Haaien, SPECTRE en Poison Ivy
Poison Ivy (PIVY) is een Remote Access Tool (RAT) die sinds 2008 niet meer is geüpdatet. Dit is tot op de dag van vandaag ook nog niet nodig geweest. Poison Ivy kan in zijn huidige vorm nog steeds veel schade aanrichten. Zo speelde de trojan een sleutelrol in enkele van de meest schadelijke cyberaanvallen van de laatste jaren. Denk hierbij bijvoorbeeld aan de aanval op RSA waarbij de SecureID infrastructuur werd gehackt, de ‘Watering Hole’ valstrik waarbij bezoekers van websites van de Amerikaanse overheid het doelwit waren of de aanvallen onder de naam ‘Nitro’ die waren gericht op strategische politieke doelen.
Omdat deze tool lang geen update meer heeft gehad, zal Poison Ivy wel niet meer zo effectief, laat staan betrouwbaar zijn en daardoor dus minder worden gebruikt, hoor ik je denken. Niets is echter minder waar. Zo dacht SPECTRE ook geen twee keer na voordat hij James Bond in een zwembad vol met haaien gooide. Een haai is immers – ondanks dat deze diersoort nagenoeg stilstaat in zijn evolutie – betrouwbaar en erg efficiënt in wat hij doet. Dit geldt ook voor een RAT zoals Poison Ivy. Uit een recent onderzoek van FireEye blijkt dat tenminste drie verschillende groepen APT’s gebruik maken van Poison Ivy: admin@338, th3bug en menuPass.
RAT is voor script kiddies
Remote Acces Tools staan bekend als ‘script kiddy’ tools. Met andere woorden, een RAT is als zijwieltjes op een fiets voor een hacker. De reden hiervoor is dat bijna iedereen met een RAT aan de slag kan gaan. Technisch zitten ze niet moeilijk in elkaar en ze hebben een overzichtelijke en eenvoudig te gebruiken interface. Laat je echter niet voor de gek houden door deze ogenschijnlijk ongevaarlijke gedaante. Het ontbreekt PIVY namelijk niet aan functionaliteit of betrouwbaarheid.
PIVY is gratis te downloaden, heeft een op Windows gebaseerde interface en is eenvoudig in gebruik. Het lijkt zeker niet op de hightech apparatuur waar hacken vaak mee wordt geassocieerd. Maar aan de andere kant biedt Poison Ivy ook de mogelijkheden waar de meeste hackers naar op zoek zijn: keystroke logging, screenshots, video captures, file transfers, de mogelijkheid om wachtwoorden te stelen, remote system administration en de mogelijkheid om data te versleutelen of te ontcijferen.
Volwassen
Poison Ivy is ondertussen acht jaar oud, maar net als bij Nmap, Nessus en John the Ripper spreekt deze volwassenheid van de tool waarschijnlijk in zijn voordeel. Daarnaast biedt Poison Ivy Advanced Persistent Threats (APT’s) een extra voordeel: PIVY wordt wereldwijd zo veel gebruikt dat een enkele aanval eenvoudig verloren kan raken in al het internetverkeer. Hierdoor is de aanval niet tot nauwelijks traceerbaar. Daarnaast zal een verdedigingsmechanisme van een netwerk Poison Ivy snel kwalificeren als gemeenschappelijke cybercriminaliteit in plaats van een gerichte APT-aanval. Deze geavanceerder groep hackers houdt van plausible deniability. Als je met een haai je prooi succesvol kunt doden, waarom zou je dan een andere ingewikkelde methode inzetten?
Hoe ziet een typische PIVY-aanval er nu eigenlijk uit? De aanval begint bij het ontvangen en openen van geïnfecteerde content in een mail. Denk hierbij aan een bijlage of aan een link naar een eerder gecompromitteerde website. Zodra het doelwit de bijlage of de link heeft geopend, installeert PIVY automatisch verschillende malware op het vanaf nu besmette systeem. Om te voorkomen dat deze stap wordt gedetecteerd door een virusscanner, wordt de malware gecodeerd en in delen verzonden. Wanneer de installatie succesvol is verlopen, heeft de aanvaller volledige controle over het systeem van het doelwit.
Meer wapens in het arsenaal
Als PIVY het enige was waar de beveiliging van een netwerk zich druk om moest maken, zouden de besmettingen nog te beheren zijn. APT’s hebben echter nog meer wapens in hun arsenaal. PIVY wordt bijvoorbeeld vaak ingezet naar aanleiding van de exploitatie van een zero-day vulnerability, of na een succesvolle social engineering truc. Om in deze situaties de bedreiging van PIVY te kunnen beheersen, is het belangrijk dat er snel een effectieve oplossing wordt gevonden voor dit probleem.
Met dit in gedachte heeft FireEye in augustus 2013 een uitgebreide PIVY-analyse vrijgegeven. Daarnaast heeft FireEye Calamine geïntroduceerd. Met deze tool is het mogelijk om de communicatie van PIVY te decoderen. Hiermee kunnen systeembeveiligers de configuratie en wachtwoorden inzien en de activiteiten van de malware volgen. Deze gegevens kunnen de doelen en motieven van een APT verraden. Wanneer meerdere aanvallen zijn onderschept, is het in sommige gevallen zelfs mogelijk om de real-life identiteit van de aanvaller vast te stellen.
Interactieve communicatie
Een van de onderscheidende en daarmee op dit punt noemenswaardige kenmerken van een RAT – in tegenstelling tot bijvoorbeeld criminele botnets – is dat interactieve communicatie tussen het slachtoffer en de menselijke aanvaller een vereiste is. Dit betekent dat een aanval gerichter, persoonlijker en unieke te identificeren is.
Het is onwaarschijnlijk dat APT’s in de nabije toekomst stoppen met het gebruikmaken van een RAT zoals PIVY. Een verhoogd bewustzijn van deze tactiek, gecombineerd met de inzet van innovatieve tools zoals Calamine, kan het gebruik van een RAT voor een APT zeer gecompliceerd maken. Ze zullen zich dan genoodzaakt zien om de dodelijke haai in te ruilen voor een meer ontwikkelde en daarmee technisch moeilijkere methode.