Software voor externe toegang is al jarenlang een populaire tool voor IT-beheerders, managed service providers (MSP's), SaaS-bedrijven en anderen. Het biedt een onschatbare manier om meerdere IT- en OT-eindpunten op afstand te beheren en te bewaken vanaf één centrale locatie. Maar tegelijkertijd bieden ze een krachtige manier voor dreigingsactoren om de verdediging van bedrijven te omzeilen en op afstand toegang te krijgen tot de netwerken van slachtoffers.

Of het nu gaat om remote access tools (RAT's), remote monitoring and management (RMM) producten of remote administration solutions, het risico is hetzelfde. Het is tijd om een ​​potentieel gevaarlijke backdoor in corporate IT-omgevingen te sluiten.

Wat zijn RAT's?

Tools als Atera, AnyDesk, ConnectWise en TeamViewer zijn bekend in de IT-community. Hoewel ze al jaren worden gebruikt om beheerders te helpen problemen op te lossen, machines in te stellen en te configureren, eindpunten te patchen en meer, kwamen RAT's pas echt tot hun recht tijdens de pandemie. Maar net zoals aanvallen op remote desktop-tools in die periode toenamen, zagen we ook een groeiende interesse in remote access-software als een manier om beveiligingstools te omzeilen.

Ze zijn zelfs ingezet bij aanvallen op individuen, waarbij het slachtoffer sociaal gemanipuleerd wordt om er een te downloaden naar zijn pc of mobiele apparaat om een ​​fraudeur toegang te geven tot zijn bank- en andere rekeningen. Dit gebeurt vaak bij tech support scams en, recentelijk, in een geavanceerde campagne voor imitatie van de overheid bedoeld om de kaartgegevens van slachtoffers te stelen.

Waarom zijn RAT's aantrekkelijk?

Het mag geen verrassing zijn dat dreigingsactoren dergelijke tools in grotere aantallen als doelwit nemen. Ze bieden een nuttige manier om te mengen met legitieme tooling en processen, op een vergelijkbare manier als leven van het land (LOTL) aanvallen. Omdat software voor externe toegang is ondertekend met vertrouwde certificaten, wordt het niet geblokkeerd door anti-malware of endpoint detection and response (EDR)-tooling. Andere voordelen voor tegenstanders zijn onder andere het feit dat software voor externe toegang:

  • Kan verhoogde privileges hebben, waardoor initiële toegang, persistentie, laterale verplaatsing, toegang tot gevoelige bronnen en data-exfiltratie gemakkelijker worden
  • Hiermee kunnen dreigingsactoren inbraken uitvoeren zonder dat ze tijd en geld hoeven te besteden aan de ontwikkeling van malware zoals Trojans voor externe toegang (ook afgekort tot “RAT’s”), die beveiligingstools kunnen identificeren
  • Maakt het voor kwaadwillenden mogelijk om softwarebeheerbeleid te omzeilen en mogelijk zelfs niet-goedgekeurde software op de doelmachine uit te voeren
  • Maakt gebruik van end-to-end-encryptie, waardoor aanvallers bestanden kunnen downloaden die anders door de firewalls van bedrijven zouden worden tegengehouden.
  • Kan meerdere gelijktijdige aanvallen ondersteunen, bijvoorbeeld via een gecompromitteerde MSP

Hoe tegenstanders externe toegang tot doelwitten maken

Volgens de Amerikaans bureau voor cyberbeveiliging en infrastructuurbeveiliging (CISA) kunnen dreigingsactoren kwetsbare versies van software voor externe toegang misbruiken of legitieme gecompromitteerde accounts gebruiken om het gebruik van de tools te kapen. Als alternatief kunnen ze slachtoffers sociaal manipuleren om legitieme RMM-software of iets dergelijks te downloaden. Bij geavanceerdere aanvallen kunnen ze een leverancier van software voor externe toegang als doelwit kiezen en diens software manipuleren met schadelijke updates. Ze kunnen ook PowerShell of andere legitieme opdrachtregeltools gebruiken om heimelijk een RMM-agent op de machine van het slachtoffer te implementeren.

Soms gebruiken dreigingsactoren ook remote access software in combinatie met penetratietesttools zoals Cobalt Strike of zelfs remote access malware om persistentie te garanderen. Zodra ze toegang hebben tot een doelnetwerk/machine, kunnen ze remote access software gebruiken om:

  • Beweeg lateraal door het netwerk van het slachtoffer
  • Vind lijsten met andere systemen voor laterale beweging
  • Stel commando- en controlekanalen (C2) in

Dergelijke technieken worden gebruikt door zowel cybercrimegroepen als nationale staatsagenten voor geavanceerde datadiefstaloperaties en ransomware-aanvallen. Ze zijn gespot bij het targeten van Amerikaanse overheidsmedewerkers in financieel gemotiveerde oplichtingspraktijken. Eén beveiligingsleverancier heeft waarschuwde ook over het “overmatige” gebruik van RAT’s die niet van enterprise-kwaliteit zijn in OT-omgevingen, wat uiteindelijk het aanvalsoppervlak van organisaties vergroot.

