HACK THE PLANET!!

Wat is hacken, hoe gebeurt het en wat zijn de consequenties?

Met live hacking!

HACKED BY Arian
WIE ZIJN WIJ

Thomas van der Berg Jelle Mulckhuijse

IT Security Specialist Technisch Security Consultant

WAT IS HACKING
GESCHIEDENIS VAN “HACKING”
• Tot ‘80e Jaren: Iets gebruiken op andere
manier dan bedoeld is

• Hardware hacking, game hacking, etc.

• Bill Gates is een hacker

• Phreaking & cracking

HACKING & IT SECURITY
• Sinds ‘80e jaren: WarGames, Kevin
Mitnick, computer security

• Hackercultuur nu
• Security vs Hardware hacking

• Wij doen IT security hacking

SOORT HACKERS
ANDERE SOORTEN HACKERS
• Suicide hackers

• Hacktivists

• Advanced Persistent Threats

• State Actors
KWETSBAARHEDEN, EXPLOITS, ETC.
• Kwetsbaarheid = bug + security impact
• Exploit = bewijs van kwetsbaarheid
• Malware

• Voorbeeld:
• MS17-010 Windows SMB
• EternalBlue
• Wannacry
DREIGINGEN IN CYBERSPACE
• Script kiddies
• Geautomatiseerde malware
• Individuele hackers
• “Advanced Persistent Threats”
• Overheden
• Criminele groepen
• Zero day handel
• Zerodium etc.
GEVAARNIVEAU’S
1. Oude kwetsbaarheden & basis web kwetsbaarheden
2. Recentere kwetsbaarheden & standaardwachtwoorden
3. Soms nieuwe kwetsbaarheden, configuratiefouten & gebruik van
uitgebreide IT-kennis
4. Alles van 3 + strategie, eigen malware, langere aanvalsduur, team
om aanval uit te voeren
5. Alles van 4 + meer nieuwe kwetsbaarheden,
aanvalsinfrastructuur, fysieke infiltratie, verschillende teams
SCRIPT KIDDIES
• Nog aan het leren
• Hoe:
• Draaien bekende aanvalscripts & hacking services
• Doel:
• Voor de lol & opscheppen
• Verdediging:
• Update je software en bescherm tegen basis
kwetsbaarheden (SQLi, XSS, etc.)

• Gevaarniveau: 1
GEAUTOMATISEERDE MALWARE
• Gemaakt door criminelen
• Hoe:
• Vallen automatisch aan met bekende aanvallen of
proberen in te loggen met standaardwachtwoorden
• Doel:
• Geld verdienen op grote schaal
• Verdediging:
• Snel software updaten, geen
standaardwachtwoorden gebruiken

• Gevaarniveau: 2
INDIVIDUELE HACKERS
• Gemaakt door criminelen
• Hoe:
• Vallen automatisch aan met bekende aanvallen of
proberen in te loggen met standaardwachtwoorden
• Doel:
• Geld verdienen op grote schaal
• Verdediging:
• Snel software updaten, geen standaardwachtwoorden
gebruiken

• Gevaarniveau: 3
CRIMINELE GROEPEN
• Vallen met een team en strategie bedrijven aan
• Hoe:
• Handmatig kwetsbaarheden zoeken, langdurig binnendringen
en eigen malware verspreiden
• Doel:
• Geld verdienen, chaos veroorzaken
• Verdediging:
• Goede monitoring met blue team, regelmatig beveiliging
testen met red team

• Gevaarniveau: 4
OVERHEDEN
• Voeren aanvallen uit om land sterker te maken
• Hoe:
• Nieuwe kwetsbaarheden vinden en inzetten, uitgebreide
aanvallen met eigen malware & soms fysieke infiltratie
• Doel:
• spionage, schade aanbrengen, geld verdienen
• Verdediging:
• Uitgebreide en effectieve monitoring van IT systemen,
samenwerken met beveiligingsbedrijven, regelmatig beveiliging
onderzoeken op verschillende niveau’s, elk onderdeel van IT
beveiligen

