Duik in de evolutie van phishing- en malware-ontduikingstechnieken en begrijp hoe aanvallers steeds geavanceerdere methoden gebruiken om beveiligingsmaatregelen te omzeilen.
De evolutie van phishing-aanvallen
“Ik hou echt van het gezegde dat ‘Dit valt buiten de reikwijdte’, zei geen enkele hacker ooit. Of het nu gaat om trucs, technieken of technologieën, hackers zullen er alles aan doen om detectie te omzeilen en ervoor te zorgen dat hun aanval succesvol is,” zegt Etay Maor, Chief Security Strategist bij Cato Networks en lid van Cato CTRL. Phishing-aanvallen zijn in de loop der jaren aanzienlijk veranderd. 15 tot 20 jaar geleden waren eenvoudige phishing-sites voldoende om de kroonjuwelen van die tijd te bemachtigen: creditcardgegevens. Tegenwoordig zijn aanvallen en verdedigingsmethoden veel geavanceerder geworden, zoals we hieronder zullen beschrijven.
“Dit is ook het moment waarop het ‘kat-en-muis’-aanval-verdedigingsspel begon,” zegt Tal Darsan, Security Manager en lid van Cato CTRL. Destijds was een belangrijke verdedigingstechniek tegen phishing-sites met creditcards het overspoelen van grote hoeveelheden nummers, in de hoop ze te overweldigen, zodat ze de echte creditcardgegevens niet konden identificeren.
Maar bedreigingsactoren pasten zich aan door gegevens te valideren met behulp van methoden als het Luhn-algoritme om echte creditcards te verifiëren, informatie over de uitgever te controleren via bankidentificatienummers (BIN) en microdonaties uit te voeren om te testen of de kaart actief was.
Hier is een voorbeeld van hoe aanvallers creditcardnummers valideerden die op phishing-sites werden ingevoerd:
Anti-onderzoekertechnieken
Naarmate phishing geavanceerder werd, voegden aanvallers anti-onderzoekstechnieken toe om te voorkomen dat beveiligingsanalisten hun activiteiten zouden bestuderen en stopzetten. Veel voorkomende strategieën waren onder meer het blokkeren van IP-adressen na eenmalige toegang om een vals voorwendsel te creëren dat de phishing-site was afgesloten, en het detecteren van proxyservers, aangezien onderzoekers bij onderzoek vaak gebruik maken van proxy’s.
De aanvallercode voor eenmalige toegang tot het IP-adres:
De aanvallercode voor proxy-identificatie:
Aanvallers hebben de afgelopen decennia ook mapstructuren in hun URL’s willekeurig gemaakt, waardoor onderzoekers ervan worden weerhouden phishing-sites te volgen op basis van algemene mapnamen die in phishing-kits worden gebruikt. Dit is te zien in de onderstaande afbeelding:
Antivirus ontwijken
Een andere manier om in het verleden beveiligingscontroles te omzeilen, was het wijzigen van malwarehandtekeningen met coderingsservices. Hierdoor kon het niet worden gedetecteerd door op handtekeningen gebaseerde antivirussystemen. Hier is een voorbeeld van zo’n dienst die ooit erg populair was:
Apparaatverificatie omzeilen
Laten we verder gaan met andere moderne ontwijkingstechnieken. Ten eerste een phishing-aanval die zich op slachtoffers richt door gedetailleerde apparaatinformatie te verzamelen (zoals de Windows-versie, het IP-adres en antivirussoftware), zodat aanvallers zich beter kunnen voordoen als het apparaat van het slachtoffer.
Met deze gegevens kunnen ze beveiligingscontroles omzeilen, zoals de verificatie van apparaat-ID’s, die organisaties, zoals banken, gebruiken om legitieme logins te bevestigen. Door de apparaatomgeving van het slachtoffer te repliceren (bijvoorbeeld de Windows-versie, gegevens van de mediaspeler, hardwarespecificaties) kunnen aanvallers argwaan vermijden wanneer ze inloggen vanaf verschillende locaties of apparaten.
Sommige darkweb-services bieden zelfs vooraf geconfigureerde virtuele machines die het apparaatprofiel van het slachtoffer weerspiegelen (zie afbeelding hieronder), waardoor een extra laag anonimiteit voor aanvallers wordt toegevoegd en een veiligere toegang tot gecompromitteerde accounts mogelijk wordt gemaakt. Dit laat zien hoe datawetenschap en maatwerk een integraal onderdeel zijn geworden van criminele operaties.
