Hoe goed is uw personeel voorbereid als een hacker het kantoor binnensluipt? Twee leden van team Offensief van Cyberlab vertellen over een recent Red Team Engagement bij een klant.
Het uitgangspunt was vanaf het begin duidelijk: niet alleen kwetsbaarheden zoeken, maar vooral ontdekken hoe personeel en procedures in de praktijk functioneren.
Volledig in het geheim
“Het engagement bestaat uit twee delen: een red teaming deel en een purple teaming deel,” vertelt Joost. In het red team gedeelte werkt het team volledig onopgemerkt: “Tijdens het red teaming deel weet bij de klant enkel de contactpersoon dat we dit gaan doen. Heel hun IT-afdeling en hun cybersecurity personeel is niet op de hoogte. Het engagement is vooral bedoeld om hun respons te testen. Het gaat dus niet alleen om kwetsbaarheden zoeken. Maar ook echt het kijken hoe zij dit oppakken.”
Het belangrijkste doel blijft continu de menselijke factor testen. Zoals Joost het zegt: “Een belangrijk vraagstuk is: hoe reageert het personeel op een echte cyberaanval? En werken alle plannen die er liggen wel? Als het goed is, is er een plan voor als het misgaat. Maar de praktijk laat zien of mensen weten wat het plan is. Of ze het plan volgen. Of: is er misschien complete chaos?”
De spelregels van het Red Team Engagement
Het team mag in het begin vrij ver gaan, zolang niemand hen ontdekt. Blay: “Zolang niemand ons door heeft, mogen we tijdens de engagement (bijna) alles doen wat we willen. Dan kunnen we ver gaan. We doen er dan alles aan om op het netwerk te komen.”
Wanneer ze ontdekt worden, verandert de oefening van karakter. Blay: “Als de klant ons detecteert: dan switcht het engagement naar de Purple Teaming fase. Wij gaan dan verder op zoek naar kwetsbaarheden. Maar nu we ontdekt zijn, mag het security team van de klant met ons meekijken. Om te leren wat we aan het doen zijn terwijl we het doen.”
Deze fase maakt de oefening direct leerzaam: “Ze leren real-time hoe een hacker werkt. Notabene in hun eigen omgeving.” aldus Blay.
En dan nog: de afspraken met de klant
Voor de oefening startte, werden duidelijke grenzen gesteld: “Op voorhand waren er een aantal dingen uitgesloten: we mochten geen phishing-acties gebruiken, we mochten geen toegangsbadges clonen, en we mochten niet buiten kantooruren fysiek inbreken. Maar: de klant wilde wel graag dat we overdag fysiek een gebouw infiltreren, en kijken of we een onvergrendelde computer konden vinden. Om die te infecteren met malware.”
Onderzoek naar het bedrijf
De eerste stap is altijd onderzoekend: de hackers bouwen een voorsprong met kennis. “We hebben eerst OSINT onderzoek gedaan. En daarbij hebben we gefocust op welke Incident Response oplossingen deze klant gebruikt.” vertelt Joost. “In een lab-omgeving hebben we deze oplossingen geїnstalleerd, en zijn we malware gaan testen.” Zo verzamelden Joost en Blay al een hoop informatie over eventuele kwetsbaarheden, nog voor ze écht van start gaan.
En dan: het aanvalsplan
Daarna volgde de planning van de daadwerkelijke aanval, de deployment. Ze bedachten verschillende manieren om de malware op een computer te krijgen. “Stap 1 was een rubber ducky. Dat leek ons de beste methode. Als back-up optie een USB-stick met gewoon een .exe. Nadeel is dat we dan zelf moeten openen en het bestandje uitvoeren. Bij een rubber ducky gaat dat vanzelf,” legt Blay uit.
Er waren nog extra back-ups: achtergelaten USB-sticks met geïnfecteerde Excel-sheets, hoewel dit minder favoriet was omdat het bewijs achterlaat. En een laatste backup: een waiver in een Word-document op een USB, inclusief een contactnummer. Als iemand zou vragen of ze daar mochten zijn, konden ze bellen en de aanwezigheid verifiëren. Joost: “Het was tijd om binnen te dringen!”
In het gebouw: kleine fouten, grote gevolgen
Het begon alleen niet bepaald soepel. Bij aankomst bleken alle hoofdingangen goed beveiligd. “De voordeur zat dicht, en we hadden geen badge,” vertelt Joost. “Er was niemand in de buurt, dus we konden niet zomaar meeliften.” Toch bleek één detail het verschil te maken: in de parkeergarage was een deur niet goed dichtgevallen. Een klein foutje, maar groot genoeg om binnen te komen.
Eenmaal binnen probeerden ze een verdieping hoger te komen. Daar liepen ze opnieuw tegen een gesloten deur aan: eentje die een kantoor van een gang scheidde. Maar er was hoop. “We zagen een WC op de gang. Dat betekent dat mensen regelmatig vanuit het kantoor de gang op lopen. En terug. Toen dat gebeurde, glimlachten we vriendelijk en liepen we gewoon mee het kantoor in. Mensen zijn van nature behulpzaam.”
