- Definieer welke tools wel en vooral niet gebruikt mogen worden bij het managen van een server.
Hackers gebruiken vaak legitieme tools om hun doelen te verwezenlijken. Een voorbeeld van zo’n tools is de Microsoft tool PsExec die b.v. gebruikt wordt door kwaadwillenden om ransomware te distribueren over de gehele omgeving (Sophos, 2019). Echter, het is ook mogelijk om Psexex legitiem te gebruiken, dit is vaak niet nodig omdat er ook alternatieven zijn. Als u intern beleid heeft gemaakt dat deze tool niet gebruikt wordt, en u houdt zich daar strikt aan, dan is deze regel alleen al in staat om vele aanvallers op te sporen. U kunt uw security software hier op laten monitoren (JPCERT, 2017). Andere bekende voorbeeld van een veel gebruikte commando’s zijn “nltest /domain_trusts /all_trusts” en “vssadmin.exe Delete Shadows /All /Quiet”. Legitieme commando’s die in de praktijk zelden gebruikt worden door uw systeembeheerders en dus zeer geschikt om activiteiten van ransomware-groepen te detecteren (DFIR, 2020).
Hetzelfde geldt voor het gebruik van Powershell. Cybercriminelen starten Powershell vaak met de “enc” parameter. Bijvoorbeeld “powershell.exe -enc parameter samen met de afspraak dit nooit intern te gebruiken, is een goede indicator van malafide activiteiten.
- Definieer welke services u gebruikt om u toegang te verschaffen tot servers en monitor op afwijkingen hiervan. Indien u een server alleen beheert via RDP, dan is SSH of powershell remoting verdacht.
- Op welke tijdstippen wordt gewerkt? Bijvoorbeeld als er eigenlijk nooit gewerkt wordt door systeembeheer na 21:00 ’s avonds, dan is RDP-verkeer rond die tijdstippen verdacht. Aanvallers kiezen vaak de momenten waarop weinig gewerkt wordt om hun activiteiten uit te voeren (FirEye, 2020).
- Maak afspraken over internetgebruik op servers. Het is verstandig om niet toe te laten dat er op servers gebrowset kan worden op het internet. Dit kan bijvoorbeeld door het webverkeer op servers via een proxy te laten lopen, waarop een aantal websites op de allowlist staan die nodig zijn voor beheer. Afwijkingen hierop worden gelogd, soms moet op basis van de geregistreerde afwijkingen de allowlist uitgebreid wordt of er iets aan de hand is wat niet de bedoeling is. Het reguleren van internetgebruik voorkomt dat iemand per abuis malware opstart van een bepaalde website. Echter het kan ook een rol spelen bij detectie van malafide activiteiten. Als bijvoorbeeld Twitter-verkeer op een bepaalde server plaatsvindt, zou dit een command & control kanaal kunnen zijn van een aanvaller (Pentestlab, 2017).