Anomaliedetectie ontwijken
Een ander geval is wanneer verdedigers te maken kregen met een bende die malware gebruikte om live banksessies te misbruiken, waarbij ze wachtten tot de slachtoffers inlogden voordat ze snel ongeautoriseerde transacties uitvoerden. De uitdaging was dat deze acties afkomstig leken te zijn van de eigen geauthenticeerde sessie van het slachtoffer, waardoor detectie moeilijk werd.
Dit resulteerde in een kat-en-muisspel tussen aanvallers en verdedigers:
- Aanvankelijk voerden verdedigers een snelheidscontrole uit, waarbij transacties die te snel werden voltooid, als waarschijnlijk frauduleus werden aangemerkt.
- Als reactie daarop hebben aanvallers hun code aangepast om de menselijke typsnelheid te simuleren door vertragingen tussen toetsaanslagen toe te voegen. Dit is te zien in de onderstaande code:
- Toen verdedigers zich hieraan aanpasten door willekeurige timingcontroles toe te voegen, reageerden aanvallers met variabele vertragingen, waardoor ze verder overgingen in legitiem gedrag.
Dit illustreert de complexiteit van het opsporen van geavanceerde, geautomatiseerde bankfraude te midden van legitieme transacties.
Ontwijkende phishing-aanvallen
Laten we nu verder gaan met recentere aanvallen. Een van de meest prominente aanvallen die door Cato CTRL werd geanalyseerd, was een slimme phishing-aanval die was ontworpen om de ondersteuning van Microsoft na te bootsen. Het incident begon met een 403-foutmelding die de gebruiker naar een pagina leidde die beweerde ‘Microsoft-ondersteuning’ te zijn, compleet met aanwijzingen om ‘de juiste hulp en ondersteuning te krijgen’. De pagina bood opties voor “Thuis”- of “Zakelijk”-ondersteuning, maar ongeacht welke optie werd gekozen, werd de gebruiker doorgestuurd naar een overtuigende Office 365-inlogpagina.
Deze valse inlogpagina is gemaakt als onderdeel van een social engineering-programma om gebruikers te misleiden om hun Microsoft-inloggegevens in te voeren. De aanval maakte gebruik van psychologische triggers, zoals het nabootsen van foutmeldingen en ondersteuningsprompts, om geloofwaardigheid op te bouwen en het vertrouwen van de gebruiker in het merk Microsoft te misbruiken. Dit was een verfijnde phishing-poging, waarbij de nadruk lag op social engineering in plaats van uitsluitend te vertrouwen op geavanceerde ontwijkingstechnieken.
Misleidende omleidingsketen
In deze volgende analyse onderzocht Cato CTRL een phishing-aanval waarbij gebruik werd gemaakt van complexe omleidingstechnieken om detectie te omzeilen. Het proces begon met een misleidende initiële link, vermomd als een populaire zoekmachine in China, die via meerdere URL’s omleidde (met behulp van HTTP-statuscodes zoals 402 en 301) voordat hij uiteindelijk op een phishing-pagina belandde die werd gehost op een gedecentraliseerde weblink (IPFS). Deze uit meerdere stappen bestaande omleidingsreeks bemoeilijkt het volgen en loggen, waardoor het voor cyberbeveiligingsonderzoekers moeilijker wordt om de ware oorsprong van de phishing-pagina te achterhalen.
Naarmate het onderzoek vorderde, kwam de Cato CTRL-onderzoeker meerdere ontwijkingstechnieken tegen die waren ingebed in de code van de phishing-site. De phishing-pagina bevatte bijvoorbeeld Base64-gecodeerd JavaScript dat toetsenbordinteracties blokkeerde, waardoor de onderzoeker feitelijk geen toegang meer had tot de code of deze rechtstreeks kon analyseren. Bijkomende verduisteringstactieken waren onder meer breekpunten in de ontwikkelaarstools, die omleiding naar de legitieme Microsoft-startpagina dwongen om verdere inspectie te belemmeren.
Door deze breekpunten in de ontwikkelaarstools van Chrome uit te schakelen, omzeilde de onderzoeker deze barrières uiteindelijk, waardoor volledige toegang tot de broncode van de phishing-site mogelijk werd. Deze tactiek benadrukt de geavanceerde, gelaagde verdedigingsmechanismen die aanvallers implementeren om analyses te dwarsbomen en detectie te vertragen, waarbij gebruik wordt gemaakt van anti-sandboxing, JavaScript-verduistering en omleidingsketens.