Uit het onderzoek blijkt dat 79% van de bedrijven meer dan twee van dergelijke tools op OT-netwerkapparaten heeft geïnstalleerd. Omdat deze niet over voldoende toegangscontroles en functies zoals multi-factor authenticatie (MFA) beschikken, worden ze blootgesteld aan kaping door dreigingsactoren.

In het wild

Er zijn talloze voorbeelden van RAT-gebaseerde inbreuken met ernstige gevolgen in de afgelopen jaren. Deze omvatten:

  • In februari 2024 werden kwetsbaarheden in ongepatchte ScreenConnect-software ontdekt werden uitgebuit in meerdere organisaties om malware te installeren op servers en werkstations waarop de software voor externe toegang is geïnstalleerd.
  • In februari 2022 waarschuwden CISA en het Britse National Cyber ​​Security Centre (NCSC) voor een campagne van de Iraanse APT-groep MuddyWater die zowel cyberespionage als financiële motieven kunnen hebben gehad. De dreigingsactoren gebruikten ScreenConnect voor initiële toegang en laterale beweging.
  • In januari 2023, CISA waarschuwde van een campagne met ScreenConnect en AnyDesk om een ​​"refund scam" uit te voeren op werknemers van de federale overheid. De campagne gebruikte phishingtechnieken om de slachtoffers ervan te overtuigen de software te downloaden als zelfstandige, draagbare uitvoerbare bestanden, waardoor ze de beveiligingscontroles konden omzeilen.
  • In juli 2024 heeft een beveiligingsleverancier ontdekt een aangepaste versie van de open-source RMM-tool PuTTY (hernoemd naar "KiTTY") die beveiligingscontroles kon omzeilen. De tactiek stelde de dreigingsactoren in staat om omgekeerde tunnels te creëren via poort 443 om interne servers bloot te stellen aan een AWS EC2-box onder hun controle om gevoelige bestanden te stelen.

Hoe u aanvallen op afstand kunt beperken

CISA somt een reeks host- en netwerkgebaseerde controles en beleids-/architectuuraanbevelingen op die kunnen helpen bij het opbouwen van veerkracht tegen dergelijke aanvallen. Deze omvatten:

  • Phishing-bewustzijnstraining voor werknemers
  • Zero trust en least privilege-benaderingen voor identiteits- en eindpuntbeveiliging
  • SecOps-bewaking op verdachte activiteiten
  • Beheer van het externe aanvalsoppervlak (EASM) voor beter inzicht in onbekende en onbeheerde activa
  • Multi-factor authenticatie (MFA) voor software voor externe toegang
  • Auditing van software en configuraties voor externe toegang
  • Toepassingscontroles, waaronder zero-trustprincipes en segmentatie, om de uitvoering van software te beheren en te controleren
  • Continue risicogebaseerde patching
  • Netwerksegmentatie om laterale beweging te beperken
  • Blokkering van inkomende/uitgaande verbindingen op algemene RMM-poorten en -protocollen
  • Web-app-firewalls (WAF's) om software voor externe toegang te beschermen

Het veiligheidsagentschap beveelt organisaties echter ook aan om “een robuuste risicomanagementstrategie te handhaven op basis van gemeenschappelijke standaarden, zoals het NIST Cybersecurity Framework”. Javvad Malik, hoofdvoorvechter van beveiligingsbewustzijn bij KnowBe4, is het daarmee eens.

"De kernfuncties van het NIST-raamwerk bieden een allesomvattende aanpak voor het beheren van RMM-toolrisico's", vertelt hij aan ISMS.online.

"Dit omvat het bijhouden van een inventaris van systemen met RMM-software, het afdwingen van sterke authenticatie, het implementeren van gedragsanalyses voor anomaliedetectie, het ontwikkelen van specifieke playbooks voor incidentrespons en het waarborgen dat bedrijfscontinuïteitsplannen rekening houden met RMM-toolafhankelijkheden." Malik voegt toe dat ISO 27001 ook kan helpen de risico's van het gebruik van software voor externe toegang te beperken.

"De controles van ISO 27001 op toegangsbeheer, cryptografie, operationele beveiliging en leveranciersrelaties vormen een solide basis", legt hij uit. "Organisaties kunnen bijvoorbeeld formele RMM-tooltoegangsbeheerprocessen implementeren, zorgen voor gecodeerde externe sessies en geautomatiseerde waarschuwingen instellen voor ongebruikelijke activiteiten."

Ian Stretton, directeur EMEA bij cybersecurityconsultants Green Raven, is het ermee eens dat “succesvolle cybersecurity gebaseerd is op stevige fundamenten zoals ISO 27001”.

Hij vertelt ISMS.online dat een van de belangrijkste principes van dergelijke benaderingen het inzetten van continue monitoring is, ondersteund door dreigingsinformatie.

"Dit wordt nog duidelijker door de adoptie van AI door dreigingsactoren als een uitdaging voor op AI gebaseerde verdedigingsinstrumenten", concludeert Stretton.

“De inzet van hulpmiddelen zoals anomaliedetectiesystemen die specifiek toezicht houden op verdacht gedrag in AI-processen – zoals verkeerde classificatie, plotselinge verschuivingen in de besluitvormingslogica of ander gedrag – kan helpen bij de bestrijding van dit soort op AI gebaseerde bedreigingen.”