Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Persistence

Aanvallen

Langdurige aanwezigheid.

Persistence is een aanvalstechniek waarbij een aanvaller mechanismen installeert om langdurig toegang te behouden tot een gecompromitteerd systeem, zelfs na herstarts, wachtwoordwijzigingen of andere onderbrekingen. In het MITRE ATT&CK framework is persistence geclassificeerd als tactiek TA0003 en omvat het tientallen specifieke technieken die aanvallers gebruiken om hun aanwezigheid op een systeem te bestendigen. Zonder persistence zou een aanvaller na elke systeemherstart of wachtwoordwijziging opnieuw moeten inbreken, wat het risico op detectie aanzienlijk vergroot.

Persistence is een cruciale stap in de aanvalsketen en volgt doorgaans op de initiiele compromittering en privilege escalation. Zodra een aanvaller verhoogde rechten heeft verkregen, is het vestigen van persistence een van de eerste prioriteiten. Dit geldt voor zowel cybercriminelen die ransomware willen uitrollen als voor statelijke actoren die maandenlange spionagecampagnes uitvoeren. De technieken zijn ontworpen om subtiel te zijn en op te gaan in normaal systeemgedrag, waardoor ze vaak pas bij grondige forensische analyse worden ontdekt bij reguliere beveiligingsmonitoring.

Hoe werkt persistence?

Aanvallers gebruiken een breed scala aan technieken om persistence te vestigen, afhankelijk van het besturingssysteem en de omgeving. Op Windows-systemen is het aanpassen van registry run keys een veelgebruikte methode. Door een entry toe te voegen aan registry-locaties zoals HKCU\Software\Microsoft\Windows\CurrentVersion\Run wordt malware automatisch gestart bij elke login van de gebruiker. Dit is een van de eenvoudigste maar nog steeds effectieve persistence-technieken.

Scheduled tasks en cron jobs zijn technieken waarbij de aanvaller geplande taken aanmaakt die op specifieke tijdstippen of intervallen automatisch malware uitvoeren. Op Windows worden hiervoor Task Scheduler-taken aangemaakt, op Linux worden cron jobs gebruikt. Omdat geplande taken een normaal onderdeel zijn van systeembeheer, vallen kwaadaardige taken niet altijd op tussen legitieme taken.

Het installeren van kwaadaardige services is een geavanceerdere methode. De aanvaller registreert een nieuwe Windows-service of Linux-daemon die automatisch start bij het opstarten van het besturingssysteem. Deze services draaien op de achtergrond en bieden de aanvaller continue en permanente toegang. Soms wijzigt de aanvaller bestaande legitieme services om kwaadaardige functionaliteit toe te voegen, wat detectie extra bemoeilijkt omdat het gedrag overeenkomt met het originele proces.

Backdoors zijn speciale programma's of modificaties die de aanvaller een alternatieve toegangsweg bieden. Web shells op webservers, trojan-achtige applicaties die zich voordoen als legitieme software, en gemodificeerde SSH-configuraties zijn veelvoorkomende voorbeelden hiervan. In cloud-omgevingen vestigt een aanvaller persistence door nieuwe API-sleutels aan te maken, IAM-rollen te manipuleren, of serverless functies te installeren die als command-and-control kanaal dienen. DLL search order hijacking en bootkit-installatie zijn geavanceerde technieken die het moeilijker maken om persistence te verwijderen zonder het systeem volledig opnieuw op te bouwen vanuit een vertrouwde installatiebron.

Hoe herken je persistence?

Het detecteren van persistence-mechanismen vereist systematische analyse van autostart-locaties en systeemconfiguraties. Controleer regelmatig de Windows registry op onbekende entries in run keys, startup-mappen en scheduled tasks. Op Linux-systemen inspecteer je crontabs, systemd unit files, init-scripts en .bashrc-bestanden op ongeautoriseerde toevoegingen.

Endpoint detection and response (EDR)-oplossingen monitoren continu op wijzigingen in persistence-locaties en genereren alerts wanneer nieuwe autostart-entries worden aangemaakt of bestaande worden gewijzigd. File integrity monitoring (FIM) detecteert ongeautoriseerde wijzigingen in systeembestanden en configuraties die op persistence kunnen wijzen. Een SIEM-systeem correleert deze signalen met andere beveiligingsevenementen om het grotere plaatje te zien en aanvalspatronen te herkennen.

