Hoe ziet het gangbare aanvalspatroon eruit bij opportunistische aanvallen? Kunnen we patronen ontwaren in de scans van hosts, of is er sprake van geïsoleerde pogingen om kwetsbaarheden te vinden? Laten wij proberen inzicht te krijgen in de timing van aanvallen: hoe lang duurt het voordat een host of service die online is gegaan te maken krijgt met de eerste opportunistische aanval? Een aantal verrassende inzichten.
Laten we niet op de zaken vooruitlopen. Voordat ik begin, wil ik de lezer er graag aan helpen herinneren dat onze gegevensreeks verbluffend simpel is en op uiterst eenvoudige wijze kan worden verkregen. We hebben simpelweg de volgende zaken vastgelegd: het ip-adres van de bron en bestemming, de gescande poorten en protocollen en het tijdstip waarop er datapakketten werden ontvangen op een brede reeks van ip-adressen. Iedereen en elke organisatie met één of meer online ip-adressen kan deze gegevens verzamelen.
Geen garanties
In eerste instantie was ik nieuwsgierig naar welke poorten het meest door aanvallers zouden worden gescand. Ik verwachtte dat er standaardtools in omloop zouden zijn die een standaardreeks van poorten scanden en dat een dergelijk patroon in de analyseresultaten terug te vinden zou zijn. Wat was ik naïef! Een collega moest me eraan herinneren dat in het verleden behaalde resultaten geen garanties bieden voor het heden.
Toen alle gegevens waren verzameld, kon ik mijn ogen niet geloven. 97,4 procent van de ip-adressen die datapakketten naar ons netwerk verzonden, controleerden slechts één poort. Ik nam aan dat er iets mis moest zijn met mijn analyse en controleerde alles opnieuw. De conclusie dat 97,4 procent van alle ip-adressen slechts één poort scanden, kwam totaal niet overeen met mijn op vroegere ervaring gebaseerde verwachtingspatroon. De gegevens klopten echter helemaal.
Doel bereiken
Dit had verschillende gevolgen voor mijn analyse. Ten eerste kunnen we met enige zekerheid aannemen dat opportunistische aanvallers op zoek zijn naar één kwetsbaarheid. Waarschijnlijk is het een stuk eenvoudiger om naar één zwakte op verschillende hosts te zoeken dan naar diverse kwetsbaarheden op één host. Je zou kunnen concluderen dat aanvallers net zo lui zijn als u en ik. Ze zoeken naar de eerste gelegenheid om hun doel te bereiken. Lukt dit niet meteen, dan laten ze het daarbij.
Ten tweede zou er nooit een waarschuwing op één host worden afgeven, tenzij een drempelwaarde van 1 werd gehanteerd. Het bewakingsprogramma dat ik jaren geleden schreef, zou nu zo goed als inactief blijven. Vermeldenswaardig is dat van de meer dan achtduizend vastgelegde ip-adressen van aanvallers één ip-adres 904 poorten uitprobeerde, een andere 204 en een derde 43. Dan hebben we het meteen over de top drie.
Eén keer gescand
Omdat een groot aantal (97,4 procent) van deze opportunistische aanvallen het op slechts één poort had gemunt, valt er misschien iets af te leiden uit de regelmaat waarmee de aanvallers een poging waagden. Ik wist niet precies wat ik in dit verband moest verwachten, aangezien ik door het antwoord op mijn eerste vraag op het verkeerde been was gezet. Omdat we resetpakketten retourneerden voor gesloten poorten (en dat waren ze allemaal), verwachtte ik geen hoog retourneringspercentage. En inderdaad: 81,3 procent van de poorten werd slechts één keer gescand.
