Een hack komt vaak uit een onverwachte hoek op een onverwacht moment. Je bent er niet op voorbereid en weet niet goed welke stappen je moet ondernemen.
Eind maart 2023 werd 3CX, ontwikkelaar van VoIP telefoniesoftware, getroffen door een supply chain-aanval. De officiële desktopclient verspreidde malware, doordat gebruikte library’s gecompromitteerd waren. Besmette werkstations van gebruikers van de 3CX VoIP-client waren het gevolg. Hoe heeft deze hack kunnen gebeuren en hoe kon SecurityHive direct haar klanten hier tegen beschermen zonder extra maatregelen te nemen?
Wat is een supply chain-aanval?
Elke organisatie is afhankelijk van andere partijen. Dit kunnen leveranciers zijn waarbij je een dienst of product afneemt, maar ook klanten die diensten of goederen van jou afnemen. Er ontstaat als het ware een keten waarin partijen afhankelijk zijn van elkaar.
Wanneer bij één van de partijen in de keten een probleem ontstaat en deze niet meer zijn functie kan vervullen, wordt de keten doorbroken. Het gewenste proces kan niet meer gevolgd worden. Een eenvoudig voorbeeld hiervan is de “kaas-hack” in 2021. Hierbij werd een logistiek bedrijf gehackt en kon deze haar ritten niet meer (efficiënt) rijden, met als gevolg dat de kaas in de supermarkten op raakte. De supermarkt zelf was niet gehackt, maar wel slachtoffer geworden van deze aanval.
3CX werd slachtoffer van een soortgelijke aanval. Zij zijn zelf in eerste instantie niet gehackt, maar kregen wel te maken met de gevolgen. In een supply chain-aanval kan je als organisatie verschillende rollen vervullen. Je kan het doel van de aanval zijn, maar ook een medium om het virus te verspreiden en anderen te bereiken en hacken.
Hoe uitte dit zich bij 3CX?
Hoe werkt 3CX
3CX is een bekende VoIP-telefonie oplossing met meer dan 600.000 klanten wereldwijd, waaronder Coca-Cola, McDonald’s, BMW en IKEA. Deze oplossing maakt telefonieverkeer mogelijk en regelt dit slim in met een belcentrale. De kans is groot dat je met jouw telefoontoestel via 3CX of een soortgelijke oplossing met anderen belt.
Naast een fysiek telefoontoestel heeft 3CX ook een applicatie voor je mobiel, voor je werkstation (Windows/macOS) en een webapplicatie voor in je browser.
Hoe is de software gebouwd
Bij deze hack is de desktopapplicatie voor zowel Windows als macOS besmet geraakt. Wanneer software wordt ontwikkeld, wordt vaak gebruik gemaakt van open source libraries. Dit zijn stukken code die hergebruikt kunnen worden en door partijen en vrijwilligers worden onderhouden. Het voordeel hiervan is dat niet iedereen dezelfde code opnieuw hoeft te bedenken en onderhouden, maar ook dat in transparantie kan worden gebouwd.
Zo gebruikt 3CX ook meerdere libraries in haar software. Een van deze libraries is gehackt en werd gecompileerd in de 3CX desktopapplicatie. Wanneer deze versie werd gedownload, of gepusht, werd de besmette software geïnstalleerd.
Besmetting werkstation
Bij het opstarten van de besmette update, werd een geïnfecteerde DLL gebruikt om iconen te downloaden gehost in een GitHub project. Deze iconen bevatten base64 encoded waarden. Deze waarden werden gebruikt om de uiteindelijke malware te downloaden. Deze malware kon systeeminformatie en informatie (credentials) uit browsers zoals Chrome, Edge, Brave en Firefox onttrekken.
Hoe heeft SecurityHive verdere besmetting voorkomen?
Flow DNS calls
Bij het downloaden van de malware, werd contact opgenomen met verschillende domeinnamen waar de malware werd gehost. Een aantal van deze domeinnamen zijn: akamaicontainer[.]com, azureonlinecloud[.]com en msstorageazure[.]com.
Deze domeinnamen zijn zo bedacht, dat deze niet zouden opvallen tussen het overige verkeer en proberen vertrouwen te wekken door de namen Akamai, Azure en MS (Microsoft) te gebruiken.
Contact voorkomen & beveiligen
DNS is een belangrijk onderdeel van het internet. Door DNS kunnen we verbinding maken met servers, zonder het IP-adres van elk apparaat te onthouden. Ook kunnen we met DNS snel een server met een ander IP-adres achter dezelfde naam hangen.
In deze aanval is DNS gebruikt om de malware te downloaden, vertrouwen te wekken en ervoor te zorgen dat nieuwe servers konden worden toegevoegd, zonder de code te wijzigen.
SecurityHive heeft een oplossing genaamd DNS Guard. Met deze DNS Security oplossing wordt al het DNS verkeer gemonitord en gefilterd, zowel op kantoor als bij medewerkers die thuiswerken of op pad zijn. Tijdens deze 3CX-aanval heeft DNS Guard vrijwel direct besmette systemen kunnen beveiligen, door DNS verkeer naar de betrokken domeinnamen direct te blokkeren. Hierdoor kon de uiteindelijke malware niet worden gedownload en kon communicatie met het command & control systeem van de aanvaller voorkomen worden.
Nadat het verkeer werd geblokkeerd, zijn alle klanten die hun omgeving periodiek scannen op kwetsbaarheden met Vulnerability Management gecontacteerd als zij een besmette versie van 3CX draaiden. Zo konden zij ook de root-cause zelf wegnemen.
Uitleg threat intelligence feed
De DNS Security oplossing van SecurityHive bevat verschillende vormen van protectie. Naast het blokkeren van categorieën zoals ransomware, advertising, tracking en porno, beschikt het ook over een Threat Intelligence feed.
Deze feed krijgt realtime updates met dreigingen op het internet. De feed is gekoppeld met verschillende bronnen en kan zo snel inspelen om nieuwe ontwikkelingen in het cyberdomein. Zo heeft SecurityHive snel haar klanten kunnen beveiligen, nog voordat een systeembeheerder enige actie heeft kunnen ondernemen.
Het is erg eenvoudig om te beginnen met een DNS Security oplossing en kan al zonder installatie plaatsvinden. Lees meer over DNS Guard en probeer het uit door hieronder te klikken.