag gebruikmaken van applicaties en clouddiensten die wij ook gebruiken. Hierdoor vallen ze minder op en hoeven ze ook geen moeite te doen om verdachte software te installeren die misschien geblokkeerd wordt door een virusscanner. Maar we hebben ook geleerd dat onze tegenstander graag iets achter de hand heeft voor als het mis gaat. Beide principes zullen in deze blogpost weer naar voren komen.
De volgende tactiek uit het MITRE ATT&CK framework die wij gaan bespreken heet: Command & Control. Dit klinkt spannend, maar het komt gewoon neer op het op afstand beheer uitvoeren op een computer.
Ook in schaken kun je op afstand druk uitoefenen op de schaakstukken van je tegenstander. Met de loper en de toren kun je een stuk van je tegenstander dat zijn koning beschermt, vastzetten vanaf de andere kant van het schaakbord. Je tegenstander mag dit schaakstuk vervolgens niet verplaatsen, omdat zijn of haar koning anders schaak komt te staan door je loper of toren.
Wie voert er op afstand IT-beheer uit bij jullie in de organisatie? En van welke applicaties maken deze beheerders gebruik? Hoe doen IT-leveranciers dit bij jullie? Collega’s met een medewerkersaccount krijgen veelal de mogelijkheid om gebruik te maken van applicaties als Citrix of Remote Desktop voor het werken vanuit huis. Deze twee applicaties worden dan ook verder besproken in deze reeks als we het gaan hebben over de tactiek: Initial Access. Maar IT-leveranciers krijgen niet altijd een medewerkersaccount en daarom zie je in de praktijk ook andere applicaties gebruikt worden voor beheer op afstand, zoals: VNC, TeamViewer, AnyDesk en ScreenConnect.
Als IT-leveranciers de computers van je organisatie op afstand kunnen beheren met de hierboven genoemde applicaties, waarom zou onze digitale tegenstander dit dan niet ook doen? Als onze tegenstander eenmaal bij ons binnen is, installeren ze vaak ook een tweede van deze veel gebruikte applicaties. Zo hebben ze namelijk iets achter de hand voor het geval hun eerste Command & Control kanaal (C2-channel) zou wegvallen.
Dit kun je alleen maar tegengaan door zicht te hebben op welke applicaties er allemaal aanwezig zijn binnen je IT-omgeving en wanneer en waar deze applicaties op het internet naartoe communiceren. Houd dan ook zicht op welke applicaties er door je IT-leverancier allemaal geïnstalleerd worden. Ja, het is raar als er opeens AnyDesk-verkeer plaatsvindt terwijl je zelf nooit hebt besloten om dit te installeren en te gebruiken. En ja, het is ook raar als je ziet dat er met TeamViewer in de nacht naar locaties over heel de wereld gecommuniceerd wordt, terwijl je collega's enkel overdag vanuit Nederland werken. Laat applicaties die niet gebruikt worden binnen je organisatie zoveel mogelijk verwijderen en blokkeer direct verdachte verbindingen naar het internet.
Al met al input voor een gesprek tijdens de koffiepauze.
Volgende blogpost in deze reeks: Deel 4: Collection