Ik heb het tijdsverschil tussen deze pogingen niet verder in detail uiteengezet, omdat de belangrijkste bevinding was dat er sprake is van een uiterst geringe aanwezigheid van opportunistische aanvallen terug te vinden is in de logbestanden en… 97 procent van de opportunistische aanvallers scant slechts één poort. 81 procent verzendt maar één pakket. Oh pardon, ik wil geen lezers uitsluiten. Laat ik deze conclusie herformuleren voor de op kwalitatieve risico's ingestelde lezer: De kans is groot dat opportunistische aanvallers een zeer klein aantal poorten scannen en niet al teveel pakketten verzenden.
Doodeenvoudig
Dit brengt ons bij het volgende punt. Uit de gegevens blijkt dat systemen of toepassingen met het doel om gegevens over opportunistische aanvallen zoals deze te verzamelen, niet op nauwkeurige wijze besturingssystemen hoeven na te bootsen. Hoewel we bijvoorbeeld zouden kunnen beweren dat aanvallers vaak op afstand het gebruikte besturingssysteem proberen te identificeren, lijkt het erop dat aanvallers (in ieder geval de opportunistische) dit onder geen beding doen. In plaats daarvan gaan ze na of er een bepaalde kwetsbaarheid in het netwerk aanwezig is en vertrekken ze weer als het scannen hen teveel tijd kost. Dit houdt in dat het verzamelen van gegevens over dergelijke pogingen doodeenvoudig is – een simpele kwestie van luistervinken, vastleggen en tellen.
Ten slotte: als de meerderheid van aanvallers slechts één poort scant en vervolgens hun biezen pakt, vormen zij dus het tegendeel van een geavanceerde bedreiging. Als groep vertonen ze immers een duidelijk herhaalbaar patroon dat we op tamelijk eenvoudige wijze kunnen identificeren. Om die reden zou ik de term 'Simple Consistent Threat' (SCT) willen bezigen. Daarmee bedoel ik een tegenstander die gebruikmaakt van uiterst simpele technieken en zich niet aanpast aan zijn doelwit, maar simpelweg op zoek gaat naar een doelwit dat vatbaar is voor zijn enkelvoudige aanvalsstijl. Deze aanvallers vertonen een consistent beeld als het gaat om wie ze aanvallen (iedereen) en de pogingen die ze daartoe doen (het scannen van één service). Het mooie hiervan is dat wij over een doorzichtige tegenstander spreken die wij op vrij eenvoudige wijze een halt kunnen toeroepen.
Hoger volwassenheidsniveau
Er is sprake van een duidelijke samenhang tussen de omvang van organisaties (gemeten op basis van het aantal werknemers) en het aantal incidenten dat door Simple Consistent Threats wordt veroorzaakt. Naarmate organisaties groeien, neemt het aantal incidenten dat door SCT's wordt veroorzaakt af. Wij kunnen ervan uitgaan dat dit niet komt doordat zij grotere organisaties als bij toverslag vermijden. Naar alle waarschijnlijkheid is de afname toe te schrijven aan een hoger volwassenheidsniveau van de beveiliging van grote organisaties. De aanvalspogingen van SCT's zijn relatief simpel en kunnen met een paar standaard beveiligingscontroles- en mechanismen worden afgeslagen. Waarom zien we deze aanvalsstijl dan terug in meer dan 70 procent van alle incidenten die we de afgelopen twee jaar hebben geanalyseerd? Daar zou ik wel eens een antwoord op willen hebben…
Ik heb al een tijdje niet gekeken, maar om welke poort gaat het nu 161 of 80?
Maar goed, je beschermen tegen opportunistische is niet heel moeilijk, je moet vooral bij blijven.
Als je overigens poort 1433 open zet en hierop scant zul je wel degelijk zien dat deze binnen 24 uur aangevallen wordt. Dus als is 97,4% gericht op 1 poort, dan nog steeds is 2,6% van de scans gericht op meer dan 1 port. En als je over duizenden pogingen praat vind ik de opportunistische aanvallen eigenlijk niet zo interessant. Het zegt eigenlijk niet zoveel.