• Gevaarniveau: 5
HOE GAAT EEN HACK
• Kwetsbaarheid vinden

• Toegang verschaffen

• Lokale rechten verhogen

• Verspreiden binnen bedrijfsnetwerk

• Domein overnemen

• Kwade acties uitvoeren

KWETSBAARHEID VINDEN
• Aanvalsoppervlak vinden

• Informatie verzamelen

• Aanvalsoppervlak onderzoeken op
kwetsbaarheden

• Geen kwetsbaarheden? Probeer

phishing
TOEGANG VERSCHAFFEN
• Malware voorbereiden

• Infrastructuur klaarzetten

• Exploit uitvoeren of phishingmail

sturen

• Connectie ontvangen vanuit doelwit

LOKALE RECHTEN VERHOGEN
• Administrator worden op doelwit

• Soms gelijk administrator

• Anders:
• Wachtwoorden zoeken
• Kwetsbaarheid in oude Windows / Linux
• Kwetsbaarheid in admin software
• Onveilige configuratie
VERSPREIDEN BINNEN BEDRIJFSNETWERK
• Bedrijfsnetwerk onderzoeken

• Zoeken wachtwoord domeingebruiker

• Zoeken kwetsbaarheden andere

systemen

• Zoveel mogelijk overnemen & verder

rechten verhogen
DOMEIN OVERNEMEN
• Kwetsbaarheid in domain controller

• Domein admins wachtwoorden

• Via domein admin volledige controle over

bedrijf
KWADE ACTIES UITVOEREN
• Ransomware op hele bedrijfsnetwerk

• Stelen van bedrijfsgeheimen / persoonsgegevens

• Cryptominers draaien

• Financiële transactie uitvoeren

• Via bedrijf andere bedrijven aanvallen

VOORBEELD: HACKING TEAM HACK (2016)
• Bron: https://pastebin.com/0SNSvyjJ

• Embedded device gevonden Hacking Team

• Zero day embedded device
• Direct root
• Via nmap andere servers vinden, MongoDB & iSCSi geen auth
• Via iSCSi backup vinden, domain admin wachtwoord vinden
• Via net shares, mails, domain controller alle data bedrijf lekken
VERDEDIGING
• Veilige ontwikkeling
• Vulnerability scanning
• Penetration testing
• Monitoring
• Responsible disclosure
VEILIGE ONTWIKKELING
• Threat modeling
• Ontwikkelaars leren over security
• OWASP Top 10
• Veilige frameworks & libraries
• Security in test suite
• Hoge kwaliteits code
VULNERABILITY SCANNING
• Makkelijk met grote schaal
• Simpele kwetsbaarheden zoeken (oude
software etc.)
• Zelf uitvoeren of via extern bedrijf
• Gevaar: false positives & onduidelijke
uitkomsten
• Gevaar: moeilijkere kwetsbaarheden niet
gevonden, vals gevoel van veiligheid
PENETRATION TESTING
• Handmatige assessment
• Kan aangepaste aanvallen gebruiken
• Uitgebreide IT-kennis
• White box,
• Grey box
• Black box
• Herhaling & verschillende blikken

• Moeilijkheid: Expertise, afhankelijkheid inzicht & ervaring

tester, gebrek tijd
MONITORING
• Overzicht IT landschap bedrijf
• Monitoring per host
• Security Operation Center
• Forensiche analyse
• IDS / IPS

• Moeilijkheid: Expertise en kosten efficiënte inzet

RESPONSIBLE DISCLOSURE
• Anderen zullen kwetsbaarheden vinden

• Hoe rapporteren ze het?

• Responsible disclosure beleid

• Bug bounties
CONSEQUENTIES VAN HACKING
• Lekken van wachtwoorden:
• https://haveibeenpwned.com
RANSOMWARE
• WannaCry 200’000 machines, 150 landen
$1 miljard schade

• NotPetya Nep-ransomware

• CryptoLocker $3 miljoen verdiend

• SamSam $30 miljoen schade

$6 miljoen verdiend
ANDERE CONSEQUENTIES
• Cryptomining
• Spam mail
• RATs
• Schade aan apparatuur
• Data-diefstal
• Reputatieschade
PAUZE & LIVE HACKING
• Nu 10 minuten pauze
• Daarna live hacking!
• Web shop hacken
• Man in the middle
HACK THE PLANET!!