Cyberaanvallen met USB sticks zijn terug van weggeweest
Gastexpert: Andrew Rose, Resident CISO, EMEA bij Proofpoint
Het enorme succes van USB is te danken aan zijn flexibiliteit als data-interface, die de aansluiting van randapparatuur en draagbare opslagapparaten mogelijk maakt. Toch ontbreekt het aan de geavanceerde controle die security-professionals tegenwoordig van een moderne communicatiepoort verlangen.
Veel security-managers zijn van mening dat het risico van USB's wordt ondervangen door gebruik te maken van Data Leak Prevention (DLP)-technologie. Deze technologie identificeert en blokkeert de overdracht van gevoelige data. Helaas draait het niet bij alle aanvallen alleen om het verlies van data.
De meeste cyberaanvallen beginnen via e-mail, maar uit recente activiteiten blijkt dat criminelen ook proberen om succesvolle aanvallen uit te voeren via de USB-poort. Bij een recente aanval, vermoedelijk van de Russische groep FIN7, kregen slachtoffers een met goud lint verpakt cadeau met daarin (valse) Amazon-vouchers van 500 dollar en een USB-stick. Hieruit blijkt dat zij veel tijd en creativiteit in de aanval hebben gestoken. Deze recente tactiekwijziging heeft de aandacht getrokken van de FBI, die waarschuwt dat deze aanvalsmethode een manier is om ransomware te verspreiden.
Het 2022 State of the Phish-rapport van Proofpoint bevestigt dit ook. Meer dan de helft (54%) van de wereldwijde organisaties maakte melding van USB-gebaseerde aanvallen in 2021, een stijging van meer dan 15% ten opzichte van 2020.
Deze geavanceerde aanvallen gaan veel verder dan het achterlaten van een USB-stick in een ontvangstruimte van een bedrijf, of er een over het hek gooien van een beveiligde parkeerplaats. Beide manieren kunnen echter zeer effectief zijn als er een verleidelijk label op de stick staat. "Jaarlijks beloningsprogramma" zal de nieuwsgierigheid van het slachtoffer ongetwijfeld wekken, terwijl "Sandra's trouwfoto's" het slachtoffer zal aanzetten om de data terug te geven aan de rechtmatige 'eigenaar'.
Controles
De meeste security-leiders vinden het niet acceptabel om USB's simpelweg te blokkeren of te verbannen. Veel computers gebruiken USB voor het aansluiten van muizen, toetsenborden en webcams. En medewerkers gebruiken het om hun eigen apparatuur mee op te laden. CISO's hebben de neiging om het te zien als een kwestie van dataverlies en zijn gerustgesteld wanneer DLP is geïmplementeerd. We weten dat niet alle DLP even effectief is en dat het lastig kan zijn om een behoorlijk DLP-beleid te handhaven. Daarom is het verontrustend dat dit niet de enige aanvalsmethode is.
Aanvalsmethodes
In het verleden waren USB sticks slechts een alternatief transportmiddel voor schadelijke bestanden. Bijvoorbeeld Microsoft Office-documenten met schadelijke macro's of uitvoerbare bestanden. USB sticks waren enorm interessant voor aanvallers omdat ze diverse beveiligingslagen omzeilen en de malware rechtstreeks op het eindpunt afleveren. Dit werd echter enigszins ondermijnd door het feit dat USB-aanvallen een langere wachttijd hebben dan e-mailaanvallen. Eindpuntbeveiliging kon dus al zijn bijgewerkt en de aanval blokkeren, nog voordat deze was binnengekomen.
Recentere aanvallen zijn overgegaan op "HID (Human Interface Device) Spoofing", waarbij de USB stick zich voordoet als een toetsenbord. Wanneer de stick wordt ingevoerd, registreert hij zich als toetsenbord/muis en worden commando's uitgevoerd. Zo kan een aanval automatisch worden uitgevoerd, net alsof de hacker zelf achter het bureau zit. Deze 'BadUSB'-techniek werd door FIN7 gebruikt om de eerste fasen van hun recente ransomware-aanval in gang te zetten.
De komst van 'USBKill'-aanvallen was nog veel schadelijker, maar ook veel lokaler. Hierbij werd de USB stick gebruikt om een stroomstoot te geven die het moederbord zou doorbranden en de data op de pc onbruikbaar zou maken. Hoewel dit in een zakelijke omgeving wellicht alleen maar vervelend is, kan de schade voor bedrijven in de vitale infrastructuur niet worden onderschat.
Oplossing
Het is verstandig om na te gaan hoeveel schade USB sticks uw bedrijf kunnen toebrengen, maar het is ook belangrijk om een praktische oplossing te zoeken.
Sommige bedrijven nemen HID-beveiliging zeer serieus en eisen dat alleen specifieke modellen van toetsenborden en muizen mogen worden gebruikt. Dit werkt wellicht voor de korte termijn, maar is bijna onuitvoerbaar in een steeds veranderende wereldwijde bedrijfsomgeving.
Andere bedrijven zetten software op de witte lijst om te controleren wat het mag uitvoeren. Ook dit is een lovenswaardige controle, maar mist het pragmatisme dat essentieel is bij het beheren van de beveiliging van een snel groeiende wereldwijde organisatie.
Data Loss Prevention is essentieel, maar de doeltreffendheid ervan moet gebaseerd zijn op solide technische controles en automatisch worden toegepast in een goed onderhouden dataomgeving die wordt beheerd door personeel dat is opgeleid in databeveiliging.
Dit brengt ons terug bij de gebruiker. De flexibiliteit van USB sticks heeft ervoor gezorgd dat het zijn positie heeft behouden. Daarom zullen aanvallers manieren zoeken om hun malware te ontwikkelen, zowel fysiek als sociaal, om voordeel te halen uit die universele toegankelijkheid. Goed opgeleide werknemers - die zich bewust zijn van hun verantwoordelijkheden, de bedreigingen begrijpen en voortdurend op de hoogte zijn van de nieuwste beveiligingsmaatregelen - zullen de beste bescherming bieden.