Op phishingbronnen gebaseerde detectie
Aanvallers passen voortdurend hun eigen verdedigingstechnieken aan om detectie te voorkomen. Onderzoekers hebben vertrouwd op statische elementen, zoals afbeeldingsbronnen en pictogrammen, om phishing-pagina’s te identificeren. Phishingsites die zich richten op Microsoft 365 repliceren bijvoorbeeld vaak officiële logo’s en pictogrammen zonder de namen of metagegevens te wijzigen, waardoor ze gemakkelijker te herkennen zijn. Deze consistentie gaf verdedigers aanvankelijk een betrouwbare detectiemethode.
Bedreigingsactoren hebben zich echter aangepast door vrijwel elk element van hun phishing-pagina’s willekeurig te maken.
Om detectie te omzeilen, kunnen aanvallers nu het volgende doen:
- Randomiseer resourcenamen – Bestandsnamen van afbeeldingen en pictogrammen, die voorheen statisch waren, worden bij elke paginalading sterk willekeurig bepaald.
- Willekeurige paginatitels en URL’s – De titels, subdomeinen en URL-paden veranderen voortdurend, waardoor elke keer dat de pagina wordt bezocht nieuwe willekeurige reeksen worden aangemaakt, waardoor het moeilijker wordt om deze bij te houden.
- Implementeer Cloudflare-uitdagingen – Ze gebruiken deze uitdagingen om te verifiëren dat een mens (geen geautomatiseerde scanner) toegang heeft tot de pagina, wat geautomatiseerde detectie door beveiligingstools moeilijker maakt.
Ondanks deze technieken hebben verdedigers nieuwe manieren gevonden om deze ontwijkingen te omzeilen, hoewel het een voortdurend aanpassingsspel is tussen aanvallers en onderzoekers.
De masterclass onthult nog veel meer malware- en phishing-aanvallen en hoe deze traditionele maatregelen omzeilen, waaronder:
- Malware-droppers voor distributie van payloads.
- HTML-bestanden in phishing-e-mails om een malware-download in meerdere stappen te starten met met een wachtwoord beveiligde zip-bestanden.
- Bestandssmokkel en manipulatie van magische bytes.
- SVG-smokkel en B64-codering.
- Gebruikmaken van vertrouwde cloudapplicaties (bijv. Trello, Google Drive) voor commando en controle om detectie door standaard beveiligingssystemen te voorkomen.
- Snelle injecties binnen malware om op AI gebaseerde tools voor malwareanalyse te misleiden.
- Het TDSS Killer-rootkitverwijderingshulpprogramma opnieuw gebruiken om EDR-services uit te schakelen, specifiek gericht op Microsoft Defender.
- Telegram-bots als middel om gestolen inloggegevens te ontvangen, waardoor aanvallers indien nodig snel nieuwe dropzones kunnen creëren.
- Generatieve AI die door aanvallers wordt gebruikt om het maken en verspreiden van aanvallen te stroomlijnen.
- Netwerkgebaseerde jacht op bedreigingen zonder eindpuntagenten.
Wat is het volgende voor verdedigers?
Hoe kunnen verdedigers de overhand krijgen in dit voortdurende kat-en-muisspel? Hier zijn een paar strategieën:
- Phishing-training en veiligheidsbewustzijn – Hoewel niet onfeilbaar, vergroot bewustzijnstraining de kans op het herkennen en beperken van cyberdreigingen.
- Controle van legitimatie – Door gebruik te maken van tools die verbindingspatronen analyseren, kunnen potentieel kwaadaardige activiteiten preventief worden geblokkeerd.
- Machine learning en detectie van bedreigingen – Geavanceerde tools om geavanceerde bedreigingen te identificeren.
- Uniform platform voor jacht op bedreigingen – Eén enkele, geconvergeerde platformbenadering (in plaats van oplossingen met meerdere punten) voor uitgebreide jacht op bedreigingen. Dit omvat het opsporen van netwerkgebaseerde bedreigingen zonder eindpuntagenten en het gebruik van analyse van netwerkverkeer om IoC’s te detecteren.
- Vermindering van aanvalsoppervlak – Proactief de aanvalsoppervlakken verkleinen door firewalls te controleren, configuraties af te stemmen en beveiligingsinstellingen regelmatig te herzien. Het aanpakken van verkeerde configuraties en het opvolgen van de adviezen van leveranciers kunnen de verdediging van de organisatie tegen nieuwe bedreigingen helpen beveiligen.
- Platformbloat vermijden – Meerdere aanvalspunten langs de keten van het doden van bedreigingen zijn essentieel, “maar dit betekent niet dat er veel puntoplossingen moeten worden toegevoegd”, benadrukt Maor. “Een geconvergeerd platform met één interface die feitelijk naar alles kan kijken: het netwerk, de gegevens, via een single-pass-engine die elk pakket doorloopt en begrijpt of het schadelijk is of niet.”
Bekijk hier de hele masterclass.