Threat hunting, het proactief zoeken naar aanwijzingen van compromittering, is bijzonder effectief voor het vinden van persistence-mechanismen. Ervaren analysts doorzoeken systemen op ongebruikelijke geplande taken, onbekende services, verdachte DLL's en afwijkende registryconfiguraties. Tools zoals Autoruns (Windows) en chkrootkit (Linux) automatiseren delen van dit proces door alle autostart-locaties systematisch te inventariseren en verdachte entries te markeren voor nader onderzoek door het beveiligingsteam. Let ook op processen die zich voordoen als legitieme systeemprocessen maar vanuit ongebruikelijke locaties worden gestart.

Hoe bescherm je je tegen persistence?

De belangrijkste verdediging tegen persistence is het voorkomen van de initiiele compromittering en privilege escalation die eraan voorafgaan. Als een aanvaller geen verhoogde rechten kan verkrijgen, zijn de mogelijkheden voor persistence aanzienlijk beperkt. Implementeer het least privilege-principe, patch kwetsbaarheden tijdig en gebruik multi-factor authenticatie om de kans op succesvolle compromittering te verkleinen.

Op systeemniveau kun je persistence bemoeilijken door autostart-locaties te beschermen. Gebruik application whitelisting om te voorkomen dat ongeautoriseerde programma's worden uitgevoerd. Beperk de mogelijkheid om scheduled tasks aan te maken tot geautoriseerde beheerders. Implementeer Credential Guard op Windows om het stelen van credentials te voorkomen die voor persistence-vestiging worden gebruikt.

Monitor continu op wijzigingen in persistence-locaties met EDR en file integrity monitoring. Voer regelmatig audits uit van alle autostart-entries, geplande taken, services en cron jobs. Vergelijk de actuele configuratie met een bekende goede baseline om afwijkingen te detecteren. In cloudomgevingen audit je regelmatig IAM-configuraties, API-sleutels en serverless functies op ongeautoriseerde toevoegingen. Integreer vulnerability scanning in je reguliere beveiligingsprocessen om kwetsbaarheden te identificeren die als startpunt voor compromittering en persistence kunnen dienen. Voer regelmatig red team-oefeningen uit die specifiek testen of persistence-mechanismen worden gedetecteerd. Train je incident response-team specifiek op het identificeren en volledig verwijderen van persistence-mechanismen bij de afhandeling van beveiligingsincidenten.

Veelgestelde vragen over persistence

Wat is het verschil tussen persistence en een backdoor?

Een backdoor is een specifiek type persistence-mechanisme dat een alternatieve toegangsweg biedt. Persistence is het bredere concept dat alle technieken omvat waarmee een aanvaller langdurig toegang behoudt, inclusief backdoors maar ook scheduled tasks, registry-manipulatie en service-installatie.

Kan antivirus persistence-mechanismen detecteren?

Traditionele antivirussoftware detecteert bekende malware-bestanden maar mist vaak persistence-mechanismen die gebruik maken van legitieme systeemtools en -configuraties. EDR-oplossingen zijn effectiever omdat ze gedrag monitoren in plaats van alleen bestandshandtekeningen te controleren.

Hoe verwijder je persistence volledig na een aanval?

Bij ernstige compromittering is het veiligst om het systeem volledig opnieuw op te bouwen vanuit een schone installatie. Als dat niet mogelijk is, doorzoek je systematisch alle bekende persistence-locaties en vergelijk je met een schone baseline. Laat het systeem na opschoning monitoren op tekenen van hernieuwde activiteit.

Zijn cloudomgevingen ook kwetsbaar voor persistence?

Ja, aanvallers vestigen persistence in cloudomgevingen door nieuwe IAM-gebruikers of API-sleutels aan te maken, serverless functies te installeren, of bestaande cloudconfiguraties te wijzigen. Cloud-specifieke detectietools en regelmatige IAM-audits zijn essentieel om persistence in de cloud te identificeren.

Hoe lang kan een aanvaller verborgen blijven met persistence?

Zonder adequate detectie kunnen aanvallers maanden tot jaren aanwezig blijven in een netwerk. De gemiddelde dwell time bij organisaties zonder geavanceerde detectie is vaak meer dan honderd dagen. Geavanceerde statelijke actoren zijn in sommige gevallen jaren onopgemerkt gebleven dankzij subtiele persistence-technieken.

Beschermt netwerksegmentatie tegen persistence?

Netwerksegmentatie beschermt niet direct tegen persistence op een individueel systeem, maar beperkt wel de impact. Als een aanvaller persistence vestigt op een systeem in een gesegmenteerd netwerk, kan hij niet vrij bewegen naar andere segmenten. Dit beperkt de schade en geeft je meer tijd om de persistence te detecteren en verwijderen.

Detecteer verborgen dreigingen. Vergelijk Endpoint Detection & Response (EDR) aanbieders op IBgidsNL.