In schaken is het verplaatsen van een pion naar de achterste rij een belangrijke zet. Als dit lukt, mag je de pion vervangen door een koningin, het sterkste stuk van het spel.
Ook voor onze digitale tegenstander is het verhogen van de toegangsrechten een belangrijk doel. Dit gebeurt meestal in stappen, wat ons de tijd geeft om dit te ontdekken en te stoppen.
De tegenstander heeft eerst via een phishingmail de inloggegevens van jou of een collega gekregen of heeft deze gevonden in een datalek. Afhankelijk van welke rechten jij hebt op je computer en binnen je organisatie, heeft onze tegenstander deze nu ook (zie vorige blogpost). Vervolgens wil onze tegenstander zijn of haar rechten verhogen om meer toegang te krijgen tot bestanden.
De MITRE ATT&CK tactiek: Privilege Escalation legt uit hoe aanvallers dit doen. Vaak zoeken ze naar iets waarop ze kunnen meeliften, zoals een applicatie, een stukje software of een bestand dat door je computer wordt gebruikt met hogere rechten. Computers zijn complex, maar je kunt ze vergelijken met een grijpmachine op de kermis. Jij geeft de computer een opdracht en die pakt iets voor je uit een bak. Met alleen gebruikersrechten is onze tegenstander beperkt tot de inhoud van de bak, maar die hindernis omzeilt hij als hij kan meeliften op een teddybeer die door de grijparm omhoog wordt gehaald.
Hieronder enkele voorbeelden:
Autostart Execution / Initialization Scripts: Kun jij ontdekken welke applicaties direct opstarten als je de computer aanzet? Deze applicaties draaien vaak met hogere rechten. Een aanvaller kan proberen deze scripts te veranderen om toegang te krijgen tot hogere rechten.
Hijack Execution Flow: Heb je je ooit afgevraagd hoe een computer weet waar het iets moet pakken als je op een icoontje klikt? Een aanvaller kan de labels aanpassen waar deze icoontjes naar verwijzen, waardoor schadelijke software wordt uitgevoerd.
Process Injection: Sommige tegenstanders zijn zo handig met IT dat ze iets kunnen verstoppen in een teddybeer die gepakt wordt. Dit betekent dat ze kwaadaardige code kunnen toevoegen aan een legitiem proces, waardoor ze ongemerkt hogere rechten krijgen.
Scheduled Task/Job: Onze tegenstander kan ook ontsnappen tijdens de vaste momenten op een dag dat de grijpbak wordt geopend om nieuwe teddyberen toe te voegen. Dit verwijst naar het gebruik van geplande taken om kwaadaardige activiteiten uit te voeren op specifieke tijden.
Zorg ervoor dat onze tegenstander geen beheerder wordt op jouw computer. We trappen allemaal wel eens in een phishingmail, maar laat aanvallers niet ontsnappen uit je computer en geef ze geen vrije baan naar de achterste rij van je organisatie.
Al met al, iets om over na te denken tijdens de koffiepauze.
Volgende blogpost in deze reeks: Deel 10: Persistence