Ooit een hacker zien struikelen over een AZERTY toetsenbord?
Binnen de afdeling was het druk. Overal mensen, nauwelijks onbeheerde computers. “Zelfs als er eentje onbeheerd was, was het te druk om iets te doen,” zegt Blay. Uiteindelijk besloten ze USB‑sticks met geïnfecteerde Excel‑bestanden achter te laten, in de hoop dat iemand ze later zou openen. Niet ideaal, maar een kans.
Op een lagere verdieping hadden ze meer geluk: een klein werkhokje, stil, en één onbeheerde computer. “We hadden nog steeds geen aanspreking gehad van iemand,” zegt Joost. “Dus ik heb de rubber ducky ingestoken.” Die werkte niet. De ondenkbare reden? Deze specifieke computer had een AZERTY‑toetsenbord, en dat bij een Nederlands bedrijf. Hierdoor werd het commando verkeerd geïnterpreteerd. “In plaats van powershell typte hij pozershell. Ik kon wel door de grond zakken.”
Maar ze gaven niet op. “We schakelden over op onze back‑up: een USB met een .exe. Een paar muisklikken en het werkte,” vertelt Blay. Binnen enkele seconden was de machine geïnfecteerd. Ze hadden nu een voet tussen de deur.
“We lazen mails, Teams‑chats, zelfs persoonlijke notities.”
Vanaf dat moment konden ze vanop afstand meekijken. “We vonden niet direct veel, maar we hadden in ieder geval toegang” zegt Joost. “Tot we een paar dagen later zagen dat de gebruiker met vakantie was. Die computer ging offline.” Gelukkig hadden ze al het Microsoft‑toegangstoken buitgemaakt, waardoor ze alsnog bij de cloudomgeving konden: SharePoint, Outlook, Teams. “We lazen mails, Teams‑chats, zelfs persoonlijke notities. Dat voelde wel gek. Je ziet ineens iemands hele digitale leven.”
De oefening liet zien hoe snel een aanval echt persoonlijk kan worden. “We doen dit met toestemming, natuurlijk,” benadrukt Blay. “Maar als je daar zit en je leest iemands berichten, dan besef je hoe groot de impact is van één onbeheerde computer.”
De tweede locatie: inclusief QWERTY toetsenborden
Omdat hun eerste toegang offline ging, probeerden ze het opnieuw bij een tweede locatie. Ze liepen achter een medewerker aan naar binnen: niemand stelde vragen. Na een paar rondes vonden ze opnieuw een onbeheerde computer. “Deze keer hadden we wel gewoon een QWERTY computer te pakken” lacht Joost. Terwijl Blay de medewerker even afleidde, stak Joost de rubber ducky in. “Deze keer werkte het meteen. Binnen een paar seconden was de computer geïnfecteerd.”
Daar bleef het niet bij. “We zijn daarna nog langs de receptie gegaan,” vertelt Blay. “We wilden onze dekmantel testen: de neppe waiver. We vroegen de receptioniste of ze het Word‑document wilde openen. En dat deed ze. Haar computer werd ook geïnfecteerd.” In korte tijd hadden ze twee systemen binnen.
En toen: waren ze ontdekt door het security team
Op kantoor begon het team rustig de netwerken te verkennen, tot het telefoontje kwam: de klant had de payload van de rubber ducky gezien. “Dat was het teken: we zijn ontdekt,” zegt Joost. Daarmee eindigde het red‑teamgedeelte en begon het purple‑teamtraject.
In deze fase veranderde alles. De klant gaf hen een speciale laptop waarop de malware veilig kon draaien, zodat het securityteam live kon meekijken. “Ze konden zien wat wij deden, stap voor stap. We bespraken samen wat werkte, wat niet, en waar ze op konden letten. Zo leerden ze in real time hoe een hacker denkt.”
Na afloop kwamen beide teams samen
Het securityteam deelde wat zij hadden gezien van de aanval en hoe ze reageerden; Joost en Blay vertelden wat ze daadwerkelijk deden. “Die vergelijking was goud waard,” zegt Blay. “Ze zagen waar ze te laat waren, waar de security tools stil bleven, en hoe mensen in paniek raakten of juist goed handelden.”
De conclusie was helder: techniek alleen is niet genoeg. “Je kunt nog zoveel beveiliging hebben, maar één open deur, één onbeheerde computer of één glimlach kan genoeg zijn,” zegt Joost. “Daarom doen we dit. Niet om schade te maken, maar om ervoor te zorgen dat het nooit meer kan gebeuren.”
Meer lezen over dit onderwerp? Bekijk dan deze pagina over de Red Team Engagement. En heeft u vragen over deze dienst? Neem dan vrijblijvend contact